Invest-currency.ru

Как обезопасить себя в кризис?
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Цели информационной безопасности

Основные цели информационной безопасности

Доклад

Тема: Информационная безопасность.

гр. ТАБИС – 151 ЗФО

СОДЕРЖАНИЕ

Список используемой литературы……………………………………………………10

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Информация— это сведения об окружающем мире и протекающих в нем процессах, воспринимаемые человеком или специальным устройством для нужд человека.

Как условие и средство существования человека в обществе информация необходима каждому. Она нуждается в защите также, как пища, вода, воздух, как вся среда обитания.

Сегодня реальность во многом заменяется виртуальным миром. Мы знакомимся, общаемся и играем в Интернете; у нас есть друзья, с которыми в настоящей жизни мы никогда не встречались, но доверяемся таким людям больше, чем близким. Выкладывая информацию о себе на страницах социальных сетей, мы создаем своего виртуального (информационного) двойника.

Используя электронное пространство, мы полагаем, будто это безопасно, потому что мы всего лишь делимся информацией о себе, а к нашей обычной жизни вроде бы это не может иметь отношения. Однако на самом деле границы между абстрактной категорией «информация» и реальным человеком, носителем этой информации, в современной обществе становятся зыбкими.

Информация о человеке, его персональные данные сегодня превратились в дорогой товар, который используется по-разному:

· кто-то использует эти данные для того, чтобы при помощи рекламы продать вам какую-то вещь;

· кому-то вы просто не нравитесь, и в Интернете вас могут пытаться оскорбить, очернить, выставить вас в дурном свете, создать плохую репутацию;

· с помощью ваших персональных данных мошенники, воры, могут украсть ваши деньги, шантажировать вас, заставлять совершать какие-то действия;

· и многое другое.

Поэтому защита личной информации может быть приравнена к защите реальной личности. Важно научиться правильно, безопасно обращаться со своими персональными данными.

Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Информационную безопасность можно подразделить на следующие виды:

Технические — обеспечение безопасности при помощи компьютерных технологий.

Социальные — обеспечение безопасности при помощи человеческих факторов.

Основные цели информационной безопасности

Основные цели достижения высокого уровня информационной безопасности – это обеспечение конфиденциальности, целостности, доступности, подлинности и неотказуемости информации.

Конфиденциальность информации — такое состояние информации, при котором доступ к ней только у объектов с наличием прав на неё.

Целостность информации — блокировка несанкционированных изменений информации.

Доступность информации — избежание сокрытия информации от пользователей с правами доступа.

Подлинность информации — предполагает соответствие этой информации её явному описанию и содержанию.

Неотказуемость или апеллируемость (англ. non-repudiation) — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты.

Нарушение какой-либо из этих категорий приводит к нарушению информационной безопасности в целом.

Выделяют следующие уровни обеспечения ИБ:

· Административный (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами).

· Процедурный (меры безопасности, ориентированные на людей).

Цели и задачи защиты информации

В современной среде нельзя обеспечить полный физический контроль за каналами связи и повсеместно распространяющимися автоматизированными системами обработки и хранения информации – вторжение возможно из любой точки сети, спектр потенциальных атак на информацию чрезвычайно широк. В этой связи можно рассматривать следующие основные цели защиты информации:

1. предотвращение утечки, хищения, утраты, замены, искажения, подделки информации;

2. предупреждение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

3. предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

4. обеспечение правового режима документированной информации как объекта собственности;

5. защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

6. обеспечение прав субъектов в информационных процессах, а также при разработке, производстве и применении информационных систем, технологий и средств их обеспечения [26, с. 13; 28, с. 35-37].

Задачи защиты информации можно подразделить на два уровня.

Первый уровень – задачи общеконцептуального плана.

· предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

· выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

· обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;

· локализация преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

· ликвидация последствий угроз и преступных действий и восстановление статус-кво.

Второй уровень – прикладные задачи. Они зависят: от видов защищаемой на предприятии информации; степени ее конфиденциальности; состава носителей защищаемой информации [18, с. 5-12; 19, с. 25-27].

Защита информации разбивается на решение двух основных групп задач:

1. Своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой, инженерно-технической, маркетинговой и иной деятельности, то есть обеспечение специалистов организаций, предприятий и фирм секретной или конфиденциальной информацией.

2. Ограждение засекреченной информации от несанкционированного доступа к ней соперника, других субъектов в злонамеренных целях.

При решении первой группы задач — обеспечении специалистов информацией — всегда учитывается, что специалисты могут использовать как открытую, так и засекреченную информацию. Снабжение специалистов открытой информацией ничем не ограничивается, кроме ее фактического наличия. При снабжении же специалиста засекреченной информацией действуют ограничения: наличие соответствующего допуска и разрешения на доступ к конкретной информации. В решении проблемы доступа специалиста к соответствующей засекреченной информации всегда существуют противоречия, с одной стороны, — максимально ограничить его доступ к засекреченной информации и тем самым уменьшить вероятность утечки этой информации, с другой стороны — наиболее полно удовлетворить его потребности в информации, в том числе и засекреченной для обоснованного решения им служебных задач. В обычных, не режимных условиях, специалист имеет возможность использовать в целях решения стоящей перед ним проблемы разнообразную информацию: ретроспективную, узко и широко-тематическую, отраслевую и межотраслевую, фактографическую и концептуальную. При обеспечении его засекреченной информацией возможности доступа к ней ограничиваются двумя факторами: его служебным положением и решаемой специалистом в настоящее время проблемой [19, с. 15-20].

Читать еще:  Проверка диска на вирусы онлайн

Вторая группа задач — это ограждение защищаемой информации от несанкционированного доступа к ней соперника, включает такие условия, как:

1. Защита информационного суверенитета страны и расширение возможности государства по укреплению своего могущества за счет формирования и управления развитием своего информационного потенциала.

2. Создание условий эффективного использования информационных ресурсов общества, отрасли, предприятия, фирмы, структурного подразделения, индивида.

3. Обеспечение безопасности защищаемой информации: предотвращение хищения, утраты, несанкционированного уничтожения, модификации, блокирования информации и другие вмешательства в информацию, и информационные системы.

4. Сохранение секретности или конфиденциальности засекреченной информации в соответствии с установленными правилами ее защиты, в том числе предупреждения ее утечки и несанкционированного доступа к ее носителям, предотвращению ее копирования, фотографирования.

5. Сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки, установленных собственником информации или уполномоченными им лицами.

6. Обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальной персональной информации, в том числе накапливаемой в банках данных.

7. Недопущение безнаказанного растаскивания и незаконного использования интеллектуальной собственности, принадлежащей государству, предприятиям и фирмам, частным лицам [18, с. 22-27].

Проблемы информационной безопасности решаются, как правило, посредством создания специализированных систем защиты информации, которые должны обеспечивать безопасность информационной системы от несанкционированного доступа к информации и ресурсам, несанкционированных и непреднамеренных вредоносных воздействий. Система защиты информации является инструментом администраторов информационной безопасности.

Информационная безопасность. Виды угроз и защита информации

В наше время в деятельности любого коммерческого предприятия очень большую важность имеет защита информации. Информация сегодня – ценные ресурс, от которого зависит как функционирование предприятия в целом, так и его конкурентоспособность. Угроз безопасности информационных ресурсов предприятия много – это и компьютерные вирусы, которые могут уничтожить важные данные, и промышленный шпионаж со стороны конкурентов преследующих своей целью получение незаконного доступа к информации представляющей коммерческую тайну, и много другое. Поэтому особое место приобретает деятельность по защите информации, по обеспечению информационной безопасности .

Информационная безопасность

Информационная безопасность (англ. «Information security») – защищенность информации и соответствующей инфраструктуры от случайных или преднамеренных воздействий сопровождающихся нанесением ущерба владельцам или пользователям информации.

Информационная безопасность – обеспечение конфиденциальности, целостности и доступности информации.

Цель защиты информации – минимизация потерь, вызванных нарушением целостности или конфиденциальности данных, а также их недоступности для потребителей.

Угрозы информационной безопасности

Основные типы угроз информационной безопасности:

1. Угрозы конфиденциальности – несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).

2. Угрозы целостности – несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств).

3. Угрозы доступности – ограничение или блокирование доступа к данным (например, невозможность подключится к серверу с базой данных в результате DDoS-атаки).

а) ошибки пользователей и сисадминов;

б) ошибки в работе ПО;

в) сбои в работе компьютерного оборудования;

г) нарушение сотрудниками компании регламентов по работе с информацией.

2. Внешние угрозы:

а) несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т.п.);

б) компьютерные вирусы и иные вредоносные программы;

в) стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной информацией).

Методы и средства защиты информации

Методы обеспечения безопасности информации в ИС:

  • Препятствие — физическое преграждение пути злоумышленнику к защищаемой информации (например, коммерчески важная информация хранится на сервере внутри здания компании, доступ в которое имеют только ее сотрудники).
  • Управление доступом – регулирование использования информации и доступа к ней за счет системы идентификации пользователей, их опознавания, проверки полномочий и т.д. (например,когда доступ в отдел или на этаж с компьютерами, на которых хранится секретная информация, возможен только по специальной карточке-пропуску. Или когда каждому сотруднику выдается персональный логин и пароль для доступа к базе данных предприятия с разными уровнями привилегий).
  • Криптография – шифрование информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи).
  • Противодействие атакам вредоносных программ (англ. «malware») предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т.д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т.п.).
  • Регламентация – создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т.д.).
  • Принуждение – установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью (штрафы, закон «О коммерческой тайне» и т.п.).
  • Побуждение – призыв к персоналу не нарушать установленные порядки по работе с информацией, т.к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).
Читать еще:  Современные угрозы национальной безопасности

Средства защиты информации:

  • Технические (аппаратные) средства – сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, электронные ключи и т.д.
  • Программные средства – программы-шифровальщики данных, антивирусы, системы аутентификации пользователей и т.п.
  • Смешанные средства – комбинация аппаратных и программных средств.
  • Организационные средства – правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

Ссылки и источники

© Копирование материала допустимо только при указании прямой гиперссылки на источник: Галяутдинов Р.Р.

Цели и задачи обеспечения информационной безопасности;

Подразделения, участвующие в обеспечении ИБ организации

Структура государственных органов РФ, обеспечивающих ИБ

Цели и задачи обеспечения информационной безопасности

Тема лекции№3. Задачи, методы и средства обеспечения информационной безопасности

Вопросы лекции:

Система защиты информации – совокупность взаимосвязанных средств, методов и мероприятий, направленных на предотвращение уничтожения, искажения, несанкционированного получения конфиденциальных сведений.

Классификация задач защиты информации может быть представлена следующей схемой.

Рассмотрим подробнее каждый класс задач в зависимости от их целенаправленности1.

Обеспечение защиты системы от обнаружения

Скрытиесведений о средствах, комплексах, объектах и системах обработки информации. Организационная сторона этих задач связана с недопущением разглашения конфиденциальных сведений сотрудниками и утечки их по агентурным каналам. Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них (технические задачи скрытия должны решаться, например, для подвижных объектов).

Дезинформация заключается в распространении заведомо ложных сведений относительно истинного назначения каких-либо объектов, изделий, государственной деятельности, положения дел на предприятии и т.п. Дезинформация проводится путем имитации или искажения признаков и свойств отдельных элементов объектов защиты, создания ложных объектов и т.п. Примером технической дезинформации может служить передача, обработка, хранение в АСОИ ложной информации.

Легендированиезадача близкая к дезинформации, когда назначение и направленность работ на объекте полностью не скрывают, а маскируют их действительное предназначение.

Обеспечение защиты содержания информации

Введение избыточности элементов системы предполагает введение в состав элементов системы обработки информации организационной, программно-аппаратной, информационной и временной избыточности.

Организационная избыточность осуществляется за счет введения дополнительной численности персонала, его дополнительного обучения для работы с конфиденциальной информацией, а также выбора мест размещения комплексов обработки конфиденциальной информации.

Программно-аппаратная избыточность предполагает наличие дополнительных программных и аппаратных средств, обеспечивающих информационную защиту на всех фазах хранения, передачи и обработки информации в АСОИ.

Информационная избыточность создается за счет использования дублирующих массивов и баз данных.

Временная избыточность предполагает выделение дополнительного времени для проведения обработки конфиденциальной информации.

Резервирование элементовсистемы в отличие от введения избыточности предполагает не введение дополнительных элементов, обеспечивающих защиту, а перевод части элементов системы в резерв, с целью их использования в тех или иных критических ситуациях.

Регулирование доступа к элементам системы и защищаемой информации предусматривает разграничение доступа к средствам, комплексам и системам обработки информации (на территорию, в помещение, к техническим средствам, к программам, базам данных и т.п.) и предполагает реализацию идентификации, проверки подлинности и контроля доступа, а также регистрацию субъектов и учет носителей информации.

Кроме того, к данному классу относятся задачи по установлению контролируемых зон вокруг средств обработки конфиденциальной информации, за пределами которых становится невозможным выделение и регистрация с помощью технических средств злоумышленников сигналов, содержащих конфиденциальные сведения. Например, сигналов, возникающих из-за побочных электромагнитных излучений или наводок в проводах, выходящих за пределы контролируемой зоны.

Регулирование использованияэлементов системы и защищаемой информации предполагает предъявление пользователями некоторых полномочий при доступе к тем или иным операциям (или процедурам). Для решения данного класса задач применительно к конфиденциальной информации могут использоваться такие операции, как дробление (расчленение информации на части с таким условием, что получение сведений об одной части не дает возможности восстановить всю картину в целом) и ранжирование (разграничение доступа к информации в зависимости от степени ее секретности).

Маскировка информацииэто, в первую очередь скрытие факта передачи информации (например, с помощью методов стеганографии). Во-вторых, это использование как криптографических методов защиты данных, так и не криптографических (например, кодовое зашумление).

Регистрация сведенийпредполагает фиксацию всех сведений о фактах и событиях в процессе функционирования средств обработки конфиденциальной информации (например, специальные программные средства, регистрирующие попытки НСД и др.).

Уничтожение информации рассматривается как процедура по частичному или полному уничтожению элементов конфиденциальной информации не представляющих в дальнейшем ценность, завершивших свой жизненный цикл и пр. Так для АСОИ типичной процедурой является уничтожение остаточной информации в элементах ОЗУ, программных модулях, на отдельных магнитных или бумажных носителях после завершения какой-либо задачи. Для криптографических систем это может быть уничтожение криптографических ключей по истечении установленного протоколом срока использования.

Обеспечение сигнализации состоит в реализации процедуры сбора, генерирования, передачи, отображения и хранения сигналов о состоянии механизмов защиты с целью обеспечения регулярного управления ими, а также объектами и процессами обработки информации. Фактически это обеспечение обратной связи в системе управления.

Оценка системы защиты информации включает широкий круг задач, связанных с оценкой эффективности функционирования механизмов обработки и защиты информации на основе сравнения уровня безопасности информации, достигаемого применением выбранных механизмов, с требуемым уровнем.

Обеспечение реагирования на проявление дестабилизирующих факторов является признаком активности системы защиты информации.

Обеспечение защиты системы от информационного воздействия

Защита от воздействия на технические средства обработки информации направлена на исключение таких воздействий как:

Читать еще:  Государственное управление в области обеспечения безопасности

§ уничтожение информации (например, электронное подавление средств связи);

§ искажение или модификацию информации (например, с использованием компьютерных вирусов);

§ внедрение ложной информации в систему (например, изменение программных кодов).

Защита от информационного воздействия на общество включает разработку методов противостояния негативному воздействию, например, средств массовой информации с целью влияния на общественное сознание (пропаганда, реклама и т.д.).

Защита от информационного воздействия на психику рассматривает защиту от т.н. психотропного оружия.

Нетрудно заметить, что классы задач совпадают со способами защиты, которые можно классифицировать подобным образом.

Кроме того, к пассивным способам можно добавить и активнst^

1. Принуждение – способ защиты, при котором личный состав, работающий с конфиденциальными сведениями, вынужден соблюдать правила и условия обращения с указанными сведениями под угрозой дисциплинарной или административной ответственности.

2. Побуждение – способ защиты, при котором личный состав, работающий с конфиденциальными сведениями, посредством моральных, этических, психологических, материальных и других мотивов, побуждается к соблюдению всех правил обращения с указанными сведениями.

3. Нападение – предполагает встречное воздействие на дестабилизирующие факторы и причины их порождающие, с целью недопущения или максимального ослабления их воздействия на защищаемую информацию.

Таким образом, Защита информации — это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее.

Защита информации (ЗИ) подразделяется на:

защиту от утечки,

защиту от несанкционированного воздействия (НСВ),

защиту от непреднамеренного воздействия (непреднамеренные ошибки либо неграмотные действия персонала),

защиту от разглашения,

защиту от несанкционированного доступа

защиту от разведки (технической и агентурной).

Защита от утечки производится созданием препятствия; защита от НСВ – препятствием и нападением; защита от непреднамеренного воздействия – управлением и регламентацией; защита от разглашения – управлением, регламентацией, принуждением, побуждением; защита от несанкционированного доступа – препятствием, управлением, маскировкой, регламентацией; защита от разведки (технической и агентурной) – осуществляется с применением всех указанных способов защиты информации.

Системе защиты информации для достижения цели, то есть заранее намеченного результата защиты, недостаточно владеть всеми представленными способами защиты и иметь в распоряжения необходимые средства защиты. Необходимо грамотное сочетание всех названных способов и средств защиты информации в зависимости от сложившейся обстановки, поставленной задачи и соответствующих ей приоритетов, а также возможностей потенциального конкурента. При этом, для постановки задачи на организацию защиты информации необходимо иметь следующие исходные данные:

1. Силы и средства ЗИ, имеющиеся в распоряжении.

2. Способы защиты информации, реализуемые системой защиты.

3. Сведения о возможностях потенциального конкурента по получению конфиденциальной информации организации.

4. Порядок принятия решения по управлению силами и средствами защиты информации.

5. Порядок управления и контроля использования сил и средств ЗИ.

Применение различных способов защиты информации подразумевает использование различных средств, что требует согласованного по целям, масштабу и времени управления ими с учетом условий обстановки, возможностей организации и потенциального противника, а также задач, решаемых организацией.

Цель и задачи политики информационной безопасности

УТВЕРЖДАЮ

Директор ООО «Солнышко»

«15» апреля 2015 года

Политика информационной безопасности учебного заведения

Общие положения

1.1.Политика информационной безопасности учебного заведения (далее – УЗ) определяет цели и задачи системы обеспечения информационной безопасности и устанавливает совокупность правил, процедур, практических приемов, требований и руководящих принципов в области информационной безопасности (далее — ИБ), которыми руководствуются работники школы при осуществлении своей деятельности.

1.2.Основной целью Политики информационной безопасности УЗ является защита информации шкоУЗ при осуществлении уставной деятельности, которая предусматривает принятие необходимых мер в целях защиты информации от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения

процесса автоматизированной обработки данных в управлении.

1.3.Политика информационной безопасности разработана в соответствии с: Федеральным законом от 27 июля 2006г. №149-ФЗ «Об информации, информационных технологиях и о защите и информации», Федеральным закон от 27 июля 2006г. № 152-ФЗ «О персональных данных», Федеральным закон от 10 января 2002г. № 1-ФЗ «Об электронной цифровой подписи», Указом Президента Российской Федерации от 6 марта 1997г. №188 «Об утверждении Перечня сведений конфиденциального характера»,

Постановлением Правительства РФ No781 от 17.11.07г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановление Правительства РФ No687 от 15.09.08г. «Об утверждении Положения об особенностях обработки персональных данных,

осуществляемой без использования средств автоматизации» а также рядом иных нормативных правовых актов в сфере защиты информации.

Цель и задачи политики информационной безопасности

2.1.Основными целями политики ИБ являются:

-сохранение конфиденциальности критичных информационных ресурсов;

-обеспечение непрерывности доступа к информационным ресурсам УЗ;

-защита целостности информации с целью поддержания возможности УЗ по оказанию услуг высокого качества и принятию эффективных управленческих решений;

-повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами УЗ;

-определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в управлении.

-повышение уровня эффективности, непрерывности, контролируемости мер по защите от реальных угроз ИБ;

-предотвращение и/или снижение ущерба от инцидентов ИБ.

2.2.Основными задачами политики ИБ являются:

-разработка требований по обеспечению ИБ;

-контроль выполнения установленных требований по обеспечению ИБ;

-повышение эффективности, непрерывности, контролируемости мероприятий по обеспечению и поддержанию ИБ;

-разработка нормативных документов для обеспечения ИБ УЗ;

-выявление, оценка, прогнозирование и предотвращение реализации угроз ИБ УЗ;

-организация антивирусной защиты информационных ресурсов УЗ;

-защита информации УЗ от несанкционированного доступа (далее — НСД) и утечки по техническим каналам связи;

-организация периодической проверки соблюдения информационной безопасности последующим представлением отчета по результатам указанной проверки директору УЗ.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×