Осипов А.В. Экономика и управление организацией. Контрольная работа по дисциплине Информационные технологии и защита информации
Скачать 59.74 Kb.
|
Министерство науки и высшего образования Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования «Сибирский государственный индустриальный университет» Кафедра менеджмента качества и инноваций КОНТРОЛЬНАЯ работа по дисциплине: «Информационные технологии и защита информации» Выполнил: обучающийся гр. ЗУК-20 Осипов А.В. Проверил: к.т.н., доцент, Морин С.В. Новокузнецк 2023 г. Оглавление1. Правовое обеспечение информационной безопасности 3 2. Информационная безопасность в условиях функционирования в России глобальных сетей 6 3. Методы криптографии 12 4. Технические средства обеспечения информационной безопасности 13 5. Комплексная защита конфиденциальной информации в организации 15 Список используемой литературы 19 1. Правовое обеспечение информационной безопасностиОбязательное условие успешного получения прибыли и сохранения структуры объекта финансовой сферы, это обеспечение безопасности его функционирования. Одной из составляющих безопасности является организация и правовая защита информационных ресурсов объекта кредитно – финансовой сферы на всех направлениях его деятельности, так как ни один объект не сможет получить успешное развитие в том государстве, где не будет обеспечена информационная безопасность. В настоящее время проблемы организации информационной безопасности становятся наиболее сложными и значимыми ввиду активного перехода информационных технологий на автоматизированную основу, переход от традиционных бумажных документов во всех сферах человеческой деятельности. Информационная безопасность носит концептуальный характер и предполагает создание системы безопасности, которая включает в себя правовые, организационные, инженерно – технические, криптографические и программно – аппаратные методы и средства защиты информации. Данные методы являются главным звеном, объединяющим на правовой основе технические, программные и криптографические компоненты в единую эффективную комплексную защиту информации. Правовую основу защиты информации составляют документы, как ведомственного, так и федерального уровня, формирующие требования по разработке документов на каждом объекте информатизации.[3] Основополагающими документами в области обеспечения безопасности являются: Конституция Российской Федерации, принятая 12 декабря 1993 г. (Принята всенародным голосованием 12 декабря 1993 года, с изменениями, одобренными в ходе общероссийского голосования 1 июля 2020 года) которая определяет: права и свободы человека и гражданина; федеративное устройство; права и обязанности президента Российской Федерации; статус, состав, назначение, порядок формирования и работы Федерального Собрания, права и обязанности его членов; функции исполнительной власти Российской Федерации – Правительства Российской Федерации; задачи судебной власти Российской Федерации; местное самоуправление в Российской Федерации; конституционные поправки и пересмотр Конституции Российской Федерации; заключительные и переходные положения. Все перечисленные положения отражены в разделах и главах Конституции и, по сути, направлены на обеспечение безопасности государственного строя, защиту прав и свобод граждан нашего государства. [4] В области обеспечения информационной безопасности основным нормативным документом можно считать «Доктрину информационной безопасности Российской Федерации», которая была утверждена 9 сентября 2000 года Президентом Российской Федерации № Пр-1895. Доктрина определяет совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. В Доктрине информационной безопасности на основе анализа современного состояния информационной безопасности Российской Федерации определены цели, задачи и ключевые проблемы ее обеспечения, объекты информационной безопасности и угрозы ей, методы предотвращения и нейтрализации этих угроз в отдельных сферах деятельности государства. В ней также закреплены основные положения государственной политики в области информационной безопасности Российской Федерации, организационная структура и принципы построения системы обеспечения информационной безопасности. Информационная сфера в настоящее время стала системообразующим фактором жизни общества, и чем активнее эта сфера общественных отношений развивается, тем больше политическая, экономическая, оборонная и другие составляющие национальной безопасности любого государства будут зависеть от информационной безопасности; в ходе развития технического прогресса эта зависимость будет все более возрастать. В Доктрине говорится, что основными направлениями обеспечения информационной безопасности в области обороны страны является «стратегическое сдерживание и предотвращение военных конфликтов, которые могут возникнуть в результате применения информационных технологий» и «совершенствование системы обеспечения информационной безопасности» вооруженных сил. В документе отмечается, что стратегической целью обеспечения информационной безопасности «является формирование устойчивой системы неконфликтных межгосударственных отношений в информационном партнерстве». Другим основным документом в области защиты информации в нашей стране является Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий, при обеспечении защиты информации. В соответствии с упомянутым законом в зависимости от условий доступа информация подразделяется на общедоступную и информацию ограниченного доступа. Согласно нормам закона обеспечение безопасности информации, как первой, так и второй категории является обязанностью ее обладателя. Не менее важный документ это «Стратегия развития информационного общества в Российской Федерации», принятая 7 февраля 2008 года. Стратегия является основой для подготовки и уточнения доктринальных, концептуальных, программных и иных документов, определяющих цели и направления деятельности органов государственной власти, а также принципы и механизмы их взаимодействия с организациями и гражданами в области развития информационного общества в Российской Федерации. Стратегия подготовлена с учетом международных обязательств Российской Федерации, Доктрины информационной безопасности Российской Федерации, федеральных законов, а также нормативных правовых актов Правительства Российской Федерации. Она определяет направления социально-экономического развития, повышения эффективности государственного управления и взаимодействия органов государственной власти и гражданского общества в Российской Федерации. В Стратегии учтены основные положения Окинавской хартии глобального информационного общества, декларации принципов построения информационного общества, плана действий Тунисского обязательства и других международных документов, принятых на Всемирной встрече на высшем уровне по вопросам развития информационного общества. [2] 2. Информационная безопасность в условиях функционирования в России глобальных сетей Источники угроз информационной безопасности РФ подразделяются на внешние и внутренние. К основным внешним источникам относятся: деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере; стремление ряда стран к ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков; увеличение технологического отрыва ведущих держав мира и наращивание возможностей по противодействию и созданию конкурентоспособных российских информационных технологий; разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним. К наиболее опасным внутренним источникам относятся: критическое состояние некоторых отечественных отраслей промышленности; неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере; недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика; неразвитость институтов гражданского общества и недостаточный государственный контроль развития информационного рынка России; недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации; недостаточная экономическая мощь государства; снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности; отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан. За последние годы в Российской Федерации интенсивно ведутся работы по реализации и совершенствованию комплексной системы обеспечения ее информационной безопасности. Так, к основным мероприятиям можно отнести формирование базы правового обеспечения информационной безопасности нашей страны. Приняты Закон Российской Федерации “О государственной тайне”, Закон Российской Федерации “О коммерческой тайне”, Федеральные законы “Об информации, информатизации и защите информации” и ряд других законов. Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, на предприятиях, в учреждениях и организациях независимо от формы собственности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти. Успешному решению вопросов обеспечения информационной безопасности Российской Федерации способствуют государственная система защиты информации, система защиты государственной тайны, системы лицензирования деятельности в области защиты государственной тайны и системы сертификации средств защиты информации. Вместе с тем анализ состояния информационной безопасности Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. [1] Современные условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение. Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере приводят к серьезным негативным последствиям. Так, недостаточность нормативного правового регулирования отношений в области реализации возможностей конституционных ограничений свободы массовой информации, в интересах защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороноспособности страны и безопасности государства существенно затрудняет поддержание необходимого баланса интересов личности, общества и государства в информационной сфере. Закрепленные в Конституции Российской Федерации права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления данных о физических лицах (персональных данных). Нет четкости при проведении государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена. [5] Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на зарубежный информационный рынок. Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну. Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов. Отставание отечественных информационных технологий вынуждает федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения. В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-телекоммуникационных систем, интеграцией отечественных информационных систем и международных информационных систем возросли угрозы применения “информационного оружия” против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся при недостаточной координации и слабом бюджетном финансировании. Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения важнейших задач, основными из которых являются: разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики; развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам; совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, в том числе механизмов реализации прав граждан на получение информации и доступ к ней, форм и способов реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации; обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники; разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами; развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны; обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем; создание единой системы подготовки кадров в области информационной безопасности и информационных технологий. 3. Методы криптографии Криптографические средства защиты позволяют защитить информацию даже после ее перехвата. Современная криптография является областью знаний, связанной с решением таких проблем безопасности информации, как конфиденциальность, целостность, аутентификация и невозможность отказа сторон от авторства. Достижение этих требований безопасности информационного взаимодействия и составляет основные цели криптографии. [1] Сертифицированные шифровальные средства, предназначенные для защиты информации, не содержащей сведения, составляющие государственную тайну, по функциональному назначению обеспечивают защиту от прочтения и от НСД к документальной информации при ее передачи по каналу связи, обработке и хранении, а также защиту информации от непосредственного прослушивания в телефонном канале связи. Основная категория программно-аппаратных и программных средств защиты документальной информации, как правило, совмещают в себе функцию шифрования с процедурами выработки и проверки электронной цифровой подписи (ЭЦП). Современная криптография включает в себя четыре крупных раздела: 1. Симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. Шифрование – это преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом, дешифрование − обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный. 2. Криптосистемы с открытым ключом. В системах с открытым ключом используются два ключа − открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения (ключ − информация, необходимая для беспрепятственного шифрования и дешифрования текстов.). 3. Электронная подпись. Системой электронной подписи называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения. 4. Управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями. Основные направления использования криптографических методов − передача конфиденциальной информации по каналам связи, установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.[3] 4. Технические средства обеспечения информационной безопасности Аппаратные (технические) средства защиты информации – это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они препятствуют доступу к информации, в том числе с помощью её маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны это недостаточная гибкость, относительно большие объём и масса, высокая стоимость. К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации. Аппаратные средства защиты информации применяются для решения следующих задач: • проведение специальных исследований технических средств и обеспечения производственной деятельности на наличие возможных каналов утечки информации; • выявление каналов утечки информации на разных объектах и в помещениях; • локализация каналов утечки информации; • поиск и обнаружение средств промышленного шпионажа; • противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям. По функциональному назначению аппаратные средства могут быть классифицированы на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по своим техническим возможностям средства защиты информации могут быть общего назначения, рассчитанные на использование непрофессионалами с целью получения предварительных (общих) оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и прецизионные измерения всех характеристик средств промышленного шпионажа. [5] Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки. Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств несанкционированного доступа. 5. Комплексная защита конфиденциальной информации в организации Для любой организации, независимо от вида деятельности, одной из важнейших сфер бизнес интереса является защита конфиденциальной информации. Для создания эффективной системы защиты информации, компании необходимо определить степень важности различных типов данных, знать, где они хранятся, каким образом и кем обрабатываются и как уничтожаются в конце жизненного цикла. Без этого будет сложно предотвратить утечку конфиденциальных данных и обосновать финансовые расходы на защиту информации. [4] Информация, используемая в предпринимательской и иной деятельности весьма разнообразна. Ее разглашение может привести к угрозам экономической безопасности различной степени тяжести. Боязнь лишиться таких активов заставляет компании создавать иные формы системы защиты, в том числе и организационную, а главное – правовую. В связи, с чем информация разделяется на три группы. Первая – несекретная (или открытая), которая предназначена для использования как внутри Организации, так и вне нее. Вторая – для служебного пользования (ДСП), которая предназначена только для использования внутри Организации. Она подразделяется, в свою очередь, на две подкатегории: доступная для всех сотрудников организации; и доступная для определенных категорий сотрудников Организации, но данная информация может быть передана в полном объеме другому сотруднику для исполнения трудовых обязанностей. Третья – информация ограниченного доступа, которая предназначена для использования только специально уполномоченными сотрудниками Организации и не предназначена для передачи иным сотрудникам в полном объеме или по частям. Информация второй и третьей категории является конфиденциальной. Примерный перечень конфиденциальной информации: информация, составляющая коммерческую тайну – сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам; банковская тайна – сведения об операциях, о счетах и вкладах организаций – клиентов банков и корреспондентов; иные виды тайн: адвокатская тайна, нотариальная тайна, тайна переписки и т.д.; информация, имеющая интеллектуальную ценность для предпринимателя – техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п. и деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п. Для принятия правильных мер, следует точно определить уровень защиты информации. Правовой уровень защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации: организационный защиты информации содержит меры управленческого, ограничительного и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы; технический, который состоит из инженерно-технических элементов системы защиты информации; программно-аппаратный элемент системы защиты информации; криптографический элемент системы защиты информации. Важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты, а также порядка её использования. Важно отразить в Политике информационной безопасности организации перечень конфиденциальной информации.[5] В соответствии со ст. 10 Закона N 98-ФЗ меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя: определение перечня данных, составляющих коммерческую тайну; ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка; организацию учета лиц, получивших доступ к конфиденциальной информации, или лиц, которым она была предоставлена; регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; нанесение на материальные носители и документы, содержащие конфиденциальную информацию грифа “Коммерческая тайна” с указанием владельца такой информации. В целях охраны конфиденциальности информации руководитель Организации обязан ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение, создать работнику необходимые условия для соблюдения установленного режима. [2] Защита конфиденциальной информации от утечки – защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение получения защищаемой информации нарушителем; В завершении стоит отметить важность и определяющую значимость эффективно выстроенной системы защиты конфиденциальной информации по причине высокой ценности такой информации. Такая система должна быть продуманной, прозрачной и комплексной. Система защиты конфиденциальной информации не должна иметь пробелов как в обеспечении ИБ элементов информационной инфраструктуры Организации, так и в её реализации на документарном уровне. Все уровни и элементы системы защиты конфиденциальной информации должны быть взаимосвязаны, оптимально выстроены и контролируемы. От эффективности этой системы зависит жизнеспособность организации т.к. информация, в условиях современности – самый ценный ресурс. СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ Белоус, А. И. Кибероружие и кибербезопасность. О сложных вещах простыми словами: монография / А. И. Белоус, В. А. Солодуха. - Москва; Вологда: Инфра-Инженерия, 2020. - 692 с. Добровольский, В. С. Управление интеллектуальной безопасностью организационные и правовые основы информационной безопасности: учебное пособие / В. С. Добровольский. - Москва: Изд. Дом МИСиС, 2014. - 224 с. Макарова, Н. В. Информатика : учебник для вузов / Н. В. Макарова, В. Б. Волков. - Санкт-Петербург : Питер, 2021. - 576 с. Маркина, Т.А. Средства защиты вычислительных систем и сетей: Учебное пособие – Санкт-Петербург: Университет ИТМО, 2016. - 71 с. Петренко, С. А. Политика безопасности компании при работе в Интернет / Петренко С.А., Курбатов В.А., - 3-е изд. - Москва: ДМК Пресс, 2018. - 397 с. |