В закладки
КонтактыО сайте

Основные принципы к обеспечению информационной безопасности. Информационная безопасность

Опыт противодействия угрозам безопасности и построения систем управления информационными рисками, использование системного подхода к анализу защищенных информационных систем позволил сформулировать основные научно-практические принципы обеспечения информационной безопасности.

  1. Обеспечение информационнойбезопасностивыполняетсяв соответствии с политикой управления информационными рисками, разработка и реализация которой осуществляется под непосредственным руководством первых лиц предприятия, с привлечением менеджмента соответствующих служб и отделов.
  2. Архитектура системы управления информационными рисками (СУИР) обеспечивает оптимальный (рациональный) баланс затрат на управление информационными рисками и общего ущерба от информационных рисков.
  3. Система управления информационными рисками является централизованной и реализует единую политику управления.
  4. Безопасность информации достигается за счет комплексного использования нормативных, экономических и организационных мер, технических, программных и криптографических средств.
  5. Система управления должна быть многоуровневой (многорубежной) и равнозащищенной во всех звеньях.
  6. Непрерывность функционирования на всех жизненных циклах системы.
  7. Разграничение и ограничение доступа персонала к информации.
  8. Способность системы к развитию и адаптации к изменению условий функционирования.
  9. Наличие системы непрерывного мониторинга за выполнением всем персоналом установленных правил работы в информационной системе.
  10. Мониторинги аудит эффективности системы и своевременная ее модернизация.

Политика предприятия должна соответствовать требованиям российского законодательства. Политика управления информационными рисками отражается в официально принимаемой программе управления информационными рисками предприятия . Для государственных организаций безопасность информации обеспечивается в соответствии с требованиями национальных стандартов и других руководящих документов государственных организаций – регуляторов сферы информационной безопасности государства. На государственном уровне политика в области информационной безопасности изложена в "Доктрине информационной безопасности Российской Федерации", утвержденной Указом Президента Российской Федерации в 2000 году.

Второй принцип определяет сущность экономических методов управления информационными рисками, которая заключается в необходимости учета соотношения выделяемых денежных средств на обеспечение безопасности информации и ожидаемым общим ущербом от нарушения безопасности информации. Решение, близкое к оптимальному, получается в случае равенства затрат на управление информационными рисками величине соответствующего общего ущерба.

Система управления информационными рисками предприятия должна быть иерархической централизованной для обеспечения единой политики управления во всех подразделениях (в том числе и территориально разнесенных).

Не существует одного метода или средства, которые могли бы обеспечить 100% защиту от угроз безопасности информации. Для повышения эффективности системы необходимо комплексно использовать комбинации методов и средств защиты различной природы и принципов действия. При этом следует иметь ввиду, что основой для создания системы защиты является нормативная правовая база, а все средства защиты будут эффективны, если в системе налажено согласованное выполнение организационных мер, алгоритмов и действий всеми сотрудниками.

Высокая защищенность информационной системы достижима только при использовании многоуровневой системы защиты от угроз. В таких системах злоумышленнику потребуется преодолеть несколько барьеров на пути к информации.

Важно при построении СУИР исключить наличие слабых звеньев в системе защиты. Злоумышленник постарается найти наименее защищенный элемент системы защиты для выполнения своего замысла. Поэтому надежность всей системы защиты определяется надежностью самого слабого элемента. Это справедливо и для случайных угроз. Прорыв водозащитной дамбы, пробой электроизоляционных материалов, воспламенение горючих материалов имеют место в наименее защищенных местах.

В период эксплуатации информационной системы, независимо от режима работы и временных рамок, она должна быть соответствующим образом защищена от возможных угроз безопасности информации. Непрерывность защиты распространяется также на все этапы работы с информацией – ввод, хранение, обработка, выдача, передача.

Одним из основных принципов обеспечения информационной безопасности является ограничение и разграничение доступа персонала к важной информации. Каждому сотруднику должны делегироваться минимально возможные права по доступу к ресурсам системы в строгом соответствии с его функциональными обязанностями.

Принцип развития и адаптивности СУИР предусматривает возможность модернизации системы, а также способность системыа автоматическом или автоматизированном режиме приспосабливатьсяк изменяющимся условиям функционирования (появлению новых угроз, изменению режимов работы, расширению функциональности системы и т. д.).

Важно, чтобы все сотрудники знали, что их действия в информационной системе могут быть в любой момент времени проконтролированы, а часть наиболее ответственных действий и событий задокументированы. Наиболее ответственные операции должны выполняться под непосредственным контролем соответствующих должностных лиц или комиссий. Система мониторинга работы системы позволяет эффективно расследовать инциденты в информационной системе.

Руководство предприятием обязано организовать мониторинг и периодический аудит эффективности функционирования СУИР и, при необходимости, своевременно обеспечить модернизацию системы.

В целях рассмотрения базовых принципов информационной безопасности представляется важным остановиться на фундаментальных положениях, связанных с определением этих основных, исходных начал.

Несомненно, что в любой сфере принципы имеют ключевое значение, поскольку это основные, исходные положения для различных учений, теорий, на них основываются знания во всех областях науки. Необходимо учитывать, что принцип в переводе с латинского (principum ) начало, основа - это такая категория, которая имеет фундаментальное значение для всех сфер жизни общества не только на национальном, но и на международном уровне. А по сути, принципы определяют основные правила.

Принципы в философии - это основное, исходное. А в современной юридической науке принципы права определяются по-разному, но в первую очередь так же как исходные, основные идеи, начала права, которые выражают его сущность в обобщенном виде, вытекают из идей справедливости и свободы, юридически закрепляют объективные закономерности общественной жизни, основополагающие социальные ценности и традиции, имеющие смысловое значение для обеспечения правового порядка в обществе и укрепления правового статуса человека .

П. У. Кузнецов также определяет принципы права как исходные, основные идеи права, которые в концентрированном виде закрепляют основополагающие социальные ценности и традиции, имеющие смысловое значение для обеспечения правового порядка в обществе и укрепления правового статуса человека, как руководящие правовые положения, а также указывает, что они определяют содержание системы права. При этом он справедливо отмечает, что к таким ценностям, не только в информационной сфере, относятся свобода информации, доступ к информации, защита частной жизни, тайны и т.д. Они имеют общеправовое значение и характер .

Безусловно, на основе определенных принципов строится и обеспечение информационной безопасности, которая является составляющей деятельности государства, общества и его отдельных индивидов в этой сфере. Из чего формируется система базовых принципов обеспечения информационной безопасности.

В настоящее время в условиях развития информационно-телекоммуникационных технологий и формирования глобального информационного общества особое значение приобретают общепризнанные принципы , закрепленные в Уставе ООН, например такие, как разрешение международных споров мирными средствами таким образом, чтобы не подвергать угрозе международный мир, безопасность и справедливость; воздержание от угрозы силой или ее применения против территориальной неприкосновенности целостности и др.

Как отмечает известный правовед - специалист в области международного права О. И. Тиунов, важно, что в качестве членов ООН государства (а это абсолютное большинство государств - субъектов международного права) подтвердили обязательство руководствоваться принципом суверенного равенства, как и рядом других зафиксированных в Уставе ООН принципов в принятой 8 сентября 2000 г. Декларации тысячелетия Организации Объединенных Наций. Государства, заявляя приверженность целям и принципам Устава ООН, подчеркнули их неподвластность времени и универсальный характер в условиях, когда "страны и народы становятся все более взаимосвязанными и взаимозависимыми", а государства преисполнены решимости "укреплять уважение к принципу верховенства права, причем как в международных, так и во внутренних делах" . Представляется, что такой подход распространяется и на развитие информационной сферы, информационного общества в условиях глобализации и на основе формирования пространства безопасности и доверия.

На наш взгляд, исключительно важно в рамках данного учебника по организационно-правовому обеспечению информационной безопасности рассмотреть вопрос о том, как же соотносится принцип верховенства права и императив безопасности в современном обществе. Без сомнения, это касается не только каждого государства, но и системы обеспечения международной информационной безопасности. Актуальность этого положения была подчеркнута Председателем Конституционного Суда РФ В. Д. Зорькиным, который в современных условиях глобализации обратился к этому вопросу и поставил во главу угла верховенство права как один из важнейших принципов глобального информационного общества .

Однако, что же означает этот принцип применительно к глобальным отношениям в информационной сфере, связанным с обеспечением информационной безопасности? Как и кем формируется то понимание права, которое лежит в основе наднационального правового регулирования? Каковы главные направления согласования принципа верховенства права с требованиями безопасности? Этот вопрос носит дискуссионный характер, поскольку реализация общепризнанных принципов, связанных с гласностью и открытостью, доступом к информации с одной стороны, с другой стороны нередко вызывает неоднозначную оценку, носит конфликтный (конкурентный характер), который в свою очередь связан с реализацией принципа государственного суверенитета в информационной сфере.

В. Д. Зорькин, известный и авторитетный российский юрист, полагает, что поскольку право в своей основе представляет собой систему прав человека, то принцип верховенства права - это принцип прав человека, которым должно руководствоваться современное демократическое государство в своей правотворческой и правоприменительной деятельности. Применительно к внутригосударственному праву верховенство права предстает как верховенство правового закона (т.е. закона, гарантирующего права человека), если слово "закон" употреблять в широком смысле, имея в виду и нормативный акт, и судебный прецедент. Однако, по мнению Ю. В. Зорькина, в системе глобальных отношений сделать это пока не удается . В связи с этим вопрос о том, каким образом формируется общее представление о праве, которое лежит в основе правового регулирования глобальных отношений (безусловно, это сегодня касается не только всей информационной сферы, но в первую очередь области обеспечения информационной безопасности), и как вырабатываются конкретные правовые нормы, выступающие в качестве общечеловеческих регуляторов, имеет ключевое значение для понимания того, что есть право в современном мире.

Задача по формированию единого политико-правового пространства относится ко всей системе глобальных отношений, включая и отношения в информационной сфере. Но для обеспечения информационной безопасности должен сохраняться и принцип государственного суверенитета, указанный ранее, на базе новой правовой концепции суверенитета. В связи с этим высказываются предложения о необходимости полноценной систематической работы по обновлению Устава ООН и прежде всего глубокой и детальной проработки тех десяти основных принципов международного права, которые включают как концептуальные предложения по новым формулировкам основных принципов, так и выработку сопутствующих конкретных модельных норм.

Важнейшими элементами глобального информационного общества являются такие принципы, как доверие и безопасность в использовании информационно-коммуникационных технологий, вытекающие из необходимости поощрять, формировать, развивать и активно внедрять устойчивую глобальную культуру кибербезопасности. Это отражено в принятой в 2009 г. на очередной сессии Генеральной Ассамблеи ООН Резолюции 64/211 "Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур". Создание информационного общества стало рассматриваться как первостепенная задача Совета Европы с конца 1993 г., когда была выпущена Белая книга "Экономический рост, конкуренция, занятость - задачи и пути их решения на пороге XXI века" . В июне 1994 г. Советом Европы был принят план действий "Путь Европы в информационное общество", предусматривающий ряд механизмов, позволяющих создать условия для свободного доступа к информации и одновременно оберегающих личность и общество.

Основные принципы законодательного регулирования общественных отношений в сфере международной информационной безопасности сформулированы в основополагающих международных документах и, как показывает их анализ, являются общепризнанными и приоритетными в развитии информационного законодательства и для России (вопросы международного правового регулирования более подробно рассматриваются в гл. 3 настоящего учебника).

Важнейшим шагом для развития законодательства как в информационной сфере в целом, так и в области обеспечения информационной безопасности, было принятие и провозглашение 10 декабря 1948 г. Генеральной Ассамблеей ООН Всеобщей декларации прав человека, в ст. 12, 19, 26 которой закреплены права каждого человека на свободу убеждений, мысли, совести, религии, образование, свободное выражение этих убеждений, а также право искать, получать и распространять информацию и идеи любыми средствами независимо от государственных границ.

Положения, закрепляющие информационные права и свободы, развиваются в Конвенции о защите прав человека и основных свобод от 1950 г. и Международном пакте о гражданских и политических правах от 1966 г. В указанных актах установлено, что свобода получения и распространения информации реализуется без какого-либо вмешательства со стороны государственных органов, а также без учета государственных границ и распространяется па всякого рода информацию (ст. 10 Конвенции, ст. 19 Международного пакта).

Таким образом, право на свободу информации в том виде, в котором оно закреплено в международных документах по правам человека, является не новым субъективным правом человека в области информации, а проявлением традиционных свобод мысли и слова. По существу, влияние представлений о свободе информации как воплощении информационных правомочий граждан сказалось на становлении принципа свободы информации.

Основные принципы установления пределов вмешательства в частную жизнь со стороны государства, организаций, юридических и физических лиц также установлены Всеобщей декларацией прав человека, конвенциями ООН и Совета Европы.

Особенно важным для обеспечения информационной безопасности является применение в законодательстве РФ общих принципов, закрепленных в Резолюции Генеральной Ассамблеи ООН 2450 (XXIII) от 19.12.1968 "Права человека и научно-технический прогресс", среди которых: принцип свободы обмена информацией; принципы и процедуры информирования общественности о деятельности государственных структур, а также принцип контроля государств над коммуникационной деятельностью, осуществляемой под их юрисдикцией; регламентация порядка деятельности и осуществление контроля за телекоммуникациями, включая комплексную разработку государственной политики в этой сфере.

Начиная с 2000 г. в информационной сфере принят ряд документов, таких как Окинавская хартия, итоговые документы Всемирной встречи на высшем уровне по вопросам информационного общества (2003 г. в Женеве и 2005 г. в Тунисе) и другие, которые являются основополагающими политико-правовыми документами, направленными на ускорение формирования постиндустриальных тенденций в экономической, социально-политической и духовной сферах жизни общества, и заложили определенные принципы информационной безопасности.

Задача формирования нормативно-правовой базы в информационно- коммуникационной сфере определена в качестве одной из приоритетных при построении глобального информационного общества, провозглашенного в Окинавской хартии. Согласно ее положениям государства обязуются осуществлять руководство в продвижении усилий правительств по укреплению соответствующей политики и нормативной базы, стимулирующих конкуренцию и новаторство, обеспечение экономической и финансовой стабильности, содействующих сотрудничеству по оптимизации глобальных сетей, борьбе со злоупотреблениями, которые подрывают целостность сети, по сокращению разрыва в цифровых технологиях, инвестированию в людей и обеспечению глобального доступа и участия в этом процессе.

  • Там же.
  • См.: Бюллетень Комиссии по свободе доступа к информации "Право знать". Вып. 10. М, 1997. С. 6.

    • Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

    хорошую работу на сайт">

    Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

    Размещено на http://www.allbest.ru/

    Введение

    Информационная безопасность - это защита информации от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб ее владельцу или пользователю.

    Информация сегодня -- важный ресурс, потеря которого чревата неприятными последствиями. Утрата конфиденциальных данных компании несет в себе угрозы финансовых потерь, поскольку полученной информацией могут воспользоваться конкуренты или злоумышленники. Для предотвращения столь нежелательных ситуаций все современные фирмы и учреждения используют методы защиты информации.

    Безопасность информационных систем (ИС) -- целый курс, который проходят все программисты и специалисты в области построения ИС. Однако знать виды информационных угроз и технологии защиты необходимо всем, кто работает с секретными данными.

    1. Основные принципы информационной безопасности

    1.1 Виды угроз информационной безопасности

    Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействие на систему или на хранящуюся в ней информацию.

    Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению, ограничению или блокированию к ним доступа. В настоящее время известно достаточно большое количество угроз, которые классифицируют по различным признакам.

    По природе возникновения различают естественные и искусственные угрозы. К первой группе относятся те, что вызваны воздействием на компьютерную систему объективных физических процессов или стихийных природных явлений. Вторая группа - те угрозы, которые обусловлены деятельностью человека.

    По степени преднамеренности проявления, угрозы разделяют на случайные и преднамеренные.

    Также есть разделение в зависимости от их непосредственного источника, в качестве которого может выступать природная среда (например, стихийные бедствия), человек (разглашение конфиденциальных данных), программно-аппаратные средства: санкционированные (ошибка в работе операционной системы) и несанкционированные (заражение системы вирусами).

    Источник угроз может иметь разное положение. В зависимости от этого фактора также выделяют три группы:

    Угрозы, источник которых находятся вне контролируемой группы компьютерной системы (пример - перехват данных, передаваемых по каналам связи)

    Угрозы, источник которых - в пределах контролируемой зоны системы (это может быть хищение носителей информации)

    Угрозы, находящиеся непосредственно в самой системе (например, некорректное использование ресурсов).

    Угрозы способны по-разному воздействовать на компьютерную систему. Это могут быть пассивные воздействия, реализация которых не влечет за собой изменение структуры данных (например, копирование). Активные угрозы -- это такие, которые, наоборот, меняют структуру и содержание компьютерной системы (внедрение специальных программ).

    В соответствии с разделением угроз по этапам доступа пользователей или программ к ресурсам системы существуют такие опасности, которые проявляются на этапе доступа к компьютеру и обнаружимые после разрешения доступа (несанкционированное использование ресурсов).

    Классификация по месту расположения в системе подразумевает деление на три группы: угрозы доступа к информации, находящейся на внешних запоминающих устройствах, в оперативной памяти и к той, что циркулирует в линиях связи.

    Угрозы могут использовать прямой стандартный путь к ресурсам с помощью незаконно полученных паролей или посредством неправомерного применения терминалов законных пользователей, а могут «обойти» существующие средства защиты иным путем.

    Такие действия, как хищение информации, относят к угрозам, проявляющимся независимо от активности системы. А, например, распространение вирусов может быть обнаружено исключительно в процессе обработки данных.

    Случайными, или не преднамеренными называются такие угрозы, которые не связаны с действиями злоумышленников. Механизм их реализации изучен достаточно хорошо, поэтому существуют разработанные методы противодействия.

    Аварии и стихийные бедствия представляют особую опасность для компьютерных систем, так как они влекут за собой наиболее негативные последствия. Вследствие физического разрушения систем информация становится недоступной, либо утрачивается. Кроме того, невозможно полностью избежать или предупредить сбои и отказы в сложных системах, в результате которых, как правило, хранящаяся на них информация искажается или уничтожается, нарушается алгоритм работы технических устройств.

    Ошибки, которые могут быть допущены в процессе разработки компьютерной системы, включая неверные алгоритмы работы и некорректное программное обеспечение, способны привести к последствиям, которые аналогичны тем, что происходят при сбое и отказе в работе технических средств. Более того, подобные ошибки могут использоваться злоумышленниками в целях воздействия на ресурсы системы.

    Ошибки пользователей приводят к ослаблению информационной безопасности в 65% случаев. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками на предприятиях приводит к уничтожению, нарушению целостности и конфиденциальности информации.

    Выделяют также преднамеренные угрозы, которые связаны с целенаправленными действиями нарушителя. Изучение этого класса затруднено, так как он имеет очень динамичный характер и постоянно пополняется новыми видами угроз.

    Для проникновения в компьютерную систему с целью дальнейшего хищения или уничтожения информации используются такие методы и средства шпионажа, как прослушивание, хищение программ, атрибутов защиты, документов и носителей информации, визуальное наблюдение и другие.

    При несанкционированном доступе к данным обычно используют штатные аппаратные и программные средства компьютерных систем, вследствие чего нарушаются установленные правила разграничения доступа пользователей или процессов к информационным ресурсам. Самые распространенные нарушения - это перехват паролей (производится с помощью специально разработанных программ), выполнение каких-либо действий под именем другого человека, а также использование злоумышленником привилегий законных пользователей.

    1.2 Специальные вредоносные программы

    - «компьютерные вирусы» -- это небольшие программы, способные самостоятельно распространятся после внедрения в компьютер путем создания своих копий. При определенных условиях вирусы оказывают негативное воздействие на систему;

    - «черви» - утилиты, которые активируются при каждой загрузке компьютера. Они обладают способностью перемещаться в пределах системы или сети и размножаться аналогично вирусам. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти, а затем к блокировке работы;

    - «троянские кони» -- такие программы «скрываются» под видом полезного приложения, а, на самом деле, наносят вред компьютеру: разрушают программное обеспечение, копируют и пересылают злоумышленнику файлы с конфиденциальной информацией и т.д.

    безопасность программа электронный вирус

    1.3 Виды информационных угроз

    Основным видом информационных угроз, для защиты от которых на каждом предприятии создается целая технология, является несанкционированный доступ злоумышленников к данным. Злоумышленники планируют заранее преступные действия, которые могут осуществляться путем прямого доступа к устройствам или путем удаленной атаки с использованием специально разработанных для кражи информации программ.

    Кроме действий хакеров, фирмы нередко сталкиваются с ситуациями потери информации по причине нарушения работы программно-технических средств. В данном случае секретные материалы не попадают в руки злоумышленников, однако утрачиваются и не подлежат восстановлению либо восстанавливаются слишком долго.

    2. Современные методы защиты информации

    2.1 Технология защиты

    Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю.

    Сегодня используется шесть основных способов защиты:

    · Препятствие;

    · Маскировка;

    · Регламентация;

    · Управление;

    · Принуждение;

    · Побуждение.

    Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз.

    Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.

    Маскировка -- способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.

    Управление -- способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.

    Регламентация -- важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

    Принуждение -- методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.

    Для предотвращения потери и утечки секретных сведений используются следующие средства:

    · Физические;

    · Программные и аппаратные;

    · Организационные;

    · Законодательные;

    · Психологические.

    Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна. Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

    Программные и аппаратные средства -- незаменимый компонент для обеспечения безопасности современных информационных систем. Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства -- программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений. При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации -- для предотвращения потерь.

    Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

    Законодательные средства -- комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

    Психологические средства -- комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

    2.2 Защита передаваемых электронных данных

    Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.

    Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида. В основе технологии криптографии электронных данных -- алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования. Зашифрованные сведения надежно защищены от любых угроз, кроме физических.

    Электронная цифровая подпись (ЭЦП) -- параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу. ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований. Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.

    2.3 Классы безопасности информационных систем

    Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы.

    В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня: D -- нулевой уровень безопасности; С -- системы с произвольным доступом; В -- системы с принудительным доступом; А -- системы с верифицируемой безопасностью.

    Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям. Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.

    В уровне С есть следующие классы -- С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей. Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация -- проверка подлинности пользователя путем запроса пароля. При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.

    Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.

    Класс безопасности В2 характерен для многих современных систем и предполагает:

    · Снабжение метками секретности всех ресурсов системы;

    · Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;

    · Структурирование доверенной вычислительной базы на хорошо определенные модули;

    · Формальную политику безопасности;

    · Высокую устойчивость систем к внешним атакам.

    Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или программного обеспечения.

    Уровень А включает один, наивысший класс безопасности -- А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.

    Заключение

    Целостность данных - такое свойство, в соответствии с которым информация сохраняет свое содержание и структуру в процессе ее передачи и хранения. Создавать, уничтожать или изменять данные может только пользователь, имеющий право доступа.

    Конфиденциальность -- свойство, которое указывает на необходимость ограничения доступа к конкретной информации для обозначенного круга лиц. Таким образом, конфиденциальность дает гарантию того, что в процессе передачи данных, они могут быть известны только авторизованным пользователям

    Доступность информации - это свойство характеризует способность обеспечивать своевременный и беспрепятственный доступ полноправных пользователей к требуемой информации.

    Достоверность - данный принцип выражается в строгой принадлежности информации субъекту, который является ее источником или от которого она принята.

    Задача обеспечения информационной безопасности подразумевает реализацию многоплановых и комплексных мер по предотвращению и отслеживанию несанкционированного доступа неавторизованных лиц, а также действий, предупреждающих неправомерное использование, повреждение, искажение, копирование, блокирование информации.

    Вопросы информационной безопасности становятся первоочередными в тех случаях, когда выход из строя или возникновение ошибки в конкретной компьютерной системе могут привести к тяжелым последствиям.

    Список используемых источников

    1. Фролов А.В., Фролов Г. В. Осторожно: компьютерные вирусы. - М. 2003.

    2. Информатика под, ред. Черноскутовой И.А. Учебное пособие 2005-272 с.

    3. Терехов А.В, Чернышев А.В, Чернышев В.Н. Учебное пособие ТГТУ 2007-128 с.

    4. Информатика под ред. Хубаева Г.Н. Учебное пособие 2010. - 288 с.

    Размещено на Allbest.ru

    ...

    Подобные документы

      Исторические аспекты возникновения и развития информационной безопасности. Средства обеспечения защиты информации и их классификация. Виды и принцип действия компьютерных вирусов. Правовые основы защиты информации от несанкционированного доступа.

      презентация , добавлен 09.12.2015

      Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.

      контрольная работа , добавлен 09.04.2011

      Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

      реферат , добавлен 15.11.2011

      Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.

      курсовая работа , добавлен 30.10.2009

      Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.

      контрольная работа , добавлен 18.09.2016

      Защита информации и ее виды. Роль информационной безопасности. Защита от несанкционированного доступа к информации. Физическая защита данных на дисках. Виды компьютерных вирусов. Защита от вредоносных программ и спамов (антивирусы, хакерские утилиты).

      презентация , добавлен 04.10.2014

      Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.

      реферат , добавлен 20.01.2014

      Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.

      дипломная работа , добавлен 19.01.2015

      Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

      курсовая работа , добавлен 07.10.2016

      Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.

    Базовые принципы информационной безопасности.

    Под безопасностью автоматизированной информационной системы организации (учреждения) понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Безопасность системы достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности компонентов и ресурсов системы.

    · Конфиденциальность компьютерной информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (пользователям, программам, процессам и т. д.).

    · Целостность компонента (ресурса) системы - свойство компонента (ресурса) быть неизменным (в семантическом смысле) при функционировании системы.

    · Доступность компонента (ресурса) системы - свойство компонента (ресурса) быть доступным для использования авторизованными субъектами системы в любое время.

    · Законность/Этичность использования компонента (ресурса) системы - свойство компонента (ресурса) быть соответствующим законодательным и этическим нормам для использования субъектами системы.

    Безопасность системы обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств, программ, данных и служб с целью обеспечения доступности, целостности и конфиденциальности связанных с компьютерами ресурсов; сюда же относятся и процедуры проверки выполнения системой определенных функций в строгом соответствии с их запланированным порядком работы.

    Систему обеспечения безопасности системы можно разбить на следующие подсистемы:

    · компьютерную безопасность;

    · безопасность данных;

    · безопасное программное обеспечение;

    · безопасность коммуникаций.

    1) Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов.

    2) Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашения.

    3) Безопасное программное обеспечение представляет собой общецелевые и прикладные программы и средства, осуществляющие безопасную обработку данных в системе и безопасно использующие ресурсы системы.

    4) Безопасность коммуникаций обеспечивается посредством аутентификации телекоммуникаций за счет принятия мер по предотвращению предоставления неавторизованным лицам критичной информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.

    2. Возможные объекты воздействия со стороны хакеров.
    В качестве возможных объектов воздействия могут быть:

    1. операционная система, обслуживающая сеть (в настоящее время только отдельные операционные системы сертифицированы на определенный класс защиты, предусматривающий требование защиты самой себя от изменений);

    2. служебные, регистрационные таблицы и файлы обслуживания сети - это файлы паролей, прав доступа пользователей к ресурсам, ограничения по времени, функциям и т.д.;

    3. программы и таблицы шифровки информации, циркулирующей в сети. Любое воздействие на эти компоненты вызовет отказ в работе или серьезные сбои, но наиболее опасно копирование, которое может открыть возможность дешифровки информации;

    4. операционные системы компьютеров конечных пользователей;

    5. специальные таблицы и файлы доступа к данным на компьютерах конечных пользователей - это пароли файлов или архивов, индивидуальные таблицы шифровки /дешифровки данных, таблицы ключей и т.д. Степень опасности воздействия на них зависит от принятой системы зашиты и от ценности защищаемой информации. Наиболее опасным воздействием является копирование этой информации;

    6. прикладные программы на компьютерах сети и их настроечные таблицы (здесь для разработчиков новых прикладных программ серьезную угрозу представляет копирование, так как в ходе разработки большинство программ существуют в незащищенном, виде);

    7. информационные файлы компьютеров сети, базы данных, базы знаний экспертных систем и т.д. Наибольший ущерб наносит копирование и последующее распространение этой информации;

    8. текстовые документы, электронная почта и т.д.;

    9. параметры функционирования сети - это главным образом ее производительность, пропускная способность, временные показатели обслуживания пользователей. Здесь признаками возможного несанкционированного воздействия на сеть, сопровождаемого ухудшением параметров ее функционирования, являются: замедление обмена информацией в сети или возникновение необычно больших очередей обслуживания запросов пользователей, резкое увеличение трафика (данных пользователей) в сети или явно преобладающее время загрузки процессора сервера каким-либо отдельным процессором. Все эти признаки могут быть выявлены и обслужены только при четко отлаженном аудите и текущем мониторинге работы сети.

    Основными принципами обеспечения информационной безопасности в АСОИ являются следующие .

    1. Системности.

    2. Комплексности.

    3. Непрерывности защиты.

    4. Разумной достаточности.

    5. Гибкости управления и применения.

    6. Открытости алгоритмов и механизмов защиты.

    7. Простоты применения защитных мер и средств.

    Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.

    Принцип комплексности. В распоряжении специалистов по информационной безопасности (ИБ) имеется широкий спектр мер, методов и средств защиты компьютерных систем. Принцип комплексности предполагает согласование работы разнородных СЗИ при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ, покрытие ими всех существенных каналов реализации угроз.

    Принцип непрерывности защиты . Защита информации – это не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

    Принцип разумной достаточности . Создать абсолютно защищенную систему защиты принципиально невозможно, взлом системы – это вопрос только времени и средств. Например, любые средства криптографической защиты не гарантируют абсолютной стойкости, а обеспечивают конфиденциальность информации в течение приемлемого для защищающейся стороны времени. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.

    Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень ее защищенности. При определенных условиях функционирования АС, СЗИ, обеспечивающие ее защищенность могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.

    Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.

    Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.

    1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд 5,00 / 3
    Главная TP-Link Основные принципы к обеспечению информационной безопасности. Информационная безопасность
    Статьи по теме: