Основы информационной безопасности
Введение
Я
выбрала тему «Основы информационной безопасности». Мне эта тема показалась
очень актуальной и интересной. В современности информационная безопасность, на
мой взгляд, самое главное, для отношений в обществе. Общественность, как и
бизнес, должна, помимо раскрытия и донесения нужной информации, еще и
обезопасить ту информацию, которая имеет особый вес и секретность. Но, много
информации скрывается государством за «шторами секретности». Хотелось слышать
всегда бы ту информацию, которая может быть и горькая, но правильная и не
ложная. Но, безопасность, она на то и безопасность, чтоб уберечь и
сохранить одну волну и не затронуть те темы, которые не являются достоверными.
Существует много законов и правил подачи информации и термины безопасности. О
них, о правилах, основах и законах информационной безопасности я хочу написать
в своей контрольной работе. Просмотрев журналы, прочитав несколько учебников и газет
о политике, обществе и информации сложилось много выводов и конечно, как и в
любой науке – вопросов. О глубоком анализе писать рано, недостаточно опыта, но
есть анализ того, что на самом деле касается жизненных ситуаций, и, конечно
связей с обществом и информацией. Термин – «информационная безопасность» имеет
много характеристик. Это и состояние защищённости информационной среды, и защита
информации, представляющая собой деятельность по предотвращению утечки
защищаемой информации, процесс, направленный на достижение этого состояния. Информационная
безопасность организации – это состояние защищённости информационной среды
организации, обеспечивающее её формирование, использование и развитие.
Основы информационной безопасности
Государство
– это определенная организация политической, государственной власти в обществе,
организация, не совпадающая с самим обществом. Но в обществе кроме государства
существуют и другие организации. Общество – это исторически развивающаяся
совокупность отношений между людьми, складывающаяся в процессе их жизнедеятельности.
Информация – результат взаимодействия источника, среды передачи и приёмника
информации. В большинстве случаев, информацией не является статическое
восприятие. Как информация воспринимается объектом потребления, изменение
состояния источника информации или среда её передачи – все это имеет значение
при ее получении. В узком смысле слова, информацией можно считать результат
сравнения одного с другим (дифференцирование). Основная функция приёмника
данных – фильтрация, игнорирование шума и выявление нового в бесконечном потоке
обычного. Информация необходима для объектов, потребляющих её – как средство
обеспечения их существования, позволяет реагировать на изменения в окружающем
мире. Информация делится на множество типов: достоверная; непротиворечивая;
ложная; неправдоподобная. А так же существует и своя охрана информации,
называемая информационная безопасность. Тип информации определяет её
потребитель, используя различные среды передачи и источники информации. Информационная
безопасность государства – это состояние сохранности информационных ресурсов государства
и защиты, законных прав личности
и общества
в информационной
сфере. В современном социуме, информационная
сфера имеет две составляющие: информационно-техническую
(искусственно созданный человеком – мир техники,
технологий
и т.п.) и информационно-психологическую (естественный мир живой природы,
включающий и самого человека).
Информационную безопасность можно представить двумя частями: информационно-техническая безопасность
и информационно-психологическая (психофизическая)
безопасность. Безопасность информации – это состояние
защищенности информации (ее данных), при которой обеспечены её
конфиденциальность, доступность и целостность. Конфиденциальность информации – это
принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать
сохранность документов, получаемых или составляемых ими в ходе аудиторской
деятельности, и не вправе передавать эти документы или их копии каким бы то ни
было третьим лицам, либо разглашать устно, содержащиеся в них сведения без
согласия собственника экономического субъекта. За исключением случаев,
предусмотренных законодательными актами. Доступность информации – состояние
информации (ресурсов автоматизированной информационной системы), при которой
субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.
Примечание. К правам доступа относятся: право на чтение, изменение,
копирование, уничтожение информации, а также права на изменение, использование,
уничтожение ресурсов. Целостность информации – является одним из трех основных
критериев информационной безопасности объекта. Обеспечение достоверности
и полноты информации и методов ее обработки. Не всегда обязательные категории
модели безопасности: невозможность отказа от авторства; подотчётность – обеспечение идентификации
субъекта доступа и регистрации его действий; достоверность
– свойство соответствия предусмотренному поведению или результату; аутентичность
или подлинность
– свойство, гарантирующее, что субъект или ресурс идентичны заявленным. В
Государственном стандарте РФ приводится следующая рекомендация
использования терминов «безопасность»
и «безопасный»: «безопасность» и «безопасный» следует применять только для
выражения уверенности и гарантий риска. Не следует,
употреблять эти слова в качестве описательного прилагательного предмета, так
как они не передают никакой полезной информации.
Целью
реализации информационной безопасности какого-либо объекта является построение
Системы обеспечения информационной безопасности данного объекта (СОИБ). Для
построения и эффективной эксплуатации СОИБ необходимо: выявить требования
защиты информации, специфические для данного объекта защиты; учесть требования
национального и международного Законодательства; использовать наработанные
практики (стандарты, методологии) построения подобных СОИБ; определить
подразделения, ответственные за реализацию и поддержку СОИБ; распределить между
подразделениями области ответственности в осуществлении требований СОИБ. На
базе управления рисками информационной безопасности определить общие положения,
технические и организационные требования, составляющие политику информационной
безопасности объекта защиты; реализовать требования политики информационной
безопасности, внедрив соответствующие программно-технические способы и средства
защиты информации; реализовать Систему менеджмента (управления) информационной
безопасности (СМИБ); используя СМИБ организовать регулярный контроль
эффективности СОИБ и при необходимости, пересмотр и корректировку СОИБ и СМИБ. Как
видно, из последнего этапа работ, процесс реализации СОИБ непрерывный и
циклично (после каждого пересмотра) возвращается к первому этапу, повторяя
последовательно всё остальные. Так СОИБ, корректируется для эффективного
выполнения своих задач защиты информации и соответствия новым требованиям
постоянно обновляющейся информационной системы.
В
Российской Федерации к нормативно-правовым актам в области информационной
безопасности относятся: акты федерального законодательства, международные
договоры РФ; конституция РФ; законы федерального уровня (включая федеральные
конституционные законы, кодексы); указы Президента РФ; постановления
правительства РФ; нормативные правовые акты федеральных министерств и ведомств;
нормативные правовые акты субъектов РФ, органов местного самоуправления. Международные
стандарты информационной безопасности – государственные (национальные)
стандарты РФ; рекомендации по стандартизации; методические указания.
В
зависимости от приложения деятельности в области защиты информации (в рамках
государственных органов власти или коммерческих организаций), сама деятельность
организуется специальными государственными органами (подразделениями), либо
отделами (службами) предприятия.
Государственные
органы РФ, контролирующие деятельность в области защиты информации:
-комитет государственной думы по безопасности;
– совет безопасности России;
– федеральная служба по техническому и
экспортному контролю (ФСТЭК);
– федеральная
служба безопасности России (ФСБ России);
-министерство внутренних дел Российской
Федерации (МВД России); федеральная служба надзора в сфере информационных
технологий и массовых коммуникаций (Роскомнадзор). Службы,
организующие защиту информации на уровне предприятия: служба экономической безопасности; служба безопасности персонала
(Режимный отдел); отдел
кадров; служба информационной безопасности. Политика безопасности
(информации в организации) – совокупность документированных правил, процедур,
практических приемов или руководящих принципов в области безопасности
информации, которыми руководствуется организация в своей деятельности. Политика
безопасности информационно-телекоммуникационных технологий – правила,
директивы, сложившаяся практика, которые определяют, как в пределах
организации, её информационно-телекоммуникационных технологий управлять,
защищать и распределять активы, в том числе критичную информацию. Для
построения политики информационной безопасности, обязательно требуется
рассматривать следующие направления защиты информационной системы:
– Защита
объектов информационной системы;
– Защита
процессов, процедур и программ
обработки информации;
– Защита
каналов связи;
– Подавление
побочных электромагнитных излучений;
– Управление
системой защиты.
По
каждому из перечисленных выше направлений, политика информационной безопасности
должна описывать следующие этапы создания средств защиты информации:
– Определение
информационных и технических ресурсов, подлежащих защите;
– Проведение
оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов
утечки;
– Определение
требований к системе защиты;
– Осуществление
выбора средств защиты информации и их характеристик;
– Внедрение
и организация использования выбранных мер, способов и средств защиты;
– Осуществление
контроля целостности и управление системой защиты.
Политика
информационной безопасности оформляется в виде документированных требований на информационную
систему. Документы обычно разделяют по уровням описания
(детализации) процесса защиты. Документы верхнего уровня политики
информационной безопасности отражают позицию организации к деятельности в
области защиты информации, её стремление соответствовать государственным,
международным требованиям и стандартам в этой области. Подобные документы могут
называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ»,
«Технический стандарт ИБ» и т.п. Область распространения документов верхнего
уровня обычно не ограничивается, однако данные документы могут выпускаться и в
двух редакциях – для внешнего и внутреннего использования. Согласно ГОСТ Р
ИСО/МЭК 17799–2005, на верхнем уровне политики информационной безопасности
должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила
допустимого использования ресурсов информационной системы», «План обеспечения
непрерывности бизнеса». К среднему уровню относят документы, касающиеся
отдельных аспектов информационной безопасности. Это требования на создание и
эксплуатацию средств защиты информации, организации информационных и
бизнес-процессов организации по конкретному направлению защиты информации. Например:
безопасность данных, безопасность коммуникаций. Подобные документы обычно
издаются в виде внутренних технических и организационных политик (стандартов)
организации. Все документы среднего уровня политики информационной безопасности
конфиденциальны. В политику информационной безопасности нижнего уровня входят
регламенты работ, руководства по администрированию, инструкции по эксплуатации
отдельных сервисов информационной безопасности.
Информационная
безопасность возникла с появлением средств
информационных коммуникаций между людьми, а также с осознанием
человека о наличии сообществ интересов, которым может быть нанесен ущерб путём
воздействия на них. Средства
информационных коммуникаций обусловили наличие и развитие средств,
которые обеспечили информационный обмен между всеми элементами социума.
Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств
информационных коммуникаций можно выделить несколько этапов.
Первый
этап
Первый
этап – до 1816 года. Характеризуется он использованием естественно возникавших средств
информационных коммуникаций. В этот период основная задача
информационной безопасности заключалась в защите сведений о событиях, фактах,
имуществе, местонахождении и других данных, имеющих для человека лично или
сообщества, к которому он принадлежал, жизненное значение.
Второй
этап
Второй
этап, начиная с 1816 года, связан с началом использования искусственно
создаваемых технических средств электрики и радиосвязи.
Для обеспечения скрытности и помехозащищенности радиосвязи необходимо было
использовать опыт первого периода информационной безопасности на более высоком
технологическом уровне, а именно применение помехоустойчивого кодирования
сообщения
(сигнала)
с последующим декодированием принятого сообщения (сигнала).
Третий
этап
Третий этап
– начиная с 1935 года, связан с появлением радиолокационных и гидроакустических средств. Основным
способом обеспечения информационной безопасности в этот период было сочетание
организационных и технических мер, направленных на повышение защищенности
радиолокационных средств от воздействия на их приемные устройства активными
маскирующими и пассивными имитирующими радиоэлектронными помехами.
Четвертый
этап
Четвертый
этап – начиная с 1946 года, связан с изобретением и внедрением в практическую
деятельность электронно-вычислительных
машин (компьютеров). Задачи информационной безопасности решались, в
основном, методами и способами ограничения физического доступа к оборудованию
средств добывания, переработки и передачи информации.
Пятый этап
Пятый этап –
начиная с 1965 года, обусловлен созданием и развитием локальных
информационно-коммуникационных
сетей. Задачи информационной безопасности также решались, в
основном, методами и способами физической защиты средств добывания, переработки
и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.
Шестой этап
Шестой этап – начиная с 1973 года – связан с использованием
сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы
информационной безопасности стали гораздо серьёзнее. Для обеспечения
информационной безопасности в компьютерных системах с беспроводными сетями
передачи данных потребовалась разработка новых критериев безопасности.
Образовались сообщества людей – хакеров, ставящих своей
целью нанесение ущерба информационной безопасности отдельных пользователей,
организаций и целых стран. Информационный ресурс стал важнейшим ресурсом
государства, а обеспечение его безопасности – важнейшей и обязательной
составляющей национальной безопасности. Формируется информационное
право – новая отрасль международной правовой системы.
Седьмой
этап
Средства
защиты от несанкционированного доступа (НСД):
-Средства
авторизации;
-Мандатное управление доступом;
-Избирательное управление доступом;
-Управление доступом на основе ролей;
-журналирование
(называется еще и аудит).
Системы
анализа и моделирования информационных потоков (CASE‑системы).
Системы
мониторинга сетей:
-Системы обнаружения и предотвращения вторжений (IDS/IPS).
Системы предотвращения
утечек конфиденциальной информации (DLP‑системы).
Анализаторы протоколов.
Антивирусные
средства.
Межсетевые экраны.
Криптографические
средства:
-Шифрование;
-Цифровая
подпись.
Системы
резервного копирования.
Системы
бесперебойного питания:
-Источники бесперебойного питания;
– Резервирование
нагрузки;
Системы
аутентификации:
-Пароль;
-Сертификат;
-Биометрия.
Средства
предотвращения взлома корпусов и краж оборудования.
Средства
контроля доступа в помещения.
Инструментальные
средства анализа систем защиты:
– Программный
мониторинговый продукт.
Основа
информационной безопасности в организации – это внутрифирменный контроль и достоверность.
Система информационной безопасности (СИБ) является одним из основных элементов
организационного менеджмента. От эффективности функционирования СИБ зависит
большинство сторон деятельности и успешность организации в целом. Исходными
условиями создания полноценной основы системы информационной безопасности
должны быть четкие представления о ее целях и структуре, о видах угроз и их
источниках, и о возможных мерах противодействия. Среди перечня угроз
безопасности фирмы наиболее существенной считается утечка конфиденциальной
информации. Изучение механизма движения информации в организациях разного
профиля показывает, что особое внимание следует уделять контролю данных,
передаваемых по слаботочным информационным сетям, в частности телефонным
линиям. Однако, для построения системной работы необходимы четкие процедуры при
работе с информацией, а эффективность внедряемой СИБ будет во многом зависеть
от соблюдения сотрудниками установленных в организации правил защиты
информации. Касаясь организационной структуры, способной воплотить основы
программы информационной безопасности и донести их до широкого круга
общественности, следует обратить особое внимание на создание и функционирование
региональных центров общественной информации, как важнейших элементов
непосредственного взаимодействия с различными целевыми аудиториями.
В
заключении, хочу отметить и сделать вывод из основной части и прочитанной
литературы. Я не касалась темы характеристики информационной системы. Ведь ее
связь с государством и ее характер – все это, играет самую главную роль в нашей
жизни. Ведь, даже сходить в магазин – и то, получение информации о цене и
качестве. Информационная безопасность Российской
Федерации характеризуется уровнем защищенности национальных интересов Российской Федерации в информационной сфере.
Информационная сфера Российской Федерации является важной составляющей
жизнедеятельности общества и государства. Вследствие этого обеспечение
безопасности национальных интересов Российской Федерации в этой сфере
способствует укреплению национальной безопасности Российской Федерации.
Национальные интересы Российской Федерации в информационной сфере определяются следующими
темами: информационная сфера играет ключевую роль в реализации многих
конституционных прав и свобод граждан, в обеспечении возможности самореализации
личности, духовном обновлении, политической и социальной стабильности общества,
обеспечении функционирования государства; информационная сфера становится все
более важным фактором развития экономики промышленно развитых стран мира,
мировой экономики в целом, развития мирового сообщества; нормальная жизнедеятельность
человеческого общества во все большей степени зависит от состояния
информационной сферы, которая, в связи с этим, все активней используется для
оказания «силового» давления на государственную политику тех или иных стран,
как со стороны иностранных государств, так и организованной преступности,
международных и национальных террористических групп. Выделяются три основные
группы национальных интересов Российской Федерации в информационной сфере.
Первую группу составляют национальные интересы, связанные с обеспечением прав и
свобод человека и гражданина, реализуемых в информационной сфере, духовным
обновлением России. Эти интересы, направлены на обеспечение государственных
гарантий: свободу получения информации в интересах сохранения здоровья, неприкосновенности
частной жизни и недопустимости произвольных посягательств на честь и репутацию
человека. Свободу мысли, убеждений и следования своим убеждениям, свободу
выражения убеждений в общении с другими лицами, свободу участия в культурной
жизни общества, защиту интересов человека, связанных с использованием
результатов его интеллектуальной деятельности другими лицами. К числу
национальных интересов этой группы относятся: обеспечение гарантий
конституционных прав и свобод человека и гражданина в области информационной
деятельности, свободы поиска, получения, передачи, производства и
распространения информации любым законным способом, получения достоверной
информации о состоянии окружающей среды, свободы массовой информации и запрета
цензуры; обеспечение гарантий конституционных
прав и свобод человека и гражданина в области политической, интеллектуальной и
духовной деятельности, включая свободу совести, вероисповедания, мысли и слова,
литературного, художественного, научного, технического и других видов творчества,
преподавания, участия в культурной жизни, пользования учреждениями культуры,
доступа к культурным ценностям; обеспечение гарантий, конституционных прав
человека и гражданина на личную и семейную тайну, тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений, защиту своей чести и
доброго имени, гарантий неприкосновенности частной жизни, запрещения сбора,
хранения, использования и распространения информации. О частной жизни лиц без
его согласия и другой информации, доступ к которой ограничен федеральным
законодательством. Соблюдение установленных федеральным законодательством
ограничений на доступ к сведениям, составляющим государственную тайну, к другим
охраняемым законом сведениям, а также ограничений прав и свобод человека и
гражданина, реализуемых в информационной сфере, в интересах защиты основ
конституционного строя, здоровья, прав и законных интересов других лиц,
обеспечения обороны страны и безопасности государства. Обеспечение гарантий
недопущения пропаганды и агитации, возбуждающих социальную, расовую,
национальную или религиозную ненависть и вражду, пропаганды социального,
расового, национального, религиозного или языкового превосходства. Охрана
интеллектуальной собственности, развитие, сохранение, рациональное использование
информационных ресурсов, составляющих основу научно-технического и духовного
потенциала Российской Федерации. Вторую группу составляют национальные
интересы, связанные с развитием отечественной индустрии средств информатизации,
телекоммуникаций и связи, обеспечением ею потребностей внутреннего рынка,
выходом ее продукции на мировые рынки, а также обеспечением накопления,
сохранности и эффективного использования отечественных информационных ресурсов.
К числу национальных интересов этой группы относятся: развитие и
совершенствование инфраструктуры единого информационного пространства
Российской Федерации, а также повышение эффективности использования
государственных информационных ресурсов, развитие отечественного рынка
информационных услуг, повышение эффективности использования информационной
инфраструктуры в интересах прогрессивного развития, консолидации российского
общества, духовного возрождения многонационального народа Российской Федерации.
Развитие отечественной индустрии информационных услуг и повышение эффективности
использования государственных информационных ресурсов, как на внутреннем и международном
информационных рынках. Развитие отечественного производства,
конкурентоспособных средств и систем информатизации и связи, расширение участия
Российской Федерации в международной кооперации производителей этих средств и
систем; обеспечение государственной поддержки отечественных фундаментальных и
прикладных исследований и разработок в сфере информатизации. Третью группу
составляют национальные интересы, связанные с обеспечением безопасности
информационных и телекоммуникационных систем как развернутых, так и создаваемых
на территории России. К числу национальных интересов этой группы относятся:
повышение безопасности информационных систем, включая сети связи и, прежде
всего, первичные сети связи и информационных систем федеральных органов
государственной власти, финансово-кредитной и банковской сфер, сферы
хозяйственной деятельности, а также систем и средств информатизации вооружения
и военной техники, систем управления войсками и оружием. Экологически опасными
и экономически важными производствами, интенсификация развития отечественного
производства аппаратных и программных средств защиты информации и методов
контроля их эффективности, расширение международного сотрудничества Российской
Федерации в области развития и безопасного использования информационных
ресурсов. Достижение этих интересов позволит сбалансировать государственную
политику по обеспечению возможности использования прав и свобод человека и
гражданина, реализуемых в информационной сфере, повышению эффективности
развития и использования информационной инфраструктуры Российской Федерации, ее
информационных ресурсов, а также обеспечению их безопасности. Защита
национальных интересов Российской Федерации,
реализуемых в информационной сфере, от угроз внешнего и внутреннего характера
составляет основное содержание деятельности по обеспечению информационной
безопасности Российской Федерации. Безопасность-это такое состояние сложной системы,
когда действие внешних и внутренних факторов не приводит к ухудшению системы
или к невозможности её функционирования и развития. Безопасность – состояние защищённости
жизненно-важных интересов личности,
общества,
организации, предприятия от потенциально и реально существующих угроз,
или отсутствие таких угроз. Международный день защиты информации отмечается 30 ноября
(а началось все с 1988 года).
В 1988 году произошла первая массовая компьютерная эпидемия – эпидемия «червя
Морриса». В 1988 году, американская ассоциация компьютерного
оборудования, объявила – 30 ноября международным Днем защиты информации (Computer Security Day). По инициативе «Ассоциации
компьютерного оборудования», в этот день проводятся международные конференции
по защите
информации. «По-настоящему безопасной можно считать лишь систему,
которая выключена, замурована в бетонный корпус, заперта в помещении со
свинцовыми стенами и охраняется вооруженным караулом, – но и в этом случае
сомнения не оставляют меня» – Юджин Х. Спаффорд.
1.
Национальный стандарт РФ «Защита
информации. Основные термины и определения» (ГОСТ Р 50922–2006).
2.
Национальный стандарт РФ
«Информационная технология. Практические правила управления информационной
безопасностью» (ГОСТ Р ИСО/МЭК 17799–2005).
3.
Безопасность: теория, парадигма,
концепция, культура. Словарь-справочник / Автор-сост. профессор В.Ф. Пилипенко. 2‑е изд.,
доп. и перераб. – М.: ПЕР СЭ-Пресс, 2005.
4.
Информационная безопасность (2‑я книга
социально-политического проекта «Актуальные проблемы безопасности социума»).
М.: «Оружие и технологии», 2009.
5.
Национальный стандарт РФ «Методы и
средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента
безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК
13335–1 – 2006).
6.
Рекомендации по стандартизации «Информационные
технологии. Основные термины и определения в области технической защиты
информации» (Р 50.1.053–2005).
7.
Словарь терминов по безопасности и
криптографии. Европейский
институт стандартов по электросвязи.
8.
#"#">Государственный стандарт РФ «Аспекты
безопасности. Правила включения в стандарты» (ГОСТ Р 51898–2002).
11. Домарев В.В. Безопасность информационных
технологий. Системный
подход – К.: ООО ТИД Диа
Софт, 2004. – 992 с.
12. Лапина М.А., Ревин А.Г., Лапин В.И. Информационное право. М.:
ЮНИТИ-ДАНА, Закон и право, 2004.
14. Основы социологии: Курс лекций / Под ред. А.Г. Эфендиева. М.,
1994 г.
15. Кравченко А.И. Социология. М., 1999