Сохранность данных: обеспечение безопасности информации. Информационная безопасность на предприятии По для обеспечения информационной безопасности

Программно-аппаратные средства защиты от несанкционированного доступа включают в себя меры идентификации, аутентификации и управления доступом в информационную систему.

Идентификация – присвоение субъектам доступа уникальных идентификаторов.

Сюда относят радиочастотные метки, биометрические технологии, магнитные карты, универсальные магнитные ключи, логины для входа в систему и т.п.

Аутентификация – проверка принадлежности субъекта доступа предъявленному идентификатору и подтверждение его подлинности.

К процедурам аутентификации относятся пароли, pin-коды, смарт-карты, usb-ключи, цифровые подписи, сеансовые ключи и т.п. Процедурная часть средств идентификации и аутентификации взаимосвязана и, фактически, представляет базовую основу всех программно-аппаратных средств обеспечения информационной безопасности, так как все остальные службы рассчитаны на обслуживание конкретных субъектов, корректно распознанных информационной системой. В общем виде идентификация позволяет субъекту обозначить себя для информационной системы, а с помощью аутентификации информационная система подтверждает, что субъект действительно тот, за кого он выдает. На основе прохождения данной операции производится операция по предоставлению доступа в информационную систему. Процедуры управления доступом позволяют авторизовавшимся субъектам выполнять дозволенные регламентом действия, а информационной системе контролировать эти действия на корректность и правильность полученного результата. Разграничение доступа позволяет системе закрывать от пользователей данные, к которым они не имеют допуска.

Следующим средством программно-аппаратной защиты выступает протоколирование и аудит информации.

Протоколирование включает в себя сбор, накопление и сохранение информации о событиях, действиях, результатах, имевших место во время работы информационной системы, отдельных пользователей, процессов и всех программно-аппаратных средств, входящих в состав информационной системы предприятия.

Поскольку у каждого компонента информационной системы существует заранее заданный набор возможных событий в соответствии с запрограммированными классификаторами, то события, действия и результаты разделяются на:

• внешние, вызванные действиями других компонентов,
• внутренние, вызванные действиями самого компонента,
• клиентские, вызванные действиями пользователей и администраторов.

Аудит информации заключается в проведении оперативного анализа в реальном времени или в заданный период.

По результатам анализа либо формируется отчет об имевших место событиях, либо инициируется автоматическая реакция на внештатную ситуацию.

Реализация протоколирования и аудита решает следующие задачи:

• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем.

Зачастую защита информации невозможна без применения криптографических средств. Они используются для обеспечения работы сервисов шифрования, контроля целостности и аутентификации, когда средства аутентификации хранятся у пользователя в зашифрованном виде. Существует два основных метода шифрования: симметричный и асимметричный.

Контроль целостности позволяет установить подлинность и идентичность объекта, в качестве которого выступает массив данных, отдельные порции данных, источник данных, а также обеспечить невозможность отметить совершенное в системе действие с массивом информации. Основу реализации контроля целостности составляют технологии преобразования данных с использованием шифрования и цифровые сертификаты.

Другим важным аспектом является использование экранирования, технологии, которая позволяет, разграничивая доступ субъектов к информационным ресурсам, контролировать все информационные потоки между информационной системой предприятия и внешними объектами, массивами данных, субъектами и контрсубъектами. Контроль потоков заключается в их фильтрации и, в случае необходимости, преобразования передаваемой информации.

Задача экранирования – защита внутренней информации от потенциально враждебных внешних факторов и субъектов. Основной формой реализации экранирования выступают межсетевые экраны или файрволлы, различных типов и архитектуры.

Поскольку одним из признаков информационной безопасности является доступность информационных ресурсов, то обеспечение высокого уровня доступности является важным направление в реализации программно-аппаратных мер. В частности, разделяется два направления: обеспечение отказоустойчивости, т.е. нейтрализации отказов системы, способность работать при возникновении ошибок, и обеспечение безопасного и быстрого восстановления после отказов, т.е. обслуживаемость системы.

Основное требование к информационным системам заключается в том, чтобы они работали всегда с заданной эффективностью, минимальным временем недоступности и скоростью реагирования.

В соответствии с этим, доступность информационных ресурсов обеспечивается за счет:

• применения структурной архитектуры, которая означает, что отдельные модули могут быть при необходимости отключены или быстро заменены без ущерба другим элементам информационной системы;
• обеспечения отказоустойчивости за счет: использования автономных элементов поддерживающей инфраструктуры, внесения избыточных мощностей в конфигурацию программно-аппаратных средств, резервирования аппаратных средств, тиражирования информационных ресурсов внутри системы, резервного копирования данных и т.п.
• обеспечения обслуживаемости за счет снижения сроков диагностирования и устранения отказов и их последствий.

Другим типом средств обеспечения информационной безопасности выступают защищенные коммуникационные каналы.

Функционирование информационных систем неизбежно связано с передачей данных, поэтому для предприятий необходимо также обеспечить защиту передаваемых информационных ресурсов, используя защищенные коммуникационные каналы. Возможность несанкционированного доступа к данным при передаче трафика по открытым каналам коммуникации обусловлена их общедоступностью. Поскольку "коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об их уязвимости и соответственно обеспечивать защиту" . Для этого используются технологии туннелирования, суть которого состоит в том, чтобы инкапсулировать данные, т.е. упаковать или обернуть передаваемые пакеты данных, включая все служебные атрибуты, в собственные конверты. Соответственно, туннель является защищенным соединением через открытые каналы коммуникаций, по которому передаются криптографически защищенные пакеты данных. Туннелирование применяется для обеспечения конфиденциальности трафика за счет сокрытия служебной информации и обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими элементами информационной системы. Комбинирование туннелирования и шифрования позволяет реализовать виртуальную частную сеть. При этом конечными точками туннелей, реализующих виртуальные частные сети, выступают межсетевые экраны, обслуживающие подключение организаций к внешним сетям.

Межсетевые экраны как точки реализации сервиса виртуальных частных сетей

Таким образом, туннелирование и шифрование выступают дополнительными преобразованиями, выполняемыми в процессе фильтрации сетевого трафика наряду с трансляцией адресов. Концами туннелей, помимо корпоративных межсетевых экранов, могут быть персональные и мобильные компьютеры сотрудников, точнее, их персональные межсетевые экраны и файрволлы. Благодаря такому подходу обеспечивается функционирование защищенных коммуникационных каналов.

Процедуры обеспечения информационной безопасности

Процедуры обеспечения информационной безопасности принято разграничивать на административный и организационный уровень.

• К административным процедурам относятся действия общего характера, предпринимаемые руководством организации, для регламентации всех работ, действий, операций в области обеспечения и поддержания информационной безопасности, реализуемых за счет выделения необходимых ресурсов и контроля результативности предпринимаемых мер.
• Организационный уровень представляет собой процедуры по обеспечению информационной безопасности, включая управление персоналом, физическую защиту, поддержание работоспособности программно-аппаратной инфраструктуры, оперативное устранение нарушений режима безопасности и планирование восстановительных работ.

С другой стороны, разграничение административных и организационных процедур бессмысленно, поскольку процедуры одного уровня не могут существовать отдельно от другого уровня, нарушая тем самым взаимосвязь защиты физического уровня, персональной и организационной защиты в концепции информационной безопасности. На практике, обеспечивая информационную безопасность организации, не пренебрегают административными или организационными процедурами, поэтому логичнее рассматривать их как комплексный подход, поскольку оба уровня затрагивают физический, организационный и персональный уровни защиты информации.

Основой комплексных процедур обеспечения информационной безопасности выступает политика безопасности.

Политика информационной безопасности

Политика информационной безопасности в организации – это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

В организационно-управленческом плане политика информационной безопасности может являться единым документом или оформлена в виде нескольких самостоятельных документов или приказов, но в любом случае должна охватывать следующие аспекты защиты информационной системы организации:

• защита объектов информационной системы, информационных ресурсов и прямых операций с ними;
• защита всех операций, связанных с обработкой информации в системе, включая программные средства обработки;
• защита коммуникационных каналов, включая проводные, радиоканалы, инфракрасные, аппаратные и т.д.;
• защита аппаратного комплекса от побочных электромагнитных излучений;
• управление системой защиты, включая обслуживание, модернизацию и администраторские действия.

Каждый из аспектов должен быть подробно описан и документально закреплен во внутренних документах организации. Внутренние документы охватывают три уровня процесса защиты: верхний, средний и нижний.

Документы верхнего уровня политики информационной безопасности отражают основной подход организации к защите собственной информации и соответствие государственным и/или международным стандартам. На практике в организации существует только один документ верхнего уровня, озаглавливаемый "Концепция информационной безопасности", "Регламент информационной безопасности" и т.п. Формально данные документы не представляют конфиденциальной ценности, их распространение не ограничивается, но могут выпускать в редакции для внутреннего использования и открытой публикации.

Документы среднего уровня являются строго конфиденциальными и касаются конкретных аспектов информационной безопасности организации: используемых средств защиты информации, безопасности баз данных, коммуникаций, криптографических средств и других информационных и экономических процессов организации. Документальное оформление реализуется в виде внутренних технических и организационных стандартов.

Документы нижнего уровня разделены на два типа: регламенты работ и инструкции по эксплуатации. Регламенты работ являются строго конфиденциальными и предназначены только лиц, по долгу службы осуществляющих работу по администрированию отдельных сервисов информационной безопасности. Инструкции по эксплуатации могут быть, как конфиденциальными, так и публичными; они предназначены для персонала организации и описывают порядок работы с отдельными элементами информационной системы организации.

Мировой опыт свидетельствует, что политика информационной безопасности всегда документально оформляется только в крупных компаниях, имеющих развитую информационную систему, предъявляющих повышенные требования к информационной безопасности, средние предприятия чаще всего имеют только частично документально оформленную политику информационной безопасности, малые организации в подавляющем большинстве вообще не заботятся о документальном оформлении политики безопасности. Вне зависимости от формата документального оформления целостный или распределенный, базовым аспектом выступает режим безопасности.

Существует два разных подхода, которые закладываются в основу политики информационной безопасности :

1. "Разрешено все, что не запрещено".
2. "Запрещено все, что не разрешено".

Фундаментальным дефектом первого подхода заключается в том, что на практике предусмотреть все опасные случаи и запретить их невозможно. Вне всяких сомнений, следует применять только второй подход.

Организационной уровень информационной безопасности

С точки зрения защиты информации, организационные процедуры обеспечения информационной безопасности представляются как "регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз" .

Меры по управлению персоналом, направленные на организацию работы с кадрами в целях обеспечения информационной безопасности, включают разделение обязанностей и минимизацию привилегий. Разделение обязанностей предписывает такое распределение компетенций и зон ответственности, при котором один человек не в состоянии нарушить критически важный для организации процесс. Это снижает вероятность ошибок и злоупотреблений. Минимизация привилегий предписывает наделение пользователей только тем уровнем доступа, который соответствует необходимости выполнения ими служебных обязанностей. Это уменьшает ущерб от случайных или умышленных некорректных действий.

Физическая защита означает разработку и принятие мер для прямой защиты зданий, в которых размещаются информационные ресурсы организации, прилегающих территорий, элементов инфраструктуры, вычислительной техники, носителей данных и аппаратных каналов коммуникаций. Сюда относят физическое управление доступом, противопожарные меры, защиту поддерживающей инфраструктуры, защиту от перехвата данных и защиту мобильных систем.

Поддержание работоспособности программно-аппаратной инфраструктуры заключается в предупреждении стохастических ошибок, грозящих повреждением аппаратного комплекса, нарушением работы программ и потерей данных. Основные направления в этом аспекте заключаются в обеспечении поддержки пользователей и программного обеспечения, конфигурационного управления, резервного копирования, управления носителями информации, документирование и профилактические работы.

Оперативное устранение нарушений режима безопасности преследует три главные цели:

1. Локализация инцидента и уменьшение наносимого вреда;
2. Выявление нарушителя;
3. Предупреждение повторных нарушений.

Наконец, планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Использование программно-аппаратных средств и защищенных коммуникационных каналов должно быть реализовано в организации на основе комплексного подхода к разработке и утверждению всех административно-организационных регламентных процедур обеспечения информационной безопасности. В противном случае, принятие отдельных мер не гарантирует защиты информации, а зачастую, наоборот, провоцирует утечки конфиденциальной информации, потери критически важных данных, повреждения аппаратной инфраструктуры и нарушения работы программных компонентов информационной системы организации.

Методы обеспечения информационной безопасности

Для современных предприятий характерна распределенная информационная система, которая позволяет учитывать в работе распределенные офисы и склады компании, финансовый учет и управленческий контроль, информацию из клиентской базы, с учетом выборки по показателям и так далее. Таким образом, массив данных весьма значителен, причем в подавляющем большинстве это информация, имеющая приоритетное значение для компании в коммерческом и экономическом плане. Фактически, обеспечение конфиденциальности данных, имеющих коммерческую ценность, составляет одну из основных задач обеспечения информационной безопасности в компании.

Обеспечение информационной безопасности на предприятии должно быть регламентировано следующими документами:

1. Регламент обеспечения информационной безопасности. Включает формулировку целей и задач обеспечения информационной безопасности, перечень внутренних регламентов по средствам защиты информации и положение об администрировании распределенной информационной системы компании. Доступ к регламенту ограничен руководством организации и руководителем отдела автоматизации.
2. Регламенты технического обеспечения защиты информации. Документы являются конфиденциальными, доступ ограничен сотрудниками отдела автоматизации и вышестоящим руководством.
3. Регламент администрирования распределенной системы защиты информации. Доступ к регламенту ограничен сотрудниками отдела автоматизации, отвечающими за администрирование информационной системы, и вышестоящим руководством.

При этом данными документами не следует ограничиваться, а проработать также нижние уровни. В противном случае, если у предприятия иных документов, касающихся обеспечения информационной безопасности, не будет, то это будет свидетельствовать о недостаточной степени административного обеспечения защиты информации, поскольку отсутствуют документы нижнего уровня, в частности инструкции по эксплуатации отдельных элементов информационной системы.

Обязательные организационные процедуры включают в себя:

• основные меры по дифференциации персонала по уровню доступа к информационным ресурсам,
• физическую защиту офисов компании от прямого проникновения и угроз уничтожения, потери или перехвата данных,
• поддержание работоспособности программно-аппаратной инфраструктуры организовано в виде автоматизированного резервного копирования, удаленной проверки носителей информации, поддержка пользователей и программного обеспечения осуществляется по запросу.

Сюда также следует отнести регламентированные меры по реагированию и устранению случаев нарушений информационной безопасности.

На практике часто наблюдается, что предприятия недостаточно внимательно относятся к этому вопросу. Все действия в данном направлении осуществляются исключительно в рабочем порядке, что увеличивает время устранения случаев нарушений и не гарантирует предупреждения повторных нарушений информационной безопасности. Кроме того, полностью отсутствует практика планирования действий по устранению последствий после аварий, утечек информации, потери данных и критических ситуаций. Все это существенно ухудшает информационную безопасность предприятия.

На уровне программно-аппаратных средств должна быть реализована трехуровневая система обеспечения информационной безопасности.

Минимальные критерии обеспечения информационной безопасности:

1. Модуль управления доступом:

• реализован закрытый вход в информационную систему, невозможно зайти в систему вне верифицированных рабочих мест;
• для сотрудников реализован доступ с ограниченным функционалом с мобильных персональных компьютеров;
• авторизация осуществляется по формируемым администраторами логинам и паролям.

2. Модуль шифрования и контроля целостности:

• используется асимметричный метод шифрования передаваемых данных;
• массивы критически важных данных хранятся в базах данных в зашифрованном виде, что не позволяет получить к ним доступ даже при условии взлома информационной системы компании;
• контроль целостности обеспечивается простой цифровой подписью всех информационных ресурсов, хранящихся, обрабатываемых или передаваемых внутри информационной системы.

3. Модуль экранирования:

• реализована система фильтров в межсетевых экранах, позволяющая контролировать все информационные потоки по каналам коммуникации;
• внешние соединения с глобальными информационными ресурсами и публичными каналами связи могут осуществляться только через ограниченный набор верифицированных рабочих станций, имеющих ограниченное соединение с корпоративной информационной системой;
• защищенный доступ с рабочих мест сотрудников для выполнения ими служебных обязанностей реализован через двухуровневую систему прокси-серверов.

Наконец, с помощью технологий туннелирования на предприятии должна быть реализована виртуальная частная сеть в соответствии с типичной моделью построения для обеспечения защищенных коммуникационных каналов между различными отделениями компании, партнерами и клиентами компании.

Несмотря на то, что коммуникации непосредственно осуществляются по сетям с потенциально низким уровнем доверия, технологии туннелирования благодаря использованию средств криптографии позволяют обеспечить надежную защиту всех передаваемых данных.

Выводы

Основная цель всех предпринимаемых мероприятий в области обеспечения информационной безопасности заключается в защите интересов предприятия, так или иначе связанных с информационными ресурсами, которыми оно располагает. Хотя интересы предприятий не ограничены конкретной областью, все они концентрируются вокруг доступности, целостности и конфиденциальности информации.

Проблема обеспечения информационной безопасности объясняется двумя основными причинами.

1. Накопленные предприятием информационные ресурсы представляют ценность.
2. Критическая зависимость от информационных технологий обуславливает их широкое применение.

Учитывая широкое многообразие существующих угроз для информационной безопасности, таких как разрушение важной информации, несанкционированное использование конфиденциальных данных, перерывы в работе предприятия вследствие нарушений работы информационной системы, можно сделать вывод, что все это объективно приводит к крупным материальным потерям.

В обеспечении информационной безопасности значительную роль играют программно-аппаратные средства, направленные на контроль компьютерных сущностей, т.е. оборудования, программных элементов, данных, образуя последний и наиболее приоритетный рубеж информационной безопасности. Передача данных также должна быть безопасной в контексте сохранения их конфиденциальности, целостности и доступности. Поэтому в современных условиях для обеспечения защищенных коммуникационных каналов применяются технологии туннелирования в комбинации с криптографическими средствами.

Литература

1. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
2. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: Форум, 2012.

Н аучно-технический прогресс превратил информацию в продукт, который можно купить, продать, обменять. Нередко стоимость данных в несколько раз превышает цену всей технической системы, которая хранит и обрабатывает информацию.

Качество коммерческой информации обеспечивает необходимый экономический эффект для компании, поэтому важно охранять критически важные данные от неправомерных действий. Это позволит компании успешно конкурировать на рынке.

Определение информационной безопасности

Информационная безопасность (ИБ) - это состояние информационной системы, при котором она наименее восприимчива к вмешательству и нанесению ущерба со стороны третьих лиц. Безопасность данных также подразумевает управление рисками, которые связаны с разглашением информации или влиянием на аппаратные и программные модули защиты.

Безопасность информации, которая обрабатывается в организации, - это комплекс действий, направленных на решение проблемы защиты информационной среды в рамках компании. При этом информация не должна быть ограничена в использовании и динамичном развитии для уполномоченных лиц.

Требования к системе защиты ИБ

Защита информационных ресурсов должна быть:

1. Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.

2. Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.

3. Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.

4. Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.

5. Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.

6. Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.

7. Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.

Перечисленным требованиям должна соответствовать и DLP-система. И лучше всего оценивать ее возможности на практике, а не в теории. Испытать «СёрчИнформ КИБ» можно бесплатно в течение 30 дней.

Модель системы безопасности

Информация считается защищенной, если соблюдаются три главных свойства.

Первое - целостность - предполагает обеспечение достоверности и корректного отображения охраняемых данных, независимо от того, какие системы безопасности и приемы защиты используются в компании. Обработка данных не должна нарушаться, а пользователи системы, которые работают с защищаемыми файлами, не должны сталкиваться с несанкционированной модификацией или уничтожением ресурсов, сбоями в работе ПО.

Второе - конфиденциальность - означает, что доступ к просмотру и редактированию данных предоставляется исключительно авторизованным пользователям системы защиты.

Третье - доступность - подразумевает, что все авторизованные пользователи должны иметь доступ к конфиденциальной информации.

Достаточно нарушить одно из свойств защищенной информации, чтобы использование системы стало бессмысленным.

Этапы создания и обеспечения системы защиты информации

На практике создание системы защиты информации осуществляется в три этапа.

На первом этапе разрабатывается базовая модель системы, которая будет функционировать в компании. Для этого необходимо проанализировать все виды данных, которые циркулируют в фирме и которые нужно защитить от посягательств со стороны третьих лиц. Планом работы на начальном этапе являются четыре вопроса:

1. Какиеисточники информации следует защитить?
2. Какова цельполучения доступа к защищаемой информации?

Целью может быть ознакомление, изменение, модификация или уничтожение данных. Каждое действие является противоправным, если его выполняет злоумышленник. Ознакомление не приводит к разрушению структуры данных, а модификация и уничтожение приводят к частичной или полной потере информации.

1. Что являетсяисточником конфиденциальной информации?

Источники в данном случае это люди и информационные ресурсы: документы, флеш-носители, публикации, продукция, компьютерные системы, средства обеспечения трудовой деятельности.

1. Способы получения доступа, и как защититься от несанкционированных попыток воздействия на систему?

Различают следующие способы получения доступа:

• Несанкционированный доступ - незаконное использование данных;
• Утечка - неконтролируемое распространение информации за пределы корпоративной сети. Утечка возникает из-за недочетов, слабых сторон технического канала системы безопасности;
• Разглашение - следствие воздействия человеческого фактора. Санкционированные пользователи могут разглашать информацию, чтобы передать конкурентам, или по неосторожности.

Второй этап включает разработку системы защиты. Это означает реализовать все выбранные способы, средства и направления защиты данных.

Система строится сразу по нескольким направлениям защиты, на нескольких уровнях, которые взаимодействуют друг с другом для обеспечения надежного контроля информации.

Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции. Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.

Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и физическими носителями данных.

Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель - создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа. Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.

Технический уровень условно разделяют на физический, аппаратный, программный и математический подуровни.

• физический - создание преград вокруг защищаемого объекта: охранные системы, зашумление, укрепление архитектурных конструкций;
• аппаратный - установка технических средств: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей;
• программный - установка программной оболочки системы защиты, внедрение правила разграничения доступа и тестирование работы;
• математический - внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Третий, завершающий этап - это поддержка работоспособности системы, регулярный контроль и управление рисками. Важно, чтобы модуль защиты отличался гибкостью и позволял администратору безопасности быстро совершенствовать систему при обнаружении новых потенциальных угроз.

Виды конфиденциальных данных

Конфиденциальные данные - это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно.

• Личные конфиденциальные данные: персональные данные граждан, право на личную жизнь, переписку, сокрытие личности. Исключением является только информация, которая распространяется в СМИ.
• Служебные конфиденциальные данные: информация, доступ к которой может ограничить только государство (органы государственной власти).
• Судебные конфиденциальные данные: тайна следствия и судопроизводства.
• Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или предприятием (секретные разработки, технологии производства и т.д.).
• Профессиональные конфиденциальные данные: данные, связанные с деятельностью граждан, например, врачебная, нотариальная или адвокатская тайна, разглашение которой преследуется по закону.

Угрозы конфиденциальности информационных ресурсов

Угроза - это возможные или действительные попытки завладеть защищаемыми информационными ресурсами.

Источниками угрозы сохранности конфиденциальных данных являются компании-конкуренты, злоумышленники, органы управления. Цель любой угрозы заключается в том, чтобы повлиять на целостность, полноту и доступность данных.

Угрозы бывают внутренними или внешними. Внешние угрозы представляют собой попытки получить доступ к данным извне и сопровождаются взломом серверов, сетей, аккаунтов работников и считыванием информации из технических каналов утечки (акустическое считывание с помощью жучков, камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций).

Внутренние угрозы подразумевают неправомерные действия персонала, рабочего отдела или управления фирмы. В результате пользователь системы, который работает с конфиденциальной информацией, может выдать информацию посторонним. На практике такая угроза встречается чаще остальных. Работник может годами «сливать» конкурентам секретные данные. Это легко реализуется, ведь действия авторизованного пользователя администратор безопасности не квалифицирует как угрозу.

Поскольку внутренние ИБ-угрозы связаны с человеческим фактором, отслеживать их и управлять ими сложнее. Предупреждать инциденты можно с помощью деления сотрудников на группы риска. С этой задачей справится - автоматизированный модуль для составления психологических профилей.

Попытка несанкционированного доступа может происходить несколькими путями:

• через сотрудников , которые могут передавать конфиденциальные данные посторонним, забирать физические носители или получать доступ к охраняемой информации через печатные документы;
• с помощью программного обеспечения злоумышленники осуществляют атаки, которые направлены на кражу пар «логин-пароль», перехват криптографических ключей для расшифровки данных, несанкционированного копирования информации.
• с помощью аппаратных компонентов автоматизированной системы, например, внедрение прослушивающих устройств или применение аппаратных технологий считывания информации на расстоянии (вне контролируемой зоны).

Аппаратная и программная ИБ

Все современные операционные системы оснащены встроенными модулями защиты данных на программном уровне. MAC OS, Windows, Linux, iOS отлично справляются с задачей шифрования данных на диске и в процессе передачи на другие устройства. Однако для создания эффективной работы с конфиденциальной информацией важно использовать дополнительные модули защиты.

Пользовательские ОС не защищают данные в момент передачи по сети, а системы защиты позволяют контролировать информационные потоки, которые циркулируют по корпоративной сети, и хранение данных на северах.

Аппаратно-программный модуль защиты принято разделять на группы, каждая из которых выполняет функцию защиты чувствительной информации:

• Уровень идентификации - это комплексная система распознавания пользователей, которая может использовать стандартную или многоуровневую аутентификацию, биометрию (распознавание лица, сканирование отпечатка пальца, запись голоса и прочие приемы).
• Уровень шифрования обеспечивает обмен ключами между отправителем и получателем и шифрует/дешифрует все данные системы.

Правовая защита информации

Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.

Государство также определят меру ответственности за нарушение положений законодательства в сфере ИБ. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

• Статья 272 «Неправомерный доступ к компьютерной информации»;
• Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
• Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Аннотация: В лекции рассмотрены основные понятия информационной безопасности. Ознакомление с ФЗ " Об информации, информационных технологиях и о защите информации".

ГОСТ " Защита информации . Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность , доступность и целостность .

• Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
• Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
• Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ , ]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником . Потенциальные злоумышленники называются источниками угрозы .

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

• по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
• по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура );
• по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
• по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход . Выделяют следующие уровни защиты информации:

1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
2. административный – комплекс мер, предпринимаемых локально руководством организации;
3. процедурный уровень – меры безопасности, реализуемые людьми;
4. программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность .

1.2. ФЗ "Об информации, информационных технологиях и о защите информации"

В российском законодательстве базовым законом в области защиты информации является ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.

Закон регулирует отношения, возникающие при:

• осуществлении права на поиск, получение, передачу, производство и распространение информации;
• применении информационных технологий;
• обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

• информация - сведения (сообщения, данные) независимо от формы их представления;
• информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
• информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
• обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
• оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
• конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя .

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
2. установление ограничений доступа к информации только федеральными законами;
3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
6. достоверность информации и своевременность ее предоставления;
7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Вся информация делится на общедоступную и ограниченного доступа . К общедоступной информации относятся общеизвестные сведения и иная информация , доступ к которой не ограничен. В законе, определяется информация , к которой нельзя ограничить доступ , например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

1. информацию, свободно распространяемую;
2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:

1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2. соблюдение конфиденциальности информации ограниченного доступа;
3. реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2. своевременное обнаружение фактов несанкционированного доступа к информации;
3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6. постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ "Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.

Когда мы говорим об угрозе информационной безопасности, как правило, нам представляется опытный хакер, день и ночь скрупулезно изучающий малейшие бреши в защите баз данных. Однако, как показывает практика, часто беда приходит изнутри компании - по недосмотру, или же по злому умыслу, конфиденциальная информация утекает именно через сотрудников организации.

Целый ряд серьёзных специалистов по информационной безопасности организации называет внутреннюю угрозу важнейшей, отдавая ей до 80% от общего числа потенциальных рисков. Действительно, если рассмотреть средний ущерб от хакерских атак, то он будет близиться к нулю, ввиду большого числа попыток взлома и весьма низкой их результативности. Единичный же случай ошибки персонала или успешного злодеяния инсайдера может стоить компании многомиллионных убытков (прямых и косвенных), судебных разбирательств и дурной славы в глазах клиентов. По факту, под угрозой может оказаться само существование фирмы и это, увы, реальность. Как обеспечить? Как защититься от утечек информации? Как вовремя распознать и предотвратить внутреннюю угрозу? Какие методы борьбы с ней наиболее эффективны сегодня?

Враг внутри

Внутренним злоумышленником, или инсайдером, может стать практически любой сотрудник, имеющий доступ к конфиденциальной информации компании. Мотивация действий инсайдера не всегда очевидна, что влечёт за собой значительные трудности в его идентификации. Недавно уволенный сотрудник, затаивший обиду на работодателя; нечистый на руку работник, желающий подзаработать на продаже данных; современный Герострат; специально внедрённый агент конкурента или преступной группы - вот лишь несколько архетипов инсайдера.

Корень всех бед, которые могут принести злоумышленные действия инсайдеров, кроется в недооценке важности этой угрозы. Согласно исследованию проведённому компанией Perimetrix, утечка более 20% конфиденциальной информации фирмы в большинстве случаев ведёт за собой её крах и банкротство. Особенно частой, но до сих пор наиболее уязвимой жертвой инсайдеров становятся финансовые учреждения, причём любого размера - со штатом от сотни до нескольких тысяч работников. Несмотря на то, что в большинстве случаев компании стараются скрыть или существенно занизить реальные цифры ущерба от действий инсайдеров, даже официально оглашаемые суммы убытков поистине впечатляют. Гораздо больнее финансовых потерь по компании бьёт ущерб репутации фирмы и резкое снижение доверия клиентов. Зачастую, непрямые потери могут многократно превышать фактический прямой ущерб. Так, широко известен случай с лихтенштейнским банком LGT, когда в 2008 году сотрудник банка передал базу данных по вкладчикам спецслужбам Германии, США, Великобритании и других стран. Как оказалось, огромное количество иностранных клиентов банка использовали особый статус LGT для проведения транзакций в обход действующих в их странах налоговых законов. По миру прокатилась волна финансовых расследований и связанных с ними судебных разбирательств, а банк LGT растерял всех своих значимых клиентов, понёс критические потери и вверг весь Лихтенштейн в тяжелый экономический и дипломатический кризис. За совсем свежими примерами тоже не нужно ходить далеко - в начале 2011 года факт утечки персональных данных клиентов признал такой финансовый гигант, как Bank of America. В результате мошеннических действий, из банка утекла информация с именами, адресами, номерами социального страхования и телефонов, номерами банковских счетов и водительских прав, адресами электронной почты, PIN-кодами и прочими личными данными вкладчиков. Едва ли удастся точно определить реальный масштаб потерь банка, если только официально было заявлено о сумме «более 10 миллионов долларов». Причина утечки данных - действия инсайдера, который передавал информацию организованной преступной группе. Впрочем, под угрозой инсайдерских атак не только банки и фонды, достаточно будет вспомнить целый ряд громких скандалов, связанных с публикаций конфиденциальных данных на ресурсе WikiLeaks - по оценке специалистов, изрядная доля информации была получена именно через инсайдеров.

Проза жизни

Непредумышленное причинение вреда конфиденциальным данным компании, их утечка или потеря - вещь куда более частая и прозаическая, чем вред, наносимый инсайдерами. Безалаберность персонала и отсутствие должного технического обеспечения информационной безопасности может стать причиной прямой утечки корпоративных секретов. Такая халатность несёт не только серьёзные убытки бюджету и репутации компании, но и может вызывать широкий общественный диссонанс. Вырвавшись на волю, секретная информация становится достоянием не узкого круга злоумышленников, а всего информационного пространства - утечку обсуждают в интернете, на телевидении, в прессе. Вспомним громкий скандал с публикацией SMS-сообщений крупнейшего российского оператора сотовой связи «Мегафон». Из-за невнимательности технического персонала, смс-сообщения были проиндексированы интернет-поисковиками, в сеть попала переписка абонентов, содержащая информацию как личного, так и делового характера. Совсем недавний случай: публикация личных данных клиентов Пенсионного фонда России. Ошибка представителей одного из региональных представительств фонда привела к индексации персональной информации 600 человек - имена, регистрационные номера, подробные суммы накоплений клиентов ПФР мог прочитать любой пользователь интернета.

Очень частая причина утечек конфиденциальных данных по неосторожности связана с ежедневной ротацией документов внутри компании. Так, например, сотрудник может скопировать файл, содержащий секретные данные, на портативный компьютер, USB-носитель или КПК для работы с данными вне офиса. Также, информация может попасть на файлообменник или личную почту работника. При подобных ситуациях, данные оказываются полностью беззащитными для злоумышленников, которые могут воспользоваться непреднамеренной утечкой.

Золотые доспехи или бронежилет?

Для защиты от утечки данных в индустрии информационной безопасности создаются разнообразные системы защиты информации от утечки, традиционно обозначаемых аббревиатурой DLP от англ. Data Leakage Prevention («предотвращение утечки данных»). Как правило, это сложнейшие программные комплексы, имеющие широкий функционал по предотвращению злоумышленной или случайной утечки секретной информации. Особенностью таких систем является то, что для корректной их работы требуется строго отлаженная структура внутреннего оборота информации и документов, поскольку анализ безопасности всех действий с информацией строится на работе с базами данных. Этим объясняется высокая стоимость установки профессиональных DLP-решений: ещё перед непосредственным внедрением, компании-клиенту приходится приобретать систему управления базами данных (как правило, Oracle или SQL), заказывать дорогостоящий анализ и аудит структуры оборота информации, вырабатывать новую политику безопасности. Обычной является ситуация, когда в компании неструктурированно более 80% информации, что даёт зрительное представление о масштабе подготовительных мероприятий. Разумеется, сама DLP-система тоже стоит немалых денег. Неудивительно, что профессиональную DLP-систему могут себе позволить только крупные компании, готовые тратить миллионы на информационную безопасность организации .

Но что же делать предприятиям среднего и малого бизнеса, которым требуется обеспечить информационную безопасность бизнеса , но средств и возможностей на внедрение профессиональной DLP-системы нет? Самое важное для руководителя компании или офицера службы безопасности определить, какую информацию защищать и какие стороны информационной деятельности сотрудников подвергать контролю. В российском бизнесе до сих пор преобладает мнение, что защищать нужно абсолютно все, без классификации информации и расчета эффективности средств защиты. При таком подходе совершенно очевидно, что узнав суммы расходов на информационную безопасность предприятия , руководитель среднего и малого бизнеса машет рукой и надеется на «авось».

Существуют альтернативные способы защиты, которые не затрагивают базы данных и сложившийся жизненный цикл информации, но дают надёжную защиту от действий злоумышленников и халатности сотрудников. Это гибкие модульные комплексы, которые без проблем работают с другими средствами безопасности, как аппаратными, так и программными (например, с антивирусами). Грамотно составленная система безопасности даёт очень надёжную защиту как от внешних, так и от внутренних угроз, предоставляя идеальный баланс цены и функционала. По мнению специалистов российской компании-разработчика систем информационной безопасности SafenSoft, оптимальным является сочетание элементов защиты от внешних угроз (например, HIPS для предотвращения вторжений, плюс антивирусный сканер) со средствами мониторинга и контроля доступа пользователей и приложений к отдельным секторам информации. При таком подходе вся сетевая структура организации полностью защищена от возможного взлома или инфицирования вирусами, а средства контроля и наблюдения за действиями персонала при работе с информацией позволяют эффективно препятствовать утечкам данных. При наличии всего необходимого арсенала защитных средств, стоимость модульных систем в десятки раз меньше комплексных DLP-решений и не требует никаких затрат на предварительный анализ и адаптацию информационной структуры компании.

Итак, подведём итоги. Угрозы информационной безопасности предприятия совершенно реальны, их нельзя недооценивать. Кроме противодействия внешним угрозам особое внимание следует уделить угрозам внутренним. Важно помнить, что утечки корпоративных секретов случаются не только по злому умыслу - как правило, их причина в элементарной халатности и невнимательности работника. При выборе средств защиты не нужно пытаться охватить все мыслимые и немыслимые угрозы, на это просто не хватит денег и сил. Постройте надёжную модульную систему безопасности, закрытую от рисков вторжения извне и позволяющую осуществлять контроль и мониторинг за потоком информации внутри компании.

Информационная безопасность предприятия - это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, ИТ-сервисами, средствами защиты и т.д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и проч.

Задачи систем информационной безопасности предприятия многообразны. Это обеспечение защищённого хранения информации на разных носителях; защита данных, передаваемых по каналам связи; разграничение доступа к различным видам документов; создание резервных копий, послеаварийное восстановление информационных систем и т.д.

Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. В системе ИБ должны учитываться все актуальные компьютерные угрозы и уязвимости.

Полноценная информационная безопасность предприятий и организаций подразумевает непрерывный контроль в реальном времени всех важных событий и состояний, влияющих на безопасность данных. Защита должна осуществляться круглосуточно и круглогодично и охватывать весь жизненный цикл информации - от её поступления или создания до уничтожения или потери актуальности.

На уровне предприятия за информационную безопасность отвечают отделы информационных технологий, экономической безопасности, кадров и другие службы.

Защита информации и информационная безопасность

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.

На сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. К таким информационным системам можно отнести, например, банковские или юридические системы безопасного документооборота и другие информационные системы, для которых обеспечение защиты информации является жизненно важным для защиты информации в информационных системах.

Что же такое «защита информации от несанкционированного доступа» или информационная безопасность Российской Федерации?

Методы защиты информации

Под информационной безопасностью Российской Федерации (информационной системы) подразумевается техника защиты информации от преднамеренного или случайного несанкционированного доступа и нанесения тем самым вреда нормальному процессу документооборота и обмена данными в системе, а также хищения, модификации и уничтожения информации.

Другими словами вопросы защиты информации и защиты информации в информационных системах решаются для того, чтобы изолировать нормально функционирующую информационную систему от несанкционированных управляющих воздействий и доступа посторонних лиц или программ к данным с целью хищения.

Под фразой «угрозы безопасности информационных систем» понимаются реальные или потенциально возможные действия или события, которые способны исказить хранящиеся в информационной системе данные, уничтожить их или использовать в каких-либо целях, не предусмотренных регламентом заранее.

Первое разделение угрозы безопасности информационных систем на виды

Если взять модель, описывающую любую управляемую информационную систему, можно предположить, что возмущающее воздействие на нее может быть случайным. Именно поэтому, рассматривая угрозы безопасности информационных систем, следует сразу выделить преднамеренные и случайные возмущающие воздействия.

Комплекс защиты информации (курсовая защита информации) может быть выведен из строя, например из-за дефектов аппаратных средств. Также вопросы защиты информации встают ребром благодаря неверным действиям персонала, имеющего непосредственный доступ к базам данных, что влечет за собой снижение эффективности защиты информации при любых других благоприятных условиях проведения мероприятия по защите информации. Кроме этого в программном обеспечении могут возникать непреднамеренные ошибки и другие сбои информационной системы. Все это негативно влияет на эффективность защиты информации любого вида информационной безопасности, который существует и используется в информационных системах.

В этом разделе рассматривается умышленная угроза защиты информации, которая отличается от случайной угрозы защиты информации тем, что злоумышленник нацелен на нанесение ущерба системе и ее пользователям, и зачастую угрозы безопасности информационных систем – это не что иное, как попытки получения личной выгоды от владения конфиденциальной информацией.

Защита информации от компьютерных вирусов (защита информации в информационных системах) предполагает средства защиты информации в сети, а точнее программно аппаратные средства защиты информации, которые предотвращают несанкционированное выполнение вредоносных программ, пытающихся завладеть данными и выслать их злоумышленнику, либо уничтожить информацию базы данных, но защита информации от компьютерных вирусов неспособна в полной мере отразить атаку хакера или человека, именуемого компьютерным пиратом.

Задача защиты информации и защиты информации от компьютерных вирусов заключается в том, чтобы усложнить или сделать невозможным проникновение, как вирсов, так и хакера к секретным данным, ради чего взломщики в своих противоправных действиях ищут наиболее достоверный источник секретных данных. А так как хакеры пытаются получить максимум достоверных секретных данных с минимальными затратами, то задачи защиты информации - стремление запутать злоумышленника: служба защиты информации предоставляет ему неверные данные, защита компьютерной информации пытается максимально изолировать базу данных от внешнего несанкционированного вмешательства и т.д.

Защита компьютерной информации для взломщика – это те мероприятия по защите информации, которые необходимо обойти для получения доступа к сведениям. Архитектура защиты компьютерной информации строится таким образом, чтобы злоумышленник столкнулся с множеством уровней защиты информации: защита сервера посредством разграничения доступа и системы аутентификации (диплом «защита информации») пользователей и защита компьютера самого пользователя, который работает с секретными данными. Защита компьютера и защита сервера одновременно позволяют организовать схему защиты компьютерной информации таким образом, чтобы взломщику было невозможно проникнуть в систему, пользуясь столь ненадежным средством защиты информации в сети, как человеческий фактор. То есть, даже обходя защиту компьютера пользователя базы данных и переходя на другой уровень защиты информации, хакер должен будет правильно воспользоваться данной привилегией, иначе защита сервера отклонит любые его запросы на получение данных и попытка обойти защиту компьютерной информации окажется тщетной.

Публикации последних лет говорят о том, что техника защиты информации не успевает развиваться за числом злоупотреблений полномочиями, и техника защиты информации всегда отстает в своем развитии от технологий, которыми пользуются взломщики для того, чтобы завладеть чужой тайной.

Существуют документы по защите информации, описывающие циркулирующую в информационной системе и передаваемую по связевым каналам информацию, но документы по защите информации непрерывно дополняются и совершенствуются, хотя и уже после того, как злоумышленники совершают все более технологичные прорывы модели защиты информации, какой бы сложной она не была.

Сегодня для реализации эффективного мероприятия по защите информации требуется не только разработка средства защиты информации в сети и разработка механизмов модели защиты информации, а реализация системного подхода или комплекса защиты информации – это комплекс взаимосвязанных мер, описываемый определением «защита информации». Данный комплекс защиты информации, как правило, использует специальные технические и программные средства для организации мероприятий защиты экономической информации.

Кроме того, модели защиты информации (реферат на тему защита информации) предусматривают ГОСТ «Защита информации», который содержит нормативно-правовые акты и морально-этические меры защиты информации и противодействие атакам извне. ГОСТ «Защита информации» нормирует определение защиты информации рядом комплексных мер защиты информации, которые проистекают из комплексных действий злоумышленников, пытающихся любыми силами завладеть секретными сведениями. И сегодня можно смело утверждать, что постепенно ГОСТ (защита информации) и определение защиты информации рождают современную технологию защиты информации в сетях компьютерных информационных системах и сетях передачи данных, как диплом «защита информации».

Какие сегодня существуют виды информационной безопасности и умышленных угроз безопасности информации

Виды информационной безопасности, а точнее виды угроз защиты информации на предприятии подразделяются на пассивную и активную.

Пассивный риск информационной безопасности направлен на внеправовое использование информационных ресурсов и не нацелен на нарушение функционирования информационной системы. К пассивному риску информационной безопасности можно отнести, например, доступ к БД или прослушивание каналов передачи данных.

Активный риск информационной безопасности нацелен на нарушение функционирования действующей информационной системы путем целенаправленной атаки на ее компоненты.

К активным видам угрозы компьютерной безопасности относится, например, физический вывод из строя компьютера или нарушение его работоспособности на уровне программного обеспечения.

Необходимость средств защиты информации. Системный подход к организации защиты информации от несанкционированного доступа

К методам и средствам защиты информации относят организационно-технические и правовые мероприятия информационной защиты и меры защиты информации (правовая защита информации, техническая защита информации, защита экономической информации и т.д.).

Организационные методы защиты информации и защита информации в России обладают следующими свойствами:

Методы и средства защиты информации обеспечивают частичное или полное перекрытие каналов утечки согласно стандартам информационной безопасности (хищение и копирование объектов защиты информации);

Система защиты информации – это объединенный целостный орган защиты информации, обеспечивающий многогранную информационную защиту;

Методы и средства защиты информации (методы защиты информации реферат) и основы информационной безопасности включают в себя:

Безопасность информационных технологий, основанная на ограничении физического доступа к объектам защиты информации с помощью режимных мер и методов информационной безопасности;

Информационная безопасность организации и управление информационной безопасностью опирается на разграничение доступа к объектам защиты информации – это установка правил разграничения доступа органами защиты информации, шифрование информации для ее хранения и передачи (криптографические методы защиты информации, программные средства защиты информации и защита информации в сетях);

Информационная защита должна обязательно обеспечить регулярное резервное копирование наиболее важных массивов данных и надлежащее их хранение ( физическая защита информации );

Органы защиты информации должны обеспечивать профилактику заражение компьютерными вирусами объекта защиты информации.

Правовые основы защиты информации и закон о защите информации. Защита информации на предприятии

Правовые основы защиты информации – это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия.