Що інформаційна безпека захист інформації. Методи організації захисту. Формування політики безпеки

Забезпечення інформаційної безпеки Російської Федерації - розвивається і перспективний сектор, що грає величезну роль у збереженні та передачі даних.

Система забезпечення інформаційної безпеки Російської Федерації

Останнім часом будь-яка організація або окрема особа має дуже велику кількість узагальненої інформації, яка зберігається в інтернеті або на комп'ютерах, така велика кількість інформації стала причиною того, що дуже часто відбувається її витік, але ніхто не хотів би, щоб засекречена і конфіденційна інформація про що-небудь потрапила до сторонніх людей, що для цього і необхідно застосовувати запобіжні заходи щодо забезпечення інформаційної безпеки.

Статистика в цій галузі показує, що в низці країн вже почали вживати певні заходи щодо забезпечення інформаційної безпеки, які стали загальноприйнятими, але є й інша статистика, яка показує нам, що шахраї не лише не перестали намагатися дістатися секретної інформації, навпаки, з удосконаленням , зловмисники знаходять нові шляхи для її обходу або злому, так що зараз ми можемо спостерігати тенденцію зростання шахрайських дій, а не її зменшення. Хотілося б додати, що сьогодні інформаційне забезпечення Російської Федерації розвивається досить швидко і має позитивну тенденцію зростання, раніше такого високого рівня забезпечення в Російській Федерації був.

Абсолютно будь-яка організація або підприємство чудово розуміє, що загроза втрати засекреченої інформації досить велика, тому вони намагаються запобігти витоку і зробити так, щоб засекречена інформація такою і залишалася, але схема є не професійною, вона захищає велику кількість інформації і закриває багато ходів. шахраїв, але все ж таки проломи в ній залишаються, тому буває, що грамотні програмісти обходять системи безпеки і дістаються секретної інформації, якою потім користуються в незаконних цілях.

Функції та умови СОІБ

Основні функції системи забезпечення інформаційної безпеки Російської Федерації, які мають бути присутніми в будь-якій системі захисту:

1. Негайне виявлення загрози проникнення. Усунення цієї загрози та закриття каналу доступу до інформації, за допомогою якої зловмисники можуть зашкодити підприємству та окремо взятій особі у матеріальному та моральному плані;
2. Створення механізму для якнайшвидшого виявлення порушень у роботі підприємства та реагування на ситуації, в яких інформаційна захищеність перебуває в ослабленому стані або під загрозою злому;
3. Створюються умови, щоб якнайшвидше відшкодувати можливі збитки, завдані підприємству фізичною чи юридичною особою, та умови для якнайшвидшого відновлення роботи підприємства, щоб загублена інформація не змогла вплинути на його роботу та на досягнення поставлених перед підприємством завдань.

Відео про медіа моніторинг:

Інформаційна база та принципи СОІБ

Наведені вище завдання вже дають достатню інформаційну базу, для того щоб людина усвідомила, для чого потрібне забезпечення інформаційних систем безпеки і як воно функціонує у реальних умовах.

Принципи побудови системи інформаційної безпеки, якими повинні керуватися організації та підприємства, захищаючи конфіденційну інформацію від зловмисників.

Вже давно відомо, щоб забезпечити високий рівень власної інформації, потрібно керуватися певними принципами, оскільки без них схема інформаційного забезпечення буде легко оминатися, тим самим ви не можете бути постійно впевнені, що інформація справді засекречена.

1. Отже, першим і найбільш важливим принципом системи забезпечення інформаційної безпеки Російської Федерації є безперервна робота над поліпшенням та удосконаленням системи, так як технології розвитку не стоять на місці, рівно як і не варто розвиток шахрайських дій, спрямованих на злом та отримання секретних даних, тому таку схему слід постійно вдосконалювати. Необхідно якнайчастіше перевіряти та тестувати нинішню систему безпеки – цей аспект входить у перший принцип побудови системи безпеки інформаційного забезпечення, слід аналізувати систему та по можливості самим виявляти її проломи в обороні та слабкі місця, якими власне й користуватимуться зловмисники. При знаходженні проломів або будь-яких шляхів витоку інформації слід відразу ж оновити механізм системи безпеки та допрацювати його, щоб знайдені проломи були відразу ж закриті та недоступні для шахраїв. Виходячи з цього принципу, варто засвоїти, що не можна просто встановити систему безпеки і бути спокійним за свою секретну інформацію, оскільки цю систему необхідно постійно аналізувати, покращувати та вдосконалювати;
2. Другим принципом є використання всього потенціалу системної безпеки, всіх функцій для кожного окремого файлу, який відповідає за той чи інший аспект роботи підприємства, тобто систему безпеки потрібно використовувати всю і комплексно, так що в озброєнні повинен бути весь арсенал наявний у даної системи;
3. Третім та останнім принципом є цілісне використання системи безпеки, не варто розбивати її на окремі частини, розглядати окремі функції, тим самим забезпечувати різний рівень безпеки важливим файлам та менш важливим. Це працює як один величезний механізм, який має в собі велику кількість шестерень, що виконують різні функції, але становлять одну систему.

Віжео забезпечення безпеки промислових систем:

Законодавство та СОІБ

Дуже важливим аспектом системи забезпечення інформаційної безпеки є співпраця з державними правоохоронними органами та законність цієї системи. Важливу роль відіграє високий рівень професіоналізму співробітників фірми, що надає вам інформаційну безпеку, не забувайте, що з даною фірмою та її співробітниками повинен бути укладений договір про нерозголошення секретної інформації фірми, оскільки всі співробітники, які забезпечують повноцінну роботу системи безпеки, матимуть доступ до інформації фірми, тим самим у вас повинні бути гарантії, що співробітники не передадуть цю інформацію третім особам, зацікавленим у її отриманні з корисливою метою або щоб підірвати роботу вашого підприємства.

Якщо нехтувати цими принципами та умовами, то ваша захищеність не зможе забезпечити вас належним високим рівнем захисту, тим самим не буде жодних гарантій, що дані безперервно перебувають у недосяжності зловмисників, а це може дуже погано позначитися на роботі підприємства.

Вимоги щодо забезпечення інформаційної безпеки будь-якого об'єкту

Принципи потрібно як знати, а й уміти втілити їх у життя, саме цього і є низка вимог до системи захисту інформаційної безпеки, які обов'язкові до виконання, як і самі принципи.

Ідеальна схема безпеки має бути:

1. Централізований. Управляти системою безпеки потрібно завжди централізовано, тому система забезпечення інформаційної безпеки підприємства має бути схожа на структуру самого підприємства, до якого і прикріплений даний спосіб забезпечення інформаційної безпеки (СОІБ);
2. Плановий. Виходячи із загальних цілей забезпечення захисту інформації, кожен окремий співробітник, який відповідає за певний аспект системи, повинен завжди мати докладний план удосконалення захисної системи та використання нинішньої. Це потрібно, щоб захист інформації працював, як одна цілісна схема, що забезпечить найвищий рівень захисту конфіденційної інформації об'єкта, що охороняється;
3. Конкретизованою. Кожна схема безпеки повинна мати конкретні критерії захисту, так як у різних підприємств різні переваги, яким необхідно захистити певні файли, якими зможуть скористатися конкуренти підприємства, щоб підірвати виробничий процес. Іншим фірмам необхідний цілісний захист кожного файлу, незалежно від ступеня його важливості, тому, перш ніж поставити захист інформації, слід визначитися для чого саме вона вам потрібна;
4. Активним. Забезпечувати захист інформації потрібно завжди дуже активно та цілеспрямовано. Що це означає? Це означає, що фірма, що забезпечує базу безпеки, обов'язково повинна мати відділ, що містить у собі експертів та аналітиків. Тому що ваш принцип безпеки повинен не тільки усувати вже наявні загрози та знаходити проломи в базі, але й знати наперед можливий варіант розвитку події, щоб запобігти можливим загрозам ще до їх появи, тому аналітичний відділ – це дуже важлива частина в структурі забезпечення захисту інформації, не забувайте про це і постарайтеся приділити цьому аспекту особливу увагу. "Попереджений значить озброєний";
5. Універсальний. Ваша схема повинна вміти адаптуватися до будь-яких умов, тобто неважливо, на якому носії зберігається ваша база, і не повинно мати значення, якою мовою вона представлена ​​і в якому форматі міститься. Якщо ви захочете перевести її в інший формат або на інший носій, це не повинно стати причиною витоку інформації;
6. Незвичайний. Ваше планування забезпечення інформаційної безпеки має бути унікальним, тобто воно має відрізнятися від аналогічних схем, які використовують інші підприємства чи фірми. Наприклад, якщо інше підприємство, що має схожу з вашою схему захисту даних, зазнало атаки, і зловмисники змогли знайти в ній пролом, то ймовірність того, що ресурс буде зламаний, збільшується в рази, так що в цьому плані слід проявити індивідуальність і встановлювати для свого підприємства схему безпеки, яка раніше ніде не фігурувала та не використовувалася, тим самим ви підвищите рівень захисту конфіденційних даних вашого підприємства;
7. Відкритий. Відкритою вона повинна бути в плані змін, коригувань і вдосконалень, що вносяться, тобто якщо ви виявили пролом в обороні власної системи безпеки або хочете вдосконалити її, у вас не повинно виникати проблем з доступом, так як на доступ до системи може піти деяка кількість часу, під час якого база може бути зламана, тому зробіть її відкритою для власної фірми та фірми, що надає забезпечення інформаційної безпеки Російської Федерації, від яких залежить збереження ваших інформаційних систем;
8. Економічне. Економічність - це остання вимога до будь-якої системи безпеки, ви повинні все порахувати і зробити так, щоб витрати на інформаційне забезпечення інформаційних систем безпеки Російської Федерації в жодному разі не перевищували цінність вашої інформації. Наприклад, наскільки б не було дороге і досконале планування безпеки, все одно існує ймовірність, що її можуть зламати або обійти, тому що пролом при бажанні можна виявити в будь-якому захисті, і якщо ви витрачаєте на таку схему безпеки великі гроші, але в Водночас самі дані не коштують таких грошей, це просто безглузді витрати, які можуть негативно позначитися на бюджеті підприємства.

Відео про IDM-рішення:

Вторинні вимоги СОІБ

Вище були перераховані основні, необхідні для повноцінної роботи системи безпеки вимоги, далі будуть наведені вимоги, які не є обов'язковими для системи:

• Схема безпеки повинна бути досить проста у використанні, тобто будь-який співробітник, який має доступ до захищеної інформації, при необхідності її переглянути не повинен витрачати на це багато часу, тому що це завадить основній роботі, схема повинна бути зручна і "прозора", але тільки усередині вашого підприємства;
• Кожен співробітник або довірена особа повинні мати будь-які привілеї до доступу отримання захищеної інформації. Знову ж таки, наведу приклад: ви директор підприємства і на вашому об'єкті працює ряд співробітників, яким ви довіряєте і можете надати доступ, але ви цього не робите, і доступ є тільки у вас і співробітників фірми, що надають систему інформаційної безпеки, виходить, що ваш бухгалтер та інші співробітники, маючи необхідність подивитися на звіти або інші захищені файли, повинні будуть відірватися від роботи, відірвати від роботи вас чи співробітників фірми, які надають захист, щоб отримати доступ до одного файлу, тим самим робота підприємства буде підірвана, а ефективність її знижена. Тому надайте привілеї своїм співробітникам, щоб полегшити роботу їм та собі;
• Можливість простого та швидкого відключення захисту, оскільки бувають ситуації, коли захист інформації значною мірою ускладнюватиме роботу підприємства, у цьому випадку ви повинні мати можливість з легкістю відключити і, коли знадобиться, включити систему захисту інформації;
• Схема забезпечення безпеки інформації має функціонувати окремо від кожного суб'єкта захисту, тобто вони повинні бути взаємопов'язані;
• Фірма, яка надає вам систему безпеки інформації, повинна сама періодично намагатися зламати її, вона може попросити зробити це своїх програмістів, які працюють над іншими проектами, якщо в них вийде, то потрібно негайно з'ясувати, як саме це сталося і де існує слабкість у системі захисту, щоб якнайшвидше нейтралізувати її;
• На вашому підприємстві не повинні знаходитися детальні звіти та докладний опис механізмів захисту вашої інформації, такою інформацією повинен мати тільки власник підприємства та фірма, що надає захист інформації.

Система інформаційного забезпечення – етапність

Важливим елементом є етапність процесів розробки і встановлення системи забезпечення інформаційної безпеки Російської Федерації.

Спочатку при створенні системи захисту необхідно визначити, що для вас є інтелектуальною власністю. Наприклад, для підприємства інтелектуальна власність – це знання та точні відомості про кожен продукт, що його випускається, його вдосконалення, виготовлення та розробка нових продуктів та ідей для вдосконалення підприємства, загалом, все те, що в кінцевому підсумку приносить вам прибуток. Якщо ви не можете визначити, що для вас інтелектуальна власність, то якою б гарною була схема забезпечення інформаційних систем, вона не зможе забезпечити вас високим рівнем захисту, а ще ви ризикуєте втратити незахищену інформацію, яка згодом призведе до моральних і матеріальних втрат, так що цьому пункту слід спочатку приділити особливу увагу.

Після того як ви визначите, що для вас є інтелектуальною власністю, слід перейти до наступних, загальноприйнятих для абсолютно будь-якої організації, незалежно від її розмірів та специфікації, етапів:

1. Встановлення певних меж, у яких планування забезпечення інформаційних систем має силу;
2. Постійне вивчення та виявлення слабких місць у системі захисту;
3. встановлення певної політики системи безпеки та швидко дієве прийняття контрзаходів при виявленні загрози;
4. безперервна перевірка системи безпеки інформації;
5. Складання детального плану системи захисту;
6. Точна реалізація раніше складеного плану.

Відповідач кібернетики Норберт Вінер вважав, що інформація має унікальні характеристики і її не можна віднести ні до енергії, ні до матерії. Особливий статус інформації як явища породив багато визначень.

У словнику стандарту ISO/IEC 2382:2015 «Інформаційні технології» наводиться таке трактування:

Інформація (в галузі обробки інформації)- будь-які дані, представлені в електронній формі, написані на папері, висловлені на нараді або що знаходяться на будь-якому іншому носії, що використовуються фінансовою установою для прийняття рішень, переміщення коштів, встановлення ставок, надання позик, обробки операцій тощо, включаючи компоненти програмне забезпечення системи обробки.

Для розробки концепції забезпечення інформаційної безпеки (ІБ) під інформацією розуміють відомості, які доступні для збирання, зберігання, обробки (редагування, перетворення), використання та передачі у різний спосіб, у тому числі в комп'ютерних мережах та інших інформаційних системах.

Такі відомості мають високу цінність і можуть стати об'єктами посягань з боку третіх осіб. Прагнення захистити інформацію від загроз є основою створення систем інформаційної безпеки.

Правова основа

У грудні 2017 року в Росії прийнято Доктрини інформаційної безпеки. У документ ІБ визначено стан захищеності національних інтересів в інформаційній сфері. Під національними інтересами у разі розуміється сукупність інтересів суспільства, особи і держави, кожна група інтересів необхідна стабільного функціонування соціуму.

Доктрина – концептуальний документ. Правовідносини, пов'язані із забезпеченням інформаційної безпеки, регулюються федеральними законами «Про державну таємницю», «Про інформацію», «Про захист персональних даних» та інші. На основі основних нормативних актів розробляються постанови уряду та відомчі нормативні акти, присвячені приватним питанням захисту інформації.

Визначення інформаційної безпеки

Перш ніж розробляти стратегію інформаційної безпеки, необхідно прийняти базове визначення поняття, яке дозволить застосовувати певний набір способів і методів захисту.

Практики галузі пропонують розуміти під інформаційною безпекою стабільний стан захищеності інформації, її носіїв та інфраструктури, що забезпечує цілісність та стійкість процесів, пов'язаних з інформацією, до навмисних чи ненавмисних впливів природного та штучного характеру. Впливи класифікуються у вигляді загроз ІХ, які можуть завдати шкоди суб'єктам інформаційних відносин.

Таким чином, під захистом інформації розумітиметься комплекс правових, адміністративних, організаційних та технічних заходів, спрямованих на запобігання реальним або передбачуваним ІБ-загрозам, а також на усунення наслідків інцидентів. Безперервність процесу захисту інформації повинна гарантувати боротьбу з загрозами на всіх етапах інформаційного циклу: у процесі збирання, зберігання, обробки, використання та передачі інформації.

Інформаційна безпека у цьому розумінні стає однією з характеристик працездатності системи. У кожний момент часу система повинна мати вимірюваний рівень захищеності, і забезпечення безпеки системи має бути безперервним процесом, що здійснюється на всіх тимчасових відрізках в період життя системи.

В інфографіці використані дані власного"СерчІнформ".

У теорії інформаційної безпеки під суб'єктами ІБ розуміють власників та користувачів інформації, причому користувачів не тільки на постійній основі (співробітники), але й користувачів, які звертаються до баз даних у поодиноких випадках, наприклад, державні органи, які вимагають інформацію. У ряді випадків, наприклад, у банківських ІБ-стандартах до власників інформації зараховують акціонерів – юридичних осіб, яким належать певні дані.

Підтримуюча інфраструктура, з погляду основ ІБ, включає комп'ютери, мережі, телекомунікаційне устаткування, приміщення, системи життєзабезпечення, персонал. При аналізі безпеки необхідно вивчити всі елементи систем, приділивши особливу увагу персоналу як носію більшості внутрішніх загроз.

Для управління інформаційною безпекою та оцінки збитків використовують характеристику прийнятності, таким чином, збиток визначається як прийнятний або неприйнятний. Кожній компанії корисно затвердити власні критерії допустимості збитків у грошовій формі або, наприклад, як допустимої шкоди репутації. У державних установах можуть бути прийняті інші характеристики, наприклад, вплив на процес управління або відображення збитків для життя і здоров'я громадян. Критерії суттєвості, важливості та цінності інформації можуть змінюватися під час життєвого циклу інформаційного масиву, тому мають своєчасно переглядатись.

Інформаційною загрозою у вузькому сенсі визнається об'єктивна можливість впливати на об'єкт захисту, що може призвести до витоку, розкрадання, розголошення чи розповсюдження інформації. У більш широкому розумінні до ІБ-загроз відноситимуться спрямовані впливу інформаційного характеру, мета яких - завдати шкоди державі, організації, особистості. До таких загроз відноситься, наприклад, дифамація, навмисне введення в оману, некоректна реклама.

Три основні питання ІБ-концепції для будь-якої організації

Що боронити?

Які види загроз переважають: зовнішні чи внутрішні?

Як захищати, якими методами та засобами?

Система ІБ

Система інформаційної безпеки для компанії – юридичної особи включає три групи основних понять: цілісність, доступність та конфіденційність. Під кожним ховаються концепції з багатьма характеристиками.

Під цілісністюрозуміється стійкість баз даних, інших інформаційних масивів до випадкового чи навмисного руйнування, внесення несанкціонованих змін. Поняття цілісності можна розглядати як:

• статичне, що виражається у незмінності, автентичності інформаційних об'єктів тим об'єктам, які створювалися за конкретним технічним завданням і містять обсяги інформації, необхідні користувачам для основної діяльності, у потрібній комплектації та послідовності;
• динамічний, що передбачає коректне виконання складних дій або транзакцій, що не завдає шкоди безпеці інформації.

Для контролю динамічної цілісності використовують спеціальні технічні засоби, які аналізують потік інформації, наприклад, фінансові, та виявляють випадки крадіжки, дублювання, перенаправлення, зміни порядку повідомлень. Цілісність як основна характеристика потрібна тоді, коли на основі інформації, що надходить або наявної, приймаються рішення про здійснення дій. Порушення порядку розташування команд або послідовності дій може завдати великої шкоди у разі опису технологічних процесів, програмних кодів та інших аналогічних ситуаціях.

Доступність- це властивість, яка дозволяє здійснювати доступ авторизованих суб'єктів до даних, що представляють інтерес, або обмінюватися цими даними. Ключова вимога легітимації чи авторизації суб'єктів дає можливість створювати різні рівні доступу. Відмова системи надавати інформацію стає проблемою для будь-якої організації чи груп користувачів. Як приклад, можна навести недоступність сайтів держпослуг у разі системного збою, що позбавляє безліч користувачів можливості отримати необхідні послуги або відомості.

Конфіденційністьозначає властивість інформації бути доступною тим користувачам: суб'єктам та процесам, яким допуск дозволено спочатку. Більшість компаній та організацій сприймають конфіденційність як ключовий елемент ІБ, проте на практиці реалізувати її повною мірою важко. Не всі дані про існуючі канали витоку відомостей доступні авторам концепцій ІБ, і багато технічних засобів захисту, у тому числі криптографічні, не можна придбати вільно, часом оборот обмежений.

Рівні властивості ІБ мають різну цінність для користувачів, звідси дві крайні категорії при розробці концепцій захисту даних. Для компаній чи організацій, пов'язаних з державною таємницею, ключовим параметром стане конфіденційність, для публічних сервісів чи освітніх установ найважливіший параметр – доступність.

Дайджест інформаційної безпеки

Об'єкти захисту у концепціях ІБ

Відмінність у суб'єктах породжує різницю у об'єктах захисту. Основні групи об'єктів захисту:

• інформаційні ресурси всіх видів (під ресурсом розуміється матеріальний об'єкт: жорсткий диск, інший носій, документ із даними та реквізитами, які допомагають його ідентифікувати та віднести до певної групи суб'єктів);
• права громадян, організацій та держави на доступ до інформації, можливість отримати її в рамках закону; доступ може бути обмежений лише нормативно-правовими актами, неприпустима організація будь-яких бар'єрів, що порушують права людини;
• система створення, використання та розповсюдження даних (системи та технології, архіви, бібліотеки, нормативні документи);
• система формування суспільної свідомості (ЗМІ, інтернет-ресурси, соціальні інституції, освітні установи).

Кожен об'єкт передбачає особливу систему заходів захисту від загроз ІБ та громадському порядку. Забезпечення інформаційної безпеки у кожному разі має базуватися на системному підході, що враховує специфіку об'єкта.

Категорії та носії інформації

Російська правова система, правозастосовна практика і громадські відносини, що склалися, класифікують інформацію за критеріями доступності. Це дозволяє уточнити суттєві параметри, необхідні для забезпечення інформаційної безпеки:

• інформація, доступ до якої обмежений виходячи з вимог законів (державна таємниця, комерційна таємниця, персональні дані);
• відомості у відкритому доступі;
• загальнодоступна інформація, що надається на певних умовах: платна інформація або дані, для користування якими потрібно оформити допуск, наприклад, бібліотечний квиток;
• небезпечна, шкідлива, помилкова та інші типи інформації, обіг та розповсюдження якої обмежені або вимогами законів, або корпоративними стандартами.

Інформація з першої групи має два режими охорони. Державна таємниця, згідно із законом, це відомості, що захищаються державою, вільне поширення яких може завдати шкоди безпеці країни. Це дані у галузі військової, зовнішньополітичної, розвідувальної, контррозвідувальної та економічної діяльності держави. Власник цієї групи даних – безпосередньо держава. Органи, уповноважені вживати заходів щодо захисту державної таємниці, - Міністерство оборони, Федеральна служба безпеки (ФСБ), Служба зовнішньої розвідки, Федеральної служби з технічного та експортного контролю (ФСТЕК).

Конфіденційна інформація- Найбільш багатоплановий об'єкт регулювання. Перелік відомостей, які можуть становити конфіденційну інформацію, міститься в указі президента №188 "Про затвердження переліку відомостей конфіденційного характеру". Це особисті дані; таємниця слідства та судочинства; службова таємниця; професійна таємниця (лікарська, нотаріальна, адвокатська); комерційна таємниця; відомості про винаходи та корисні моделі; відомості, які у особових справах засуджених, і навіть відомості про примусове виконання судових актів.

Персональні дані існує у відкритому та конфіденційному режимі. Відкрита та доступна всім користувачам частина персональних даних включає ім'я, прізвище, по батькові. Відповідно до ФЗ-152 «Про персональні дані», суб'єкти персональних даних мають право:

• на інформаційне самовизначення;
• на доступ до особистих персональних даних та внесення до них змін;
• на блокування персональних даних та доступу до них;
• на оскарження неправомірних дій третіх осіб, скоєних щодо персональних даних;
• на відшкодування заподіяної шкоди.

Право на закріплено в положеннях про державні органи, федеральні закони, ліцензії на роботу з персональними даними, які видає Роскомнагляд або ФСТЕК. Компанії, які професійно працюють із персональними даними широкого кола осіб, наприклад, оператори зв'язку, повинні увійти до Реєстру, його веде Роскомнагляд.

Окремим об'єктом у теорії та практиці ІБ виступають носії інформації, доступ до яких буває відкритим та закритим. При створенні концепції ІБ методи захисту вибираються залежно від типу носія. Основні носії інформації:

• друковані та електронні засоби масової інформації, соціальні мережі, інші ресурси в Інтернеті;
• співробітники організації, які мають доступ до інформації на підставі своїх дружніх, сімейних, професійних зв'язків;
• засоби зв'язку, що передають або зберігають інформацію: телефони, АТС, інше телекомунікаційне обладнання;
• документи всіх типів: індивідуальні, службові, державні;
• програмне забезпечення як самостійний інформаційний об'єкт, особливо якщо його версія допрацьовувалась спеціально для конкретної компанії;
• електронні носії інформації, що обробляють дані в автоматичному порядку.

Для цілей розробки концепцій ІБ-захисту засоби захисту інформації прийнято поділяти на нормативні (неформальні) та технічні (формальні).

Неформальні засоби захисту – це документи, правила, заходи, формальні – це спеціальні технічні засоби та програмне забезпечення. Розмежування допомагає розподілити зони відповідальності під час створення ІБ-систем: за загального керівництва захистом адміністративний персонал реалізує нормативні методи, а IT-фахівці, відповідно, технічні.

Основи інформаційної безпеки передбачають розмежування повноважень у частині використання інформації, а й у роботи з її охороною. Подібне розмежування повноважень потребує кількох рівнів контролю.

Формальні засоби захисту

Широкий діапазон технічних засобів ІБ-захисту включає:

Фізичні засоби захисту.Це механічні, електричні, електронні механізми, що функціонують незалежно від інформаційних систем та створюють перешкоди для доступу до них. Замки, у тому числі електронні, екрани, жалюзі, покликані створювати перешкоди для контакту дестабілізуючих факторів із системами. Група доповнюється засобами систем безпеки, наприклад відеокамерами, відеореєстраторами, датчиками, що виявляють рух або перевищення ступеня електромагнітного випромінювання в зоні розташування технічних засобів зняття інформації, закладних пристроїв.

Апаратні засоби захисту.Це електричні, електронні, оптичні, лазерні та інші пристрої, що вбудовуються в інформаційні та телекомунікаційні системи. Перед використанням апаратних засобів у інформаційні системи необхідно переконатися у сумісності.

Програмні засоби- це прості та системні, комплексні програми, призначені для вирішення приватних та комплексних завдань, пов'язаних із забезпеченням ІБ. Прикладом комплексних рішень служать і: перші служать для запобігання витоку, переформатування інформації та перенаправлення інформаційних потоків, другі забезпечують захист від інцидентів у сфері інформаційної безпеки. Програмні засоби вимагають потужності апаратних пристроїв, і при установці необхідно передбачити додаткові резерви.

можна безкоштовно протестувати протягом 30 днів. Перед встановленням системи інженери "СерчІнформ" проведуть технічний аудит у компанії замовника.

До специфічним засобамінформаційної безпеки відносяться різні криптографічні алгоритми, що дозволяють шифрувати інформацію на диску і перенаправляти зовнішніми каналами зв'язку. Перетворення інформації може відбуватися за допомогою програмних та апаратних методів, що працюють у корпоративних інформаційних системах.

Усі засоби, що гарантують безпеку інформації, повинні використовуватися в сукупності після попередньої оцінки цінності інформації та порівняння її з вартістю ресурсів, витрачених на охорону. Тому пропозиції щодо використання коштів повинні формулюватися вже на етапі розробки систем, а затвердження має проводитися на рівні управління, який відповідає за затвердження бюджетів.

З метою забезпечення безпеки необхідно проводити моніторинг усіх сучасних розробок, програмних та апаратних засобів захисту, загроз та своєчасно вносити зміни до власних систем захисту від несанкціонованого доступу. Тільки адекватність та оперативність реакції на загрози допоможе досягти високого рівня конфіденційності у роботі компанії.

У 2018 році вийшов перший реліз. Ця унікальна програма складає психологічні портрети співробітників та розподіляє їх за групами ризику. Такий підхід до забезпечення інформаційної безпеки дозволяє передбачити можливі інциденти та заздалегідь вжити заходів.

Неформальні засоби захисту

Неформальні засоби захисту групуються на нормативні, адміністративні та морально-етичні. На першому рівні захисту знаходяться нормативні засоби, що регламентують інформаційну безпеку як процес у діяльності організації.

• Нормативні засоби

У світовій практиці розробки нормативних засобів орієнтуються на стандарти захисту ІБ, основний - ISO/IEC 27000. Стандарт створювали дві організації:

• ISO - Міжнародна комісія зі стандартизації, яка розробляє та затверджує більшість визнаних на міжнародному рівні методик сертифікації якості процесів виробництва та управління;
• IEC - Міжнародна енергетична комісія, яка внесла до стандарту своє розуміння систем ІБ, засобів та методів її забезпечення

Актуальна версія ISO/IEC 27000-2016 пропонують готові стандарти та випробувані методики, необхідні для впровадження ІБ. На думку авторів методик, основа інформаційної безпеки полягає у системності та послідовній реалізації всіх етапів від розробки до пост-контролю.

Для отримання сертифіката, який підтверджує відповідність стандартам із забезпечення інформаційної безпеки, необхідно впровадити всі рекомендовані методики у повному обсязі. Якщо немає необхідності отримувати сертифікат, в якості бази для розробки власних ІБ-систем допускається прийняти будь-яку з ранніх версій стандарту, починаючи з ISO/IEC 27000-2002, або російських ГОСТів, що мають рекомендаційний характер.

За підсумками вивчення стандарту розробляються два документи щодо безпеки інформації. Основний, але менш формальний - концепція ІБ підприємства, що визначає заходи та засоби впровадження ІБ-системи для інформаційних систем організації. Другий документ, які зобов'язані виконувати всі співробітники компанії, - положення про інформаційну безпеку, яке затверджується на рівні ради директорів або виконавчого органу.

Крім положення на рівні компанії повинні бути розроблені переліки відомостей, що становлять комерційну таємницю, додатки до трудових договорів, що закріплює відповідальність за розголошення конфіденційних даних, інші стандарти та методики. Внутрішні норми та правила повинні містити механізми реалізації та заходи відповідальності. Найчастіше заходи носять дисциплінарний характер, і порушник має бути готовий до того, що за порушенням режиму комерційної таємниці будуть істотні санкції аж до звільнення.

• Організаційні та адміністративні заходи

В рамках адміністративної діяльності із захисту ІБ для співробітників служб безпеки відкривається простір для творчості. Це і архітектурно-планувальні рішення, що дозволяють захистити переговорні кімнати та кабінети керівництва від прослуховування, та встановлення різних рівнів доступу до інформації. Важливими організаційними заходами стануть сертифікація діяльності компанії за стандартами ISO/IEC 27000, сертифікація окремих апаратно-програмних комплексів, атестація суб'єктів та об'єктів на відповідність необхідним вимогам безпеки, отримання ліцензій, необхідних для роботи із захищеними масивами інформації.

З погляду регламентації діяльності персоналу важливим стане оформлення системи запитів на допуск до інтернету, зовнішньої електронної пошти, інших ресурсів. Окремим елементом стане отримання електронного цифрового підпису для посилення безпеки фінансової та іншої інформації, яку передають державним органам каналами електронної пошти.

• Морально-етичні заходи

Морально-етичні заходи визначають особисте ставлення людини до конфіденційної інформації чи інформації, обмеженої обороті. Підвищення рівня знань співробітників щодо впливу загроз на діяльність компанії впливає на рівень свідомості та відповідальності співробітників. Щоб боротися з порушеннями режиму інформації, включаючи, наприклад, передачу паролів, необережне поводження з носіями, поширення конфіденційних даних у приватних розмовах, потрібно наголошувати на особисту свідомість співробітника. Корисним буде встановити показники ефективності персоналу, які залежатимуть від ставлення до корпоративної системи ІБ.

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму, розташовану нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru/

• Вступ
• 1. Класифікація інформації
• 2. Інформаційна безпека
• 2.1 Загрози інформації
• 2.2 Загрози конфіденційної інформації.
• 2.3 Напрями захисту інформації
• 2.4 Система захисту інформації
• Висновок
• Список використаних джерел
• Вступ
• Кожен інформаційний ресурс, будь то комп'ютер користувача, сервер організації або мережеве обладнання, повинен бути захищений від усіляких загроз. Захищені мають бути файлові системи, мережа тощо. Способи реалізації захисту ми в цій статті розглядати не будемо через їхню величезну різноманітність.
• Проте слід розуміти, що забезпечити стовідсотковий захист неможливо. Разом з тим треба пам'ятати: чим вищий рівень захищеності, тим дорожча система, тим більш незручною у використанні вона виходить для користувача, що веде до погіршення захисту від людського фактора. Як приклад згадаємо, що надмірне ускладнення пароля веде до того, що користувач змушений записувати його на папірець, який приклеює до монітора, клавіатури та ін.
• Існує широкий спектр програмного забезпечення, спрямованого вирішення завдань захисту інформації. Це антивірусні програми, брандмауери, вбудовані засоби операційних систем та багато іншого. Проте варто пам'ятати, що найуразливішою ланкою у захисті завжди залишається людина! Адже працездатність будь-якого програмного забезпечення залежить від якості його написання та грамотності адміністратора, який налаштовує той чи інший засіб захисту.
• Багато організацій у зв'язку з цим створюють служби (відділи) захисту чи ставлять відповідні завдання перед своїми ІТ-отделами. Разом з тим, треба розуміти, що не можна звалювати на службу ІТ невластиві їй функції. Про це вже не раз говорилося і писалося. Отже, припустимо, у вашій організації створено відділ інформаційної безпеки. Що робити далі? З чого почати?
• Починати треба з навчання працівників! І надалі зробити цей процес регулярним. Навчання персоналу основ захисту інформації має стати постійним завданням відділу захисту інформації. І робити це потрібно не рідше двох разів на рік.
• 1. Класифікація інформації
• Історично склалося те, що щойно порушується питання класифікації інформації (насамперед це стосується інформації, що належить державі), її відразу ж починають класифікувати за рівнем секретності (конфіденційності). Про вимоги щодо забезпечення доступності, цілісності, спостережуваності якщо і згадують, то мимохіть, у ряді загальних вимог до систем обробки інформації.
• Якщо такий погляд ще можна виправдати необхідністю забезпечення державної таємниці, то перенесення його в іншу предметну область виглядає просто безглуздо. Наприклад, відповідно до вимог українського законодавства, власник інформації сам визначає рівень її конфіденційності (якщо ця інформація не належить державі).
• Багато областях частка конфіденційної інформації порівняно мала. Для відкритої інформації, збиток від розголошення якої невеликий, найважливішими може бути такі властивості, як доступність, цілісність чи захищеність від неправомірного копіювання. Розглянемо як приклад веб-сайт інтернет-видання. На першому місці стоятиме, на мій погляд, доступність і цілісність інформації, а не її конфіденційність. Оцінювати та класифікувати інформацію тільки з позиції та таємності щонайменше непродуктивно.
• І пояснити це можна лише вузькістю традиційного підходу до захисту інформації, відсутністю досвіду щодо забезпечення доступності, цілісності та спостережуваності інформації, яка не є секретною (конфіденційною).
• Схема класифікації інформації щодо значущості
• ІНФОРМАЦІЯ

A. Особливої ​​ваги (ОВ)

B. Цілком таємно (СС)

C. секретно (с)

D. для службового користування

F. І відкритого характеру (О)

З погляду захисту в «Інформації» можна виділити низку істотних властивостей:

1. Конфіденційність - властивість інформації, значення якої встановлюється власником інформації, що відображає обмеження доступу до неї відповідно до чинного законодавства.

2. Доступність – властивість інформації, що визначає ступінь можливості отримання інформації.

3. Достовірність - властивість інформації, що визначає міру довіри до неї.

4. Цілісність - властивість інформації, що визначає структурну придатність інформації для використання.

Категорії конфіденційності інформації, що захищається

· Конфіденційно - інформація, визнана конфіденційною відповідно до вимог закону, або інформація, обмеження на поширення якої введено рішенням керівництва внаслідок того, що її розголошення може призвести до важких фінансово-економічних наслідків для організації аж до банкрутства;

· конфіденційно - до цієї категорії входить інформація, не віднесена до категорії «цілком конфіденційно», обмеження на поширення якої введені рішенням керівництва відповідно до наданих йому як власнику інформації чинним законодавством правами внаслідок того, що її розголошення може призвести до значних збитків та втрати конкурентоспроможності організації (завдання істотних збитків інтересам його клієнтів, партнерів або співробітників);

· Відкрита - до цієї категорії відноситься інформація, забезпечення конфіденційності якої не потрібно.

Категорії цілісності інформації, що захищається

· Висока - інформація, несанкціонована модифікація або підробка якої може призвести до завдання значного збитку організації;

· Низька - до цієї категорії відноситься інформація, несанкціонована модифікація якої може призвести до завдання незначної шкоди організації, її клієнтам, партнерам або співробітникам;

· Немає вимог - до цієї категорії відноситься інформація, до забезпечення цілісності та автентичності якої вимог не пред'являється.

2. Інформаційна безпека

У той час як інформаційна безпека - це стан захищеності інформаційного середовища, захист інформації являє собою діяльність із запобігання витоку інформації, що захищається, несанкціонованих і ненавмисних впливів на інформацію, що захищається, тобто процес, спрямований на досягнення цього стану.

Інформаційна безпека організації - стан захищеності інформаційного середовища організації, що забезпечує її формування, використання та розвиток.

У сучасному соціумі інформаційна сфера має дві складові: інформаційно-технічну (штучно створений людиною світ техніки, технологій тощо) та інформаційно-психологічну (природний світ живої природи, що включає і саму людину). Відповідно, у загальному випадку інформаційну безпеку суспільства (держави) можна уявити двома складовими частинами: інформаційно-технічною безпекою та інформаційно-психологічною (психофізичною) безпекою.

Безпека інформації (даних) - стан захищеності інформації (даних), у якому забезпечені її (їх) конфіденційність, доступність і цілісність.

Інформаційна безпека - захист конфіденційності, цілісності та доступності інформації.

Інформаційна безпека (англ. information security) - всі аспекти, пов'язані з визначенням, досягненням та підтриманням конфіденційності, цілісності, доступності, невідмовності, підзвітності, автентичності та достовірності інформації або засобів її обробки.

2.1 Загрози інформації

Під загрозами інформації будемо розуміти потенційні або реально можливі дії щодо інформаційної сфери, що призводять до несанкціонованих змін властивостей інформації (конфіденційність, доступність, достовірність, цілісність).

По кінцевому прояву можна назвати такі загрози інформації:

1. Ознайомлення.

2. Модифікація.

3. Знищення.

4. Блокування.

Конкретні реалізації загроз інформації називаються сценаріями загроз інформації.

Ознайомлення з конфіденційною інформацією може проходити різними шляхами та способами, при цьому суттєвим є відсутність змін самої інформації.

Порушення конфіденційності або секретності інформації пов'язане з ознайомленням із нею тих осіб, для яких вона не призначалася. Яка інформація є конфіденційною чи секретною вирішує власник чи власник цієї інформації. Вони визначають коло осіб, які мають доступ до неї. Порушення конфіденційності інформації може статися шляхом ознайомлення з нею особами, які не мають на те прав та несанкціонованої модифікації грифу секретності (значущості).

Модифікація інформації спрямовано зміну таких властивостей як конфіденційність, достовірність, цілісність, у своїй мається на увазі зміна складу та змісту відомостей. Модифікація інформації не має на увазі її повне знищення.

Знищення інформації спрямоване, як правило, на цілісність інформації та призводить до її повного руйнування. Порушення цілісності інформації полягає у втраті інформації. При втрати інформації вона пропадає безповоротно і може бути відновлена ​​ніякими засобами. Втрата може статися через руйнування або знищення носія інформації або його зникнення, через стирання інформації на носіях з багаторазовим записом, зникнення живлення в пристроях з енергозалежною пам'яттю. При знищенні інформації порушується також властивість доступності інформації.

Блокування інформації призводить до втрати доступу до неї, тобто. до недоступності інформації. Доступність інформації полягає в тому, що суб'єкт, що має право на її використання, повинен мати можливість на своєчасне її отримання у зручному для нього вигляді. При втраті доступу до інформації вона, як і раніше, існує, але скористатися нею не можна. Тобто. суб'єкт не може з нею ознайомитися, скопіювати, передати іншому суб'єкту або подати у вигляді зручному для використання. Втрата доступу може бути пов'язана з відсутністю або несправністю деякого обладнання автоматизованих систем (АС), відсутністю якогось спеціаліста або недостатньою його кваліфікацією, відсутністю або непрацездатністю якогось програмного засобу, використанням ресурсів АС для обробки сторонньої інформації, виходом з ладу систем забезпечення АС та ін Оскільки інформація не втрачена, то доступ до неї може бути отриманий після усунення причин втрати доступу.

Перелічені загрози інформації можуть бути у вигляді комплексу послідовних і паралельних реалізацій. Реалізація загроз інформації, пов'язана з порушенням властивостей інформації, призводить до порушення режиму управління і в кінцевому підсумку до моральних та (або) матеріальних втрат.

Перелічені вище загрози інформації можуть бути класифіковані за такими напрямами:

по об'єктах:

· Персонал,

· Матеріальні та фінансові цінності,

· Інформація;

зі шкоди:

· Граничний,

· Значний,

· Неістотний;

з причин появи

· Стихійні,

· Умисні;

по відношенню до об'єкта:

· Внутрішні,

· Зовнішні;

за характером дії:

· Активні,

· Пасивні.

Джерела інформаційних загроз може бути як внутрішніми, і зовнішніми. Найчастіше такий поділ відбувається за територіальною ознакою та за ознакою належності до об'єкта інформаційного захисту.

Джерела інформаційних загроз

Співвідношення зовнішніх та внутрішніх загроз на усередненому рівні можна охарактеризувати так:

· 82% загроз вчиняються власними співробітниками фірми або за їх прямої або опосередкованої участі;

· 17% загроз відбувається ззовні - зовнішні загрози;

· 1% загроз відбувається випадковими особами.

Інформаційні небезпеки мають векторний характер, тобто. завжди переслідують певні цілі та спрямовані на конкретні об'єкти.

Джерелами конфіденційної інформації є люди, документи, публікації, технічні носії інформації, технічні засоби забезпечення виробничої та трудової діяльності, продукція та відходи виробництва.

До найважливіших об'єктів забезпечення інформаційної безпеки у правоохоронній та судовій сферах належать:

· Інформаційні ресурси федеральних органів виконавчої влади, що реалізують правоохоронні функції, судових органів, їх інформаційно-обчислювальних центрів, науково-дослідних установ та навчальних закладів, що містять спеціальні відомості та оперативні дані службового характеру;

· Інформаційно-обчислювальні центри, їх інформаційне, технічне, програмне та нормативне забезпечення;

· Інформаційна інфраструктура (інформаційно-обчислювальні мережі, пункти управління, вузли та лінії зв'язку).

2.2 Загрози конфіденційної інформації.

Для систем інформаційного спілкування існує одне загальне становище, дуже важливе розуміння інформаційної безпеки загалом. Інформація завжди адресна і має власника. Понад те, адресність не довільна, а визначається власником інформації. Якщо це право наголошується в повідомленні (вказується гриф секретності), то інформація стає конфіденційною. Отримуючи цю інформацію, користувач неспроможна довільно нею розпоряджатися, вона не належить (якщо було передачі права власності).

Право власності визначається чинним у країні законодавством. Залежно від виду власності конфіденційна інформація може бути віднесена до інформації державної, комерційної, особистої. Таке співвідношення робиться підпорядковане, з низхідною ієрархією.

Перелік відомостей, що становлять державну таємницю, формує держава в особі його інститутів та установ. Ці відомості є обов'язковою таємницею для окремих, нижчих за рангом, юридичних та фізичних осіб країни.

Перелік відомостей, що визначають комерційну таємницю, формує комерційне підприємство. Воно ж забезпечує їх збереження та захист.

Особисту таємницю визначає фізична особа. Звичайно, що безпека і захист цих відомостей - його турбота, хоча правовий захист за державою.

Неправомірне оволодіння конфіденційною інформацією можливе за рахунок її розголошення джерелами відомостей, за рахунок витоку інформації через технічні засоби та за рахунок несанкціонованого доступу до відомостей, що охороняються.

Дії, що призводять до незаконного оволодіння конфіденційною інформацією:

· Розголошення,

· Витік,

· Несанкціонований доступ.

1. Розголошення - це навмисні чи необережні дії з конфіденційними відомостями, що призвели до ознайомлення з ними осіб, які не допущені до них.

Розголошення виражається у повідомленні, передачі, наданні, пересиланні, опублікуванні, втраті та інших формах обміну та дій з конфіденційною інформацією. Реалізується розголошення формальними і неформальними каналами поширення інформації.

До формальних комунікацій відносяться ділові зустрічі, наради, переговори тощо форми спілкування: обмін офіційними діловими та науковими документами засобами передачі офіційної інформації (пошта, телефон, телеграф та ін.).

Неформальні комунікації включають особисте спілкування, виставки, семінари, конференції та інші масові заходи, і навіть засоби інформації (друк, газети, інтерв'ю, радіо, телебачення та інших.).

Як правило, причиною розголошення конфіденційної інформації є недостатнє знання працівниками правил захисту секретів та нерозуміння (або нерозуміння) необхідності їх ретельного дотримання. Тут важливо відзначити, що суб'єктом у цьому виступає джерело (власник) секретів, що охороняються.

Слід зазначити інформаційні особливості цієї дії. Інформація змістовна, осмислена, впорядкована, аргументована, об'ємна і часто доводиться в реальному масштабі часу. Часто є можливість діалогу. Інформація орієнтована у певній тематичній галузі та документована. Для отримання інформації, що цікавить зловмисника, останній витрачає практично мінімальні зусилля і використовує прості легальні технічні засоби.

2. Витік - це безконтрольний вихід конфіденційної інформації за межі організації або кола осіб, яким вона довірена по технічних каналах витоку інформації.

Витік інформації здійснюється за різними технічними каналами. Відомо, що інформація взагалі переноситься чи передається або енергією, або речовиною. Це або акустична (звук), або електромагнітне випромінювання, або аркуш паперу та ін.

З огляду на це можна стверджувати, що за фізичною природою можливі такі шляхи перенесення інформації світлові промені, звукові хвилі, електромагнітні хвилі, матеріали та речовини.

Відповідно до цього класифікуються і канали витоку інформації на візуально-оптичні, акустичні, електромагнітні та матеріально-речові. Під каналом витоку інформації прийнято розуміти фізичний шлях від джерела конфіденційної інформації до зловмисника, за допомогою якого останній може отримати доступ до відомостей, що охороняються.

Для утворення каналу витоку інформації необхідні певні просторові, енергетичні та часові умови, а також наявність на стороні зловмисника відповідної апаратури прийому, обробки та фіксації інформації.

3. Несанкціонований доступ - це протиправне навмисне оволодіння конфіденційною інформацією особою, яка не має права доступу до секретів, що охороняються.

Задля реалізації цих дій зловмиснику доводиться проникати на об'єкт захисту, використовуючи різні технічні засоби. З розвитком комп'ютерних технологій став доступний дистанційний несанкціонований доступ до інформації, що охороняється, або, інакше кажучи - комп'ютерний злом.

З урахуванням викладеного залишається розглянути питання, які умови сприяють неправомірному оволодінню конфіденційною інформацією:

ü Розголошення (зайва балакучість співробітників) – 32%;

ü Несанкціонований доступ шляхом підкупу та відміни до співпраці з боку конкурентів та злочинних угруповань – 24%;

ü Відсутність на фірмі належного контролю та жорстких умов забезпечення інформаційної безпеки – 14%;

ü Традиційний обмін виробничим досвідом – 12%;

ü Безконтрольне використання інформаційних систем – 10%;

ü Наявність передумов виникнення серед співробітників конфліктів – 8%.

2.3 Напрями захисту інформації

У літературі пропонується така класифікація засобів захисту.

· Засоби захисту від несанкціонованого доступу (НСД):

· Мандатне управління доступом;

· Виборче управління доступом;

· Управління доступом на основі ролей;

· Журналування (так само називається Аудит).

· Системи аналізу та моделювання інформаційних потоків (CASE-системи).

· Системи моніторингу мереж:

· Системи виявлення та запобігання вторгненням (IDS/IPS).

· Аналізатори протоколів.

· Антивірусні засоби.

· Міжмережеві екрани.

· Криптографічні засоби:

· Шифрування;

· Цифровий підпис.

· Системи резервного копіювання.

· Системи безперебійного живлення:

· Джерела безперебійного живлення;

· Резервування навантаження;

· Генератори напруги.

· Системи аутентифікації:

· Пароль;

· Сертифікат;

· Біометрія.

· Засоби запобігання злому корпусів та крадіжок обладнання.

· Засоби контролю доступу до приміщень.

· Інструментальні засоби аналізу систем захисту:

· Моніторинговий програмний продукт.

З урахуванням практики забезпечення інформаційної безпеки, що склалася, виділяють такі напрями захисту інформації:

1. Правовий захист – це спеціальні закони, інші нормативні акти, правила, процедури та заходи, що забезпечують захист інформації на правовій основі;

2. Організаційний захист - це регламентація діяльності та взаємовідносин виконавців на нормативно-правовій основі, що виключає або суттєво ускладнює неправомірне оволодіння конфіденційною інформацією та прояв внутрішніх та зовнішніх загроз.

3. Інженерно-технічний захист - це сукупність спеціальних органів, технічних засобів та заходів щодо їх використання на користь захисту конфіденційної інформації.

Для реалізації захисту створюється система безпеки.

Під Системою безпеки розумітимемо організаційну сукупність спеціальних органів, служб, засобів, методів та заходів, що забезпечують захист життєво важливих інтересів особистості, підприємств, держави від внутрішніх та зовнішніх загроз.

В рамках системи безпеки є система захисту інформації.

Організаційне та інженерно-технічне забезпечення інформаційної безпеки.

Організаційний захист - це регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, що виключає або суттєво ускладнює неправомірне оволодіння конфіденційною інформацією та прояви внутрішніх та зовнішніх загроз.

Організаційний захист забезпечує:

· Організацію охорони, режиму, роботу з кадрами, з документами;

· Використання технічних засобів безпеки та інформаційно-аналітичну діяльність з виявлення внутрішніх та зовнішніх загроз безпеки.

Організаційні заходи відіграють істотну роль у створенні надійного механізму захисту інформації, оскільки можливості несанкціонованого використання конфіденційних відомостей значною мірою обумовлюються не технічними аспектами, а зловмисними діями, недбалістю, недбалістю та недбалістю користувачів або персоналу захисту. Впливу цих аспектів практично неможливо уникнути за допомогою технічних засобів. Для цього необхідна сукупність організаційно-правових та організаційно-технічних заходів, які б виключали (або принаймні зводили б до мінімуму) можливість виникнення небезпеки конфіденційної інформації.

Організаційні заходи - це заходи обмежувального характеру, що зводяться переважно, до регламентації доступу та використання технічних засобів обробки інформації. Вони, зазвичай, проводяться силами самої організації шляхом використання найпростіших організаційних заходів.

До основних організаційних заходів можна віднести:

· Організацію режиму та охорони. Їхня мета - виключення можливості таємного проникнення на територію та у приміщення сторонніх осіб; забезпечення зручності контролю проходу та переміщення співробітників та відвідувачів;

· Створення окремих виробничих зон на кшталт конфіденційних робіт з самостійними системами доступу;

· Контроль та дотримання тимчасового режиму праці та перебування на території персоналу фірми;

· Організація та підтримання надійного пропускного режиму та контролю співробітників та відвідувачів та ін;

· Організацію роботи зі співробітниками, яка передбачає добір та розстановку персоналу, включаючи ознайомлення зі співробітниками, їх вивчення, навчання правилам роботи з конфіденційною інформацією, ознайомлення з заходами відповідальності за порушення правил захисту інформації та ін;

· Організацію роботи з документами та документованою інформацією, включаючи організацію розробки та використання документів та носіїв конфіденційної інформації, їх облік, виконання, повернення, зберігання та знищення;

· Організацію використання технічних засобів збору, обробки, накопичення та зберігання конфіденційної інформації;

· Організацію роботи з аналізу внутрішніх та зовнішніх загроз конфіденційної інформації та вироблення заходів щодо забезпечення її захисту;

· Організацію роботи з проведення систематичного контролю за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання та знищення документів та технічних носіїв.

У кожному даному випадку організаційні заходи носять специфічну для цієї організації форму та зміст, створені задля забезпечення безпеки інформації у конкретних умовах.

· Визначення меж охоронюваної зони (території);

· Визначення технічних засобів, що використовуються для обробки конфіденційної інформації в межах контрольованої території;

· Визначення «небезпечних», з точки зору можливості утворення каналів витоку інформації, технічних засобів та конструктивних особливостей будівель та споруд;

· Виявлення можливих шляхів проникнення до джерел конфіденційної інформації з боку зловмисників;

· Реалізація заходів щодо виявлення, виявлення та контролю за забезпеченням захисту інформації всіма доступними засобами.

Організаційні заходи виражаються у тих чи інших обмежувальних заходів. Можна виділити такі обмежувальні заходи, як територіальні, просторові та тимчасові.

Територіальні обмеження зводяться до вмілого розташування джерел на місцевості або в будівлях та приміщеннях, що виключають підслуховування переговорів або перехоплення сигналів радіоелектронних засобів.

Просторові обмеження виражаються у виборі напрямів випромінювання тих чи інших сигналів у бік найменшої можливості їхнього перехоплення зловмисниками.

Тимчасові обмеження виявляються у скороченні до мінімуму часу роботи технічних засобів, використанні прихованих методів зв'язку, шифруванні та інших заходів захисту.

Однією з найважливіших завдань організаційної діяльності є визначення стану технічної безпеки об'єкта, його приміщень, підготовка та виконання організаційних заходів, що виключають можливість неправомірного оволодіння конфіденційною інформацією, заборона її розголошення, витоку та несанкціонованого доступу до секретів, що охороняються.

Специфічною областю організаційних заходів є організація захисту ПЕОМ, інформаційних систем та мереж.

Інженерно-технічний захист - це сукупність спеціальних органів, технічних засобів та заходів щодо їх використання на користь захисту конфіденційної інформації.

Засоби інженерно-технічного захисту за функціональним призначенням засобу інженерно-технічного захисту класифікуються на наступні групи:

ü фізичні засоби, що включають різні засоби та споруди, що перешкоджають фізичному проникненню (або доступу) зловмисників на об'єкти захисту та до матеріальних носіїв конфіденційної інформації та здійснюють захист персоналу, матеріальних засобів, фінансів та інформації від протиправних впливів;

ü апаратні засоби. Прилади, пристрої, пристрої та інші технічні рішення, що використовуються в інтересах захисту інформації;

ü програмні засоби, що охоплюють спеціальні програми, програмні комплекси та системи захисту інформації в інформаційних системах різного призначення та засобах обробки (збирання, накопичення, зберігання, обробки та передачі) даних;

ь криптографічні засоби, спеціальні математичні та алгоритмічні засоби захисту інформації, що передається по системах і мережах зв'язку, що зберігається та обробляється на ЕОМ з використанням різноманітних методів шифрування.

Вочевидь, що таке розподіл засобів захисту досить умовно, оскільки практично дуже часто вони взаємодіють і реалізуються у комплексі як програмно-апаратних модулів з широким використанням алгоритмів закриття інформації.

Фізичні засоби це різноманітні пристрої, пристрої, конструкції, апарати, вироби, призначені для створення перешкод на шляху руху зловмисників.

До фізичних засобів відносяться механічні, електромеханічні, електронні, електронно-оптичні, радіотехнічні та інші пристрої для заборони несанкціонованого доступу (входу, виходу), пронесення (винесення) засобів та матеріалів та інших можливих видів злочинних дій.

Ці засоби застосовуються для вирішення наступних завдань:

Охорона території підприємства та спостереження за нею;

Охорона будівель, внутрішніх приміщень та контроль за ними;

Охорона обладнання, продукції, фінансів та інформації;

Здійснення контрольованого доступу до будівель та приміщень.

Усі фізичні засоби захисту об'єктів можна поділити на три категорії: засоби попередження, засоби виявлення та системи ліквідації загроз. Охоронна сигналізація та охоронне телебачення, наприклад, належать до засобів виявлення загроз. Паркани навколо об'єктів - це засоби попередження несанкціонованого проникнення на територію, а посилені двері, стіни, стелі, грати на вікнах та інші заходи є захистом і від проникнення, і від інших злочинних дій (підслуховування, обстріл, кидання гранат і вибухових пакетів та ін.) . Засоби пожежогасіння належать до систем ліквідації загроз.

У загальному плані, за фізичною природою та функціональним призначенням всі засоби цієї категорії можна розділити на наступні групи:

Охоронні та охоронно-пожежні системи;

Охоронне телебачення;

Охоронне висвітлення;

Засоби фізичного захисту.

До апаратних засобів захисту відносяться найрізноманітніші за принципом дії, влаштуванню та можливостям технічні конструкції, що забезпечують припинення розголошення, захист від витоку та протидія несанкціонованому доступу до джерел конфіденційної інформації.

Апаратні засоби захисту інформації застосовуються для вирішення наступних завдань:

Проведення спеціальних досліджень технічних засобів забезпечення виробничої діяльності на наявність можливих каналів витоку інформації;

Виявлення каналів витоку інформації на різних об'єктах та у приміщеннях;

Локалізація каналів витоку інформації;

Пошук та виявлення засобів промислового шпигунства;

Протидія несанкціонованому доступу до джерел конфіденційної інформації та інших дій.

У спеціальну групу виділяються апаратні засоби захисту ЕОМ та комунікаційних систем на їх основі.

Апаратні засоби захисту застосовуються як в окремих ПЕОМ, так і на різних рівнях та ділянках мережі: у центральних процесорах ЕОМ, у їх оперативних ЗУ (ОЗУ), контролерах введення-виводу, зовнішніх ЗУ, терміналах та ін.

Для захисту центральних процесорів (ЦП) застосовується кодове резервування – створення додаткових бітів у форматах машинних команд (розрядів секретності) та резервних регістрів (у пристроях ЦП). Одночасно передбачаються два можливі режими роботи процесора, які відокремлюють допоміжні операції від операцій безпосереднього вирішення завдань користувача. І тому служить спеціальна система переривання, реалізована апаратними засобами.

Одним із заходів апаратного захисту ЕОМ та інформаційних мереж є обмеження доступу до оперативної пам'яті за допомогою встановлення меж або полів. Для цього створюються регістри контролю та регістри захисту даних. Застосовуються також додаткові біти парності - різновид методу кодового резервування.

Для позначення ступеня конфіденційності програм та даних, категорій користувачів використовуються біти, які називаються бітами конфіденційності (це два-три додаткові розряди, за допомогою яких кодуються категорії секретності користувачів, програм та даних).

Для запобігання зчитуванню даних після обробки даних в ОЗУ застосовується спеціальна схема стирання. У цьому випадку формується команда на стирання ОЗУ та вказується адреса блоку пам'яті, яка повинна бути звільнена від інформації. Ця схема записує нулі або якусь іншу послідовність символів у всі осередки даного блоку пам'яті, забезпечуючи надійне стирання раніше завантажених даних.

Апаратні засоби захисту застосовуються у терміналах користувачів. Для запобігання витоку інформації при підключенні незареєстрованого терміналу необхідно перед видачею даних здійснити ідентифікацію (автоматичне визначення коду або номера) терміналу, з якого надійшов запит. У розрахованому на багато користувачів режимі цього терміналу ідентифікації його недостатньо. Необхідно здійснити автентифікацію користувача, тобто встановити справжність і повноваження. Це необхідно тому, що різні користувачі, зареєстровані в системі, можуть мати доступ тільки до окремих файлів і суворо обмежені повноваження їх використання.

Для ідентифікації терміналу найчастіше застосовується генератор коду, включений в апаратуру термінала, а автентифікації користувача -- такі апаратні засоби, як ключі, персональні кодові карти, персональний ідентифікатор, пристрої розпізнавання голосу користувача чи форми його пальців. Але найпоширенішими засобами автентифікації є паролі, які перевіряються не апаратними, а програмними засобами розпізнавання.

Програмні засоби захисту.

Засоби захисту комп'ютера від чужого вторгнення дуже різноманітні і можуть бути класифіковані на такі групи, як:

ü Засоби власного захисту, передбачені загальним програмним забезпеченням. Елементи захисту властиві самому програмному забезпеченню або супроводжують його продаж.

ü Засоби захисту у складі обчислювальної системи. Захист апаратури, дисків та штатних пристроїв. Виконання програм залежить від певних дій, спеціальних запобіжних заходів.

ü Засоби захисту із запитом інформації. Вимагають введення додаткової інформації для ідентифікації повноважень користувача.

ü Засоби активного захисту. Ініціюються у разі особливих обставин (введення неправильного пароля тощо).

ü Засоби пасивного захисту. Направлено на застереження, контроль, пошук доказів і т.д.

Можна виділити такі напрямки використання програм для забезпечення безпеки конфіденційної інформації:

Захист інформації від несанкціонованого доступу;

Захист інформації та програм від копіювання;

Захист інформації та програм від вірусів;

Програмний захист каналів зв'язку.

По кожному із зазначених напрямів є достатня кількість якісних, розроблених професійними організаціями та програмних продуктів, що розповсюджуються на ринках.

Програмні засоби захисту мають такі різновиди спеціальних програм:

Ідентифікація технічних засобів, файлів та аутентифікації користувачів;

Реєстрація та контроль роботи технічних засобів та користувачів;

обслуговування режимів обробки інформації обмеженого користування;

Захист операційних засобів ЕОМ та прикладних програм користувачів;

Знищення інформації у ЗУ після використання;

контроль використання ресурсів;

Допоміжні програми захисту різного призначення.

Криптографічні засоби захисту

Перетворення математичними методами секретного повідомлення, телефонної розмови або комп'ютерних даних, що передається по каналах зв'язку, таким чином, що вони стають абсолютно незрозумілими для сторонніх осіб.

Організаційно-технічні заходи забезпечують блокування розголошення та витоку конфіденційних відомостей через технічні засоби забезпечення виробничої та трудової діяльності, а також протидію технічним засобам промислового шпигунства за допомогою спеціальних технічних засобів, що встановлюються на елементи конструкцій будівель приміщень та технічних засобів, що потенційно утворюють канал.

З цією метою можливе використання:

Технічних засобів пасивного захисту, наприклад фільтрів обмежувачів тощо розв'язки акустичних електричних і електромагнітних систем захисту мереж телефонного зв'язку, енергопостачання, радіо та ін.

Технічні засоби активного захисту: датчики акустичних шумів та електромагнітні перешкоди.

Організаційно-технічні заходи щодо захисту інформації можна поділити на просторові, режимні та енергетичні.

Просторові заходи виражаються у зменшенні ширини діаграми спрямованості, ослабленні бічних та задніх пелюсток діаграми спрямованості випромінювання радіоелектронних засобів (РЕМ).

Режимні заходи зводяться до використання прихованих методів передачі з засобів зв'язку: шифрування, квазипеременные частоти передачі та інших.

Енергетичні - це зниження інтенсивності випромінювання та робота РЕМ на знижених потужностях.

Технічні заходи це заходи, що забезпечують придбання, встановлення та використання в процесі виробничої діяльності спеціальних, захищених від побічних випромінювань (безпечних) технічних засобів або засобів, ПЕМІ яких не перевищують кордон території, що охороняється.

Технічні заходи захисту конфіденційної інформації можна поділити на приховування, придушення та дезінформацію.

Приховування виявляється у використанні радіомовчання та створення пасивних перешкод прийомним засобам зловмисників.

Придушення - створення активних перешкод засобам зловмисників.

Дезінформація – це організація помилкової роботи технічних засобів зв'язку та обробки інформації; зміна режимів використання частот та регламентів зв'язку; показ помилкових демаструючих ознак діяльності та розпізнавання.

Захисні заходи технічного характеру можуть бути спрямовані на конкретний технічний пристрій або конкретну апаратуру і виражаються в таких заходах, як відключення апаратури на час ведення конфіденційних переговорів або використання тих чи інших захисних пристроїв типу обмежувачів буферних засобів фільтрів і пристроїв зашумлення.

2.4 Система захисту інформації

інформаційний безпека цілісність

Під Системою безпеки розумітимемо організаційну сукупність спеціальних органів, служб, засобів, методів та заходів, що забезпечують захист життєво важливих інтересів особистості, підприємств, держави від внутрішніх та зовнішніх загроз

Система безпеки

ü Розробка планів та заходів щодо захисту інформації;

ü Формування, забезпечення та розвиток органів, сил та засобів забезпечення безпеки;

ь Відновлення об'єктів захисту

ü Виявлення загрози;

ü Запобігання загрозі;

ü Нейтралізація загрози;

ü Припинення загрози;

ь Локалізація загрози;

ü Відбиття загрози;

ь Знищення загрози

Система захисту інформації (СЗІ) - це організована сукупність спеціальних органів засобів, методів та заходів, що забезпечують захист інформації від внутрішніх та зовнішніх загроз.

З позицій системного підходу захисту інформації пред'являються певні вимоги. Захист інформації має бути:

1. Безперервний.

2. Плановий. Кожна служба розробляє план захисту у сфері своєї компетенції.

3. Цілеспрямованою. Захищається те, що має захищатися на користь конкретної мети.

4. Конкретним. Захищаються конкретні дані, які об'єктивно підлягають захисту.

5. Активний.

6. Надійний.

7. Універсальний. Поширюється на будь-які канали витоку інформації.

8. Комплексний. Застосовуються всі необхідні види та форми захисту.

Для реалізації цих вимог СЗІ може мати таке забезпечення:

1. Правове.

2. Організаційне. Різні види служб.

3. Апаратне. Технічні засоби захисту.

4. Інформаційне. Відомості, дані, показники.

5. Програмне. Програми.

6. Математичне. Математичні методи.

7. Лінгвістичне. Мовні засоби спілкування.

8. Нормативно-методичне. Регламент діяльності служб, практичні методики.

Способи - це порядок та прийоми використання сил та засобів для досягнення поставленої мети щодо захисту конфіденційної інформації.

Способи захисту інформації - це сукупність прийомів, сил і засобів, що забезпечують конфіденційність, цілісність, повноту та доступність інформації, та протидію внутрішнім та зовнішнім загрозам.

Забезпечення інформаційної безпеки досягається системою заходів, спрямованих на:

· Попередження загроз. Попередження загроз - це превентивні заходи щодо забезпечення інформаційної безпеки на користь запобігання можливості їх виникнення;

· Виявлення загроз. Виявлення загроз виявляється у систематичному аналізі та контролі можливості появи реальних чи потенційних загроз та своєчасних заходів щодо їх попередження;

· Виявлення загроз. Виявлення має на меті визначення реальних загроз та конкретних злочинних дій;

· локалізацію злочинних дій та вжиття заходів щодо ліквідації загрози або конкретних злочинних дій;

· Ліквідацію наслідків загроз і злочинних дій та відновлення статус-кво.

Попередження можливих загроз та протиправних дій може бути забезпечене різними заходами та засобами, починаючи від створення клімату глибоко усвідомленого ставлення працівників до проблеми безпеки та захисту інформації до створення глибокої, ешелонованої системи захисту фізичними, апаратними, програмними та криптографічними засобами.

Попередження загроз можливе і шляхом отримання (якщо хочете - і добування) інформації про протиправні акти, що готуються, заплановані розкрадання, підготовчі дії та інші елементи злочинних діянь. Для цих цілей необхідна робота співробітників служби безпеки з інформаторами на користь спостереження та об'єктивної оцінки ситуації як усередині колективу співробітників, особливо головних ділянок її фірми, так і поза, серед конкурентів та злочинних формувань.

У попередженні загроз важливу роль відіграє інформаційно-аналітична діяльність служби безпеки на основі глибокого аналізу криміногенної обстановки та діяльності конкурентів та зловмисників.

Виявлення має на меті проведення заходів щодо збирання, накопичення та аналітичної обробки відомостей про можливу підготовку злочинних дій з боку кримінальних структур або конкурентів на ринку виробництва та збуту товарів та продукції.

Виявлення загроз - це дії щодо визначення конкретних загроз та їх джерел, які завдають той чи інший вид шкоди. До таких дій можна віднести виявлення фактів розкрадання чи шахрайства, а також фактів розголошення конфіденційної інформації або випадків несанкціонованого доступу до джерел комерційних секретів.

Припинення чи локалізація загроз - це дії, спрямовані на усунення чинної загрози та конкретних злочинних дій. Наприклад, припинення підслуховування конфіденційних переговорів за рахунок акустичного каналу витоку інформації щодо вентиляційних систем.

Ліквідація наслідків має на меті відновлення стану попереднього настання загрози.

Природно припустити, що кожному виду загроз притаманні його специфічні методи, сили та засоби.

Висновок

Оскільки людський фактор є ключовим для забезпечення належного рівня безпеки, всі співробітники повинні мати уявлення про можливі загрози і проблеми і повинні у своїй роботі реалізовувати політику інформаційної безпеки компанії. Для досягнення цього має проводитися навчання працівників, які мають доступ до важливої ​​інформації.

Службою безпеки компанії мають бути забезпечені фізична безпека та контроль доступу до ресурсів:

· Робочі місця співробітників, лабораторії та серверні повинні розташовуватися в окремих приміщеннях;

· Доступ до ресурсів, а також безпека всередині центру розробки компанії повинні ефективно контролюватись з метою забезпечення безперервності виробничих процесів;

· Доступ до приміщень з дорогими системами та носіями конфіденційної інформації повинні контролюватись цілодобово.

Також у компанії має бути розроблений та впроваджений план із забезпечення безперервності бізнес-процесів. У цьому плані мають бути визначені основні ризики та загрози безпеці, методи запобігання зупинці ключових виробничих процесів та їх відновлення після позаштатних ситуацій. План повинен включати регулярне проведення внутрішніх аудитів, навчань з відновлення після аварій та ліквідації наслідків надзвичайних подій.

До технічних заходів щодо попередження витоку інформації належить використання компанії інформаційних систем класу ILDP (Information Leakage Detection and Prevention). Це інструменти, які мають виконувати політики інформаційної безпеки. Технічні засоби повинні аналізувати інформацію, що передається по можливих каналах, і, у разі виявлення конфіденційної інформації, перешкоджати її витоку відповідно до правил та політики інформаційної безпеки компанії.

Важливо пам'ятати, що універсального 100% захисту від витоку інформації не існує ніде і не існуватиме ніколи. Отже, ступінь захисту від витоку може бути визначено як співвідношення витрат на захист і вартості самої інформації, що захищається.

Список тавикористовуємоой літератури

1. Бармен Скотт. Розробка правил інформаційної безпеки. М.: Вільямс, 2002. - 208 с. - ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.

2. Бастриков, М.В. Інформаційні технології управління: Навчальний посібник / М.В.Бастриков, О.П.Пономарьов; Інститут «КВШУ». - Калінінград: Вид-во Ін-ту «КВШУ», 2005

3. Домарьов В. В. Безпека інформаційних технологій. Системний підхід - К.: ТОВ ТІД Діа Софт, 2004. - 992 с.

4. Запечніков С. В., Милославська Н. Г., Толстой А. І., Ушаков Д. В. Інформаційна безпека відкритих систем. У 2-х тт.

5. Інформаційна безпека та захист інформації: Навчальний посібник. – Ростов-на-Дону: Ростовський юридичний інститут МВС Росії, 2004. – 82 с.

6. Шаньгін В. Ф. Захист комп'ютерної інформації. Ефективні методи та засоби. М.: ДМК Прес, 2008. - 544 с. - ISBN 5-94074-383-8.

7. Щербаков А. Ю. Сучасна комп'ютерна безпека. Теоретичні основи. Практичні аспекти - М.: Книжковий світ, 2009. - 352 с. - ISBN 978-5-8041-0378-2.

8. «Служба захисту інформації: перші кроки» // Комп'ютерПрес 9"2008 (http://www.compress.ru/Index.aspx)

Розміщено на Allbest.ru

...

Подібні документи

Стан захищеності інформації та інформаційного середовища від випадкових чи навмисних впливів. Цілі інформаційної безпеки, класифікація загроз. Забезпечення конфіденційності, цілісності, доступності інформації; правовий захист людини.

презентація , доданий 11.04.2016


Класифікація інформації щодо значущості. Категорії конфіденційності та цілісності інформації, що захищається. Поняття інформаційної безпеки, джерела інформаційних загроз. Напрями захисту інформації. Програмні криптографічні засоби захисту.

курсова робота , доданий 21.04.2015


Вплив виду діяльності підприємства на організацію комплексної системи захисту. Склад інформації, що захищається. Потенційні канали несанкціонованого доступу інформації організації. Ефективність системи інформаційної безпеки.

звіт з практики, доданий 31.10.2013


Поняття, значення та напрями інформаційної безпеки. Системний підхід до організації інформаційної безпеки; захист інформації від несанкціонованого доступу. Засоби захисту. Методи та системи інформаційної безпеки.

реферат, доданий 15.11.2011


Поняття та основні засади забезпечення інформаційної безпеки. Поняття безпеки в автоматизованих системах. Основи законодавства РФ у галузі інформаційної безпеки та захисту інформації, процеси ліцензування та сертифікації.

курс лекцій, доданий 17.04.2012


Основні аспекти забезпечення інформаційної безпеки, конфіденційності та цілісності інформації. Приклади загроз, які є порушенням цілісності та доступності інформації. Суб'єкти, об'єкти та операції в інформаційних системах, права доступу.

контрольна робота , доданий 30.12.2010


Аналіз інформаційної захищеності організації, що надає послуги з друку зображень (принтів), логотипів, гасел. Засоби архівації інформації. Класифікація комп'ютерних вірусів, антивірусні програми. Профілактика зараження комп'ютера.

звіт з практики, доданий 19.12.2014


Структурна та просторова моделі банку. Умовні ціни на одиниці інформації. Моделювання загроз безпеки. Система рангів найнебезпечніших технічних каналів витоку інформації. Вимоги щодо організації інформаційної безпеки на підприємстві.

контрольна робота , доданий 24.04.2014


Під інформаційною безпекою систем розуміється підтримання фізичної безпеки, конфіденційності, достовірності, своєчасності інформації, гарантованої працездатності засобів, що використовуються для введення, зберігання, обробки та передачі.

курсова робота , доданий 29.11.2008


Вимоги до інформації: доступність, цілісність та конфіденційність. Модель CIA як інформаційна безпека, що будується на захисті доступності, цілісності та конфіденційності інформації. Прямі та непрямі загрози, засоби захисту інформації.

Анотація: У лекції розглянуто основні поняття інформаційної безпеки. Ознайомлення з ФЗ "Про інформацію, інформаційні технології та захист інформації".

ГОСТ " Захист інформації. Основні терміни та визначення" вводить поняття інформаційної безпекияк стан захищеності інформації, за якого забезпечені її конфіденційність, доступність та цілісність .

• Конфіденційність– стан інформації, у якому доступом до неї здійснюють лише суб'єкти, які мають нею право.
• Цілісність– стан інформації, у якому відсутня будь-яке її зміна чи зміна здійснюється лише навмисно суб'єктами, які мають нього право;
• Доступність– стан інформації, у якому суб'єкти, мають право доступу, можуть реалізовувати його безперешкодно.

Загрози інформаційної безпеки- Сукупність умов і факторів, що створюють потенційну або реально існуючу небезпеку порушення безпеки інформації [ , ]. Атакоюназивається спроба реалізації загрози, а той, хто робить таку спробу, - зловмисником. Потенційні зловмисники називаються джерелами загрози.

Загроза є наслідком наявності вразливих місць або вразливостейв інформаційній системі. Вразливості можуть виникати з різних причин, наприклад, внаслідок ненавмисних помилок програмістів під час написання програм.

Загрози можна класифікувати за кількома критеріями:

• по властивостям інформації(доступність, цілісність, конфіденційність), проти яких загрози спрямовані насамперед;
• по компонентам інформаційних систем, на які загрози націлені (дані, програми, апаратура, підтримуюча інфраструктура);
• за способом здійснення (випадкові/навмисні, дії природного/техногенного характеру);
• за розташуванням джерела загроз (всередині/поза розглянутою ІВ).

Забезпечення інформаційної безпеки є складним завданням, для вирішення якого потрібно комплексний підхід. Виділяють такі рівні захисту інформації:

1. законодавчий - закони, нормативні акти та інші документи РФ та міжнародного співтовариства;
2. адміністративний - комплекс заходів, що вживаються локально керівництвом організації;
3. процедурний рівень – заходи безпеки, які реалізуються людьми;
4. програмно-технічний рівень– безпосередньо засоби захисту.

Законодавчий рівень є основою для побудови системи захисту інформації, оскільки дає базові поняття предметної областіта визначає міру покарання для потенційних зловмисників. Цей рівень відіграє координуючу та спрямовуючу ролі та допомагає підтримувати в суспільстві негативне (і каральне) ставлення до людей, які порушують інформаційну безпеку.

1.2. ФЗ "Про інформацію, інформаційні технології та про захист інформації"

У російському законодавстві базовим законом у галузі захисту інформації є ФЗ "Про інформацію, інформаційні технології та про захист інформації" від 27 липня 2006 року номер 149-ФЗ. Тому основні поняття та рішення, закріплені в законі, вимагають пильного розгляду.

Закон регулює відносини, що виникають при:

• здійсненні права на пошук, отримання, передачу, виробництво та розповсюдження інформації;
• застосування інформаційних технологій;
• забезпечення захисту інформації.

Закон дає основні визначення у сфері захисту інформації. Наведемо деякі з них:

• інформація- відомості (повідомлення, дані) незалежно від форми їх подання;
• інформаційні технології- процеси, методи пошуку, збору, зберігання, обробки, надання, розповсюдження інформації та способи здійснення таких процесів та методів;
• інформаційна система- сукупність інформації, що міститься в базах даних, і забезпечують її обробку інформаційних технологій та технічних засобів;
• володар інформації- особа, яка самостійно створила інформацію або отримала на підставі закону або договору право дозволяти або обмежувати доступ до інформації, що визначається за будь-якими ознаками;
• оператор інформаційної системи- громадянин або юридична особа, які здійснюють діяльність з експлуатації інформаційної системи, у тому числі щодо обробки інформації, що міститься в її базах даних.
• конфіденційність інформації- обов'язкове для виконання особою, яка отримала доступ до певної інформації, вимога не передавати таку інформацію третім особам без згоди її власника.

У статті 4 Закону сформульовано принципи правового регулювання відносин у сфері інформації, інформаційних технологій та захисту інформації:

1. свобода пошуку, отримання, передачі, виробництва та розповсюдження інформації будь-яким законним способом;
2. встановлення обмежень доступу інформації лише федеральними законами;
3. відкритість інформації про діяльність державних органів та органів місцевого самоврядування та вільний доступ до такої інформації, крім випадків, встановлених федеральними законами;
4. рівноправність мов народів Російської Федерації при створенні інформаційних систем та їх експлуатації;
5. забезпечення безпеки Російської Федерації при створенні інформаційних систем, їх експлуатації та захисту інформації, що міститься в них;
6. достовірність інформації та своєчасність її надання;
7. недоторканність приватного життя, неприпустимість збору, зберігання, використання та розповсюдження інформації про приватне життя особи без її згоди;
8. неприпустимість встановлення нормативними правовими актами будь-яких переваг застосування одних інформаційних технологій перед іншими, якщо обов'язковість застосування певних інформаційних технологій до створення та експлуатації державних інформаційних систем не встановлено федеральними законами.

Вся інформація поділяється на загальнодоступнута обмеженого доступу. До загальнодоступної інформації відносяться відомі відомості та інша інформація , доступ до якої не обмежений. У законі визначається інформація, до якої не можна обмежити доступ, наприклад, інформація про навколишнє середовище або діяльність державних органів. Зазначається також, що обмеження доступудо інформації встановлюється федеральними законами з метою захисту основ конституційного ладу, моральності, здоров'я, правий і законних інтересів інших, забезпечення оборони держави й безпеки держави. Обов'язковим є дотримання конфіденційності інформації, доступ якої обмежений федеральними законами.

Забороняється вимагати від громадянина (фізичної особи) надання інформації про його приватне життя, у тому числі інформації, що становить особисту або сімейну таємницю, та отримувати таку інформацію без волі громадянина (фізичної особи), якщо інше не передбачено федеральними законами.

1. інформацію, що вільно розповсюджується;
2. інформацію, що надається за згодою осіб, які беруть участь у відповідних відносинах;
3. інформацію, яка відповідно до федеральних законів підлягає наданню чи розповсюдженню;
4. інформацію, поширення якої у Російської Федерації обмежується чи забороняється.

Закон встановлює рівнозначність електронного повідомлення, підписаного електронним цифровим підписом або іншим аналогом власноручного підпису, та документа, підписаного власноруч.

Дається таке визначення захисту інформації - є прийняття правових, організаційних та технічних заходів, спрямованих на:

1. забезпечення захисту інформації від неправомірного доступу, знищення, модифікування, блокування, копіювання, надання, розповсюдження, а також інших неправомірних дій щодо такої інформації;
2. дотримання конфіденційності інформації обмеженого доступу;
3. реалізацію права доступу до информации.

Власник інформації, оператор інформаційної системи у випадках, встановлених законодавством України, зобов'язані забезпечити:

1. запобігання несанкціонованому доступу до інформації та (або) передачі її особам, які не мають права на доступ до інформації;
2. своєчасне виявлення фактів несанкціонованого доступу до інформації;
3. запобігання можливості несприятливих наслідків порушення порядку доступу до інформації;
4. недопущення на технічні засоби обробки інформації, у результаті якого порушується їх функціонування;
5. можливість негайного відновлення інформації, модифікованої чи знищеної внаслідок несанкціонованого доступу до неї;
6. постійний контролю над забезпеченням рівня захищеності інформації.

Таким чином, ФЗ "Про інформацію, інформаційні технології та захист інформації" створює правову основу інформаційного обміну в РФ і визначає права та обов'язки його суб'єктів.

Інформаційна безпека, як і захист інформації, завдання комплексне, спрямоване забезпечення безпеки, реалізована запровадженням системи безпеки. Проблема захисту є багатоплановою і комплексною і охоплює низку важливих завдань. Проблеми інформаційної безпеки постійно посилюються процесами проникнення в усі сфери суспільства технічних засобів обробки та передачі даних та, насамперед, обчислювальних систем.

На сьогоднішній день сформульовано три базові принципи, які мають забезпечувати інформаційна безпека:

цілісність даних - захист від збоїв, що ведуть до втрати інформації, а також захист від неавторизованого створення або знищення даних;

конфіденційність інформації;

При розробці комп'ютерних систем, виходу з ладу або помилок у роботі яких можуть призвести до тяжких наслідків, питання комп'ютерної безпеки стають першочерговими. Відомо багато заходів, спрямованих на забезпечення комп'ютерної безпеки, основними серед них є технічні, організаційні та правові.

Забезпечення безпеки інформації - дорога справа, і не лише через витрати на закупівлю або встановлення засобів захисту, але також через те, що важко кваліфіковано визначити межі розумної безпеки та забезпечити відповідну підтримку системи у працездатному стані.

Засоби захисту інформації не можна проектувати, купувати або встановлювати до тих пір, поки не проведений відповідний аналіз.

На сайті аналізується інформаційна безпека та її місце у системі національної безпеки, визначаються життєво важливі інтереси в інформаційній сфері та загрози для них. Розглянуто питання інформаційної війни, інформаційної зброї, принципи, основні завдання та функції забезпечення інформаційної безпеки, функції державної системи забезпечення інформаційної безпеки, вітчизняні та зарубіжні стандарти в галузі інформаційної безпеки. Значну увагу приділяють також правовим питанням інформаційної безпеки.

Так само розглядаються загальні питання захисту інформації в автоматизованих системах обробки даних (АСОД), предмет та об'єкти захисту інформації, завдання захисту інформації в АСОД. Розглянуто типи навмисних загроз безпеці та методи захисту інформації в АСОД. Розглянуто методи та засоби підтвердження справжності користувачів та розмежування їх доступу до комп'ютерних ресурсів, контролю доступу до апаратури, використання простих паролів, що динамічно змінюються, методи модифікації схеми простих паролів, функціональні методи.

Основні засади побудови системи інформаційної безпеки.

При побудові системи інформаційної безпеки об'єкта слід керуватися такими принципами:

Безперервність процесу вдосконалення та розвитку системи інформаційної безпеки, що полягає в обґрунтуванні та реалізації найбільш раціональних методів, способів та шляхів захисту інформації, безперервному контролі, виявленні вузьких та слабких місць та потенційно можливих каналів витоку інформації та несанкціонованого доступу.

Комплексне використання всього арсеналу наявних засобів захисту на всіх етапах виробництва та обробки інформації. При цьому всі засоби, методи і заходи, що використовуються, об'єднуються в єдиний, цілісний механізм - систему інформаційної безпеки.

Контролює функціонування, оновлення та доповнення механізмів захисту залежно від зміни можливих внутрішніх та зовнішніх загроз.

Належна підготовка користувачів та дотримання ними всіх встановлених правил збереження конфіденційності. Без виконання цієї вимоги жодна система інформаційної безпеки не може забезпечити необхідний рівень захисту.

Найважливішою умовою забезпечення безпеки є законність, достатність, дотримання балансу інтересів особи та підприємства, взаємна відповідальність персоналу та керівництва, взаємодія з державними правоохоронними органами.

10) Етапи побудови ІБ

Етапи побудови.

1. Комплексний аналіз інформаційної системи

підприємства різних рівнях. Аналіз ризиків.

2. Розробка організаційно-розпорядчих та

регламентуючих документів.

3. Навчання, підвищення кваліфікації та

перепідготовка спеціалістів.

4. Щорічна переоцінка стану інформаційної

безпеки підприємства

11) Брандмаузер

Брандмауери та антивірусні пакети.

Брандмауер (іноді його називають міжмережевим екраном) допомагає підвищити безпеку комп'ютера. Він обмежує інформацію, що надходить на комп'ютер з інших комп'ютерів, дозволяючи краще контролювати дані на комп'ютері та забезпечуючи лінію захисту комп'ютера від людей або програм (включаючи віруси та «хробаки»), які несанкціоновано намагаються підключитися до комп'ютера. Можна вважати брандмауер прикордонним постом, на якому перевіряється інформація (часто звана трафік), що надходить з Інтернету або локальної мережі. Під час перевірки брандмауер відхиляє або пропускає інформацію на комп'ютер відповідно до встановлених параметрів.

Від чого захищає брандмауер?

Брандмауер МОЖЕ:

1. Блокувати комп'ютерним вірусам та «хробакам» доступ на комп'ютер.

2. Запитати користувача про вибір блокування чи дозволу для певних запитів на підключення.

3. Вести облік (журнал безпеки) – за бажанням користувача – записуючи дозволені та заблоковані спроби підключення до комп'ютера.

Чому брандмауер не захищає?

Він не може:

1. Виявити або знешкодити комп'ютерні віруси та «хробаки», якщо вони вже потрапили на комп'ютер.

3. Блокувати спам або несанкціоновані поштові розсилки, щоб вони не надходили до папки вхідних повідомлень.

АПАРАТНІ ТА ПРОГРАМНІ БРАНДМАУЕРИ

Апаратні брандмауери- окремі пристрої, які дуже швидкі, надійні, але дуже дорогі, тому зазвичай використовуються лише захисту великих обчислювальних мереж. Для домашніх користувачів оптимальні міжмережові екрани, вбудовані в маршрутизатори, комутатори, бездротові точки доступу та ін. Комбіновані маршрутизатори-брандмауери забезпечують подвійний захист від атак.

Програмний брандмауер- Це захисна програма. За принципом дії вона аналогічна апаратному брандмауер, але більш «дружня» до користувача: у неї більше готових налаштувань і часто є програми-майстри, які допомагають в налаштуванні. З її допомогою ви зможете дозволяти або забороняти іншим програмам доступ до Інтернету.

Антивірусна програма (антивірус)- будь-яка програма для виявлення комп'ютерних вірусів, а також небажаних (вважаються шкідливими) програм взагалі та відновлення заражених (модифікованих) такими програмами файлів, а також для профілактики - запобігання зараженню (модифікації) файлів або операційній системі шкідливим кодом.

12) Класифікація обчислювальних систем

Залежно від територіального розташування абонентських систем

обчислювальні мережі можна поділити на три основні класи:

глобальні мережі (WAN – Wide Area Network);

регіональні мережі (MAN – Metropolitan Area Network);

Локальні мережі (LAN – Local Area Network).

Основні топології ЛОМ

Топологія ЛОМ - це геометрична схема з'єднань вузлів мережі.

Топології обчислювальних мереж можуть бути різними, але

для локальних обчислювальних мереж типовими є лише три:

Кільцева,

Зіркоподібна.

Будь-яку комп'ютерну мережу можна розглядати як сукупність

Вузол- будь-який пристрій, безпосередньо підключений до

передає середовищі мережі.

Кільцева топологіяпередбачає з'єднання вузлів мережі замкнутої кривої - кабелем передавального середовища. Вихід одного вузла мережі з'єднується із входом іншого. Інформація про кільце передається від вузла до вузла. Кожен проміжний вузол між передавачем та приймачем ретранслює надіслане повідомлення. Вузол, що приймає, розпізнає і отримує тільки адресовані йому повідомлення.

Кільцева топологія ідеальна для мереж, що займають порівняно невеликий простір. У ній відсутня центральний вузол, що підвищує надійність мережі. Ретрансляція інформації дозволяє використовувати як передавальне середовище будь-які типи кабелів.

Послідовна дисципліна обслуговування вузлів такої мережі знижує її швидкодію, а вихід з ладу одного з вузлів порушує цілісність кільця і ​​вимагає вживання спеціальних заходів для збереження тракту передачі інформації.

Шинна топологія- Одна з найпростіших. Вона пов'язана з використанням як передаючого середовища коаксіального кабелю. Дані від передавального вузла мережі розповсюджуються по шині в обидва боки. Проміжні вузли не транслюють повідомлень, що надходять. Інформація надходить на всі вузли, але приймає повідомлення лише той, якому адресовано. Дисципліна обслуговування є паралельною.

Це забезпечує високу швидкодію ЛОМ з шинною топологією. Мережа шинної топології стійка до можливих несправностей окремих вузлів.

Мережі шинної топології найпоширеніші нині. Слід зазначити, що вони мають малу протяжність і не дозволяють використовувати різні типи кабелів у межах однієї мережі.

Зіркоподібна топологіябазується на концепції центрального вузла, якого підключаються периферійні вузли. Кожен периферійний вузол має окрему лінію зв'язку з центральним вузлом. Вся інформація передається через центральний вузол, який ретранслює, перемикає та маршрутизує інформаційні потоки в мережі.

Зіркоподібна топологія значно спрощує взаємодію вузлів ЛОМ один з одним, дозволяє використовувати простіші мережеві адаптери. У той же час працездатність ЛОМ із зіркоподібною топологією цілком залежить від центрального вузла.

У реальних обчислювальних мережах можуть використовуватися більш розвинені топології, що представляють у деяких випадках поєднання розглянутих.

Вибір тієї чи іншої топології визначається областю застосування ЛОМ, географічним розташуванням її вузлів та розмірністю мережі загалом.

Internet- Всесвітня інформаційна комп'ютерна мережа, що є об'єднанням безлічі регіональних комп'ютерних мереж і комп'ютерів, що обмінюють один з одним інформацією по каналах громадських телекомунікацій (виділеним телефонним аналоговим і цифровим лініям, оптичним каналам зв'язку та радіоканалам, у тому числі супутниковим лініям зв'язку).

Провайдер- постачальник послуг – особа або організація, що надають послуги з підключення до комп'ютерних мереж.

Хост (від англ. host – «господар, який приймає гостей»)- будь-який пристрій, що надає послуги формату «клієнт-сервер» в режимі сервера за будь-якими інтерфейсами та унікально визначений на цих інтерфейсах. У приватному випадку під хостом можуть розуміти будь-який комп'ютер, сервер, підключений до локальної чи глобальної мережі.

Мережевий протокол- набір правил і дій (черговості дій), що дозволяє здійснювати з'єднання та обмін даними між двома та більше включеними до мережі пристроями.

IP-адреса (айпі-адреса, скорочення від англ. Internet Protocol Address)- Унікальна мережна адреса вузла в комп'ютерній мережі, побудованої за протоколом IP. У мережі Інтернет потрібна глобальна унікальність адреси; у разі роботи в локальній мережі потрібна унікальність адреси в межах мережі. У версії протоколу IPv4 IP-адреса має довжину 4 байти.

Доменне ім'я- символьне ім'я, яке допомагає знаходити адреси інтернет-серверів.

13) Завдання одноранговій мережі