Главная страница

информационная безопасность. Курсовая работа информационная безопасность содержание Введение 1 Информационная безопасность


Скачать 400.16 Kb.
НазваниеКурсовая работа информационная безопасность содержание Введение 1 Информационная безопасность
Анкоринформационная безопасность
Дата28.12.2022
Размер400.16 Kb.
Формат файлаrtf
Имя файла405164.rtf
ТипКурсовая
#867309
страница2 из 3
1   2   3


2.2 Внедрение информационных технологий в муниципальные информационные системы
Внимание хочется остановить на том, что в последнее десятилетие XX века информационно-коммуникационные технологии стали одним из важнейших факторов, влияющих на развитие общества. Их революционное воздействие касается государственных структур и институтов гражданского общества, экономической и социальной сфер, науки и образования, культуры и образа жизни людей. Многие развитые и развивающиеся страны в полной мере осознали те колоссальные преимущества, которые несут с собой развитие и распространение информационно-коммуникационных технологий. Ни у кого не вызывает сомнения тот факт, что движение к информационному обществу - это путь в будущее человеческой цивилизации.

Надо отметить, что в построении информационного общества отставание России  от развитых стран измеряется не десятилетиями, а годами, и это отставание постепенно сокращается. Такие тенденции вселяют определенную надежду, что информатизация общества поможет вытянуть из кризисного состояния российскую экономику.

К сожалению, процессы информатизации развивались стихийно, порождая этим проблемы, связанные с отсутствием  единой государственной информационной политики.

Главной из этих проблем являлась и является проблема самодостаточного характера отечественной информатизации, когда каждое министерство, ведомство, а на нашем муниципальном уровне, каждое муниципальное образование имело свою точку зрения и свое видение развития информационных технологий.

Несогласованность этих процессов привели к дублированию многих функций. Это связано с  закрытостью ведомственных информационных ресурсов, когда муниципалитеты не имели информации из баз данных "население", "предприятия  города" и т.д.

Отсутствие единых критериев  формирования банков данных, формируемых  в большей мере на территории муниципальных  образований, также создают трудности  для проведения комплексной работы по созданию единых общегородских ресурсов.

В этих условиях большие надежды возлагаются на утвержденную  ФЦП "Электронная Россия".

Утверждение ФЦП явилось толчком для многих муниципальных образований в части внедрения информационных технологий в систему управления городов.

Реализация  Программы позволит:

  • преодолеть отставание России от развитых стран в уровне использования и развития ИКТ;

  • обеспечить равноправное вхождение граждан России в глобальное информационное сообщество на основе соблюдения прав человека, в том числе права на свободный поиск, получение, передачу, производство и распространение информации, а также права на обеспечение конфиденциальности любой охраняемой законом информации, имеющейся в информационных системах.

  • сформировать единую информационную и телекоммуникационную инфраструктуру, необходимую для совершенствования работы органов государственной власти и органов местного самоуправления, предприятий и других организаций;

  • обеспечить права каждого на свободное получение информации муниципальных  информационных систем.

В этой связи безусловно актуальной является организация защиты информации в муниципальных информационных системах.

Безопасность информационной системы – свойство, заключающееся  в способности системы обеспечить конфиденциальность и целостность  информации.
2.3 Угрозы информационным системам и защита от них
Угрозы информационным системам можно объединить в следующие группы:

  1. Угроза раскрытия информации.

  2. Угроза нарушения целостности – умышленное несанкционированное или неумышленное изменение (удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.

  3. Угроза отказа от обслуживания – блокировка доступа к некоторому ресурсу вычислительной системы.

По природе возникновения  угрозы можно разделить на:

  • естественные;

  • искусственные.

Естественные угрозы – это угрозы, связанные с воздействиями  на ИС объективных физических процессов или природных явлений.

Искусственные угрозы –  это угрозы информационной системе, связанные с деятельностью человека.

Пользователем ИС могут  быть осуществлены следующие непреднамеренные действия, представляющие угрозу безопасности информационной системы:

  • доведение до состояния частичного или полного отказа системы, разрушения аппаратных, программных, информационных ресурсов системы (порча оборудования, носителей информации, удаление, искажение файлов и т.д.);

  • неправомерное включение оборудования или изменение режимов работы устройств и программ;

  • нелегальное внедрение и использование неучтенных программ, не являющихся необходимыми для выполнения служебных обязанностей, с последующим необоснованным расходованием ресурсов;

  • заражение компьютера вирусами;

  • разглашение конфиденциальной информации;

  • разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования и т.д.);

  • игнорирование организационных ограничений;

  • некомпетентное использование, неправомерное отключение средств защиты информации;

  • ввод ошибочных данных;

  • повреждение каналов связи. 

Действия представляющие угрозу безопасности информации могут  быть и преднамеренными:

  • физическое разрушение  системы или вывод из строя наиболее важных ее компонентов;

  • отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи т.д.);

  • дезорганизация функционирования системы (изменение режимов работы  устройств или программ);

  • внедрение агентов  в число персонала (в том числе и в службу безопасности), вербовка персонала или отдельных пользователей, имеющих определенные полномочия;

  • применение подслушивающих  устройств, видеосъемка;

  • хищение носителей  информации;

  • незаконное получение  паролей и других реквизитов  разграничения доступа;

  • вскрытие шифров  криптозащиты информации;

  • внедрение аппаратных  спецвложений, «троянских коней»;

  • несанкционированное  копирование носителей информации.

Для защиты информации разрабатывают  систему защиты.

Система защиты – это совокупность специальных мер правового и административного характера, организационных мероприятий, программно-аппаратных средств защиты, а также специального персонала, предназначенных для обеспечения информационной безопасности.

Для построения эффективной  системы защиты необходимо провести следующие работы:

  • определение угрозы безопасности;

  • выявить возможные каналы утечки информации и несанкционированного доступа к данным;

  • построить модель потенциального нарушителя;

      • выбрать соответствующие меры, методы, механизмы и средства защиты.

Отдельно хочется поговорить о том, как защитить информацию от компьютерных вирусов.

Компьютерный вирус – это, как  правило, небольшая по объему компьютерная программа, обладающая следующими свойствами:

  • возможностью создавать свои копии и внедрять их в другие программы;

  • скрытость существования до определенного момента;

  • несанкционированность производимых ею действий;

  • наличие отрицательных последствий от ее функционирования.

Для обнаружения и  удаления компьютерных вирусов разработано  много различных программ.

Антивирусные программы  можно разделить на:

  • программы – детекторы (осуществляют поиск компьютерных вирусов в памяти машины и при их обнаружении сообщают об этом);

  • программы – ревизоры (они запоминают исходное состояние программ, каталогов, системных областей и периодически или по указанию пользователя сравнивают его с текущим. При сравнении проверяется длина файлов, дата их создания и модификации);

  • программы – фильтры (обеспечивают выявление подозрительных,  характерных для вирусов действий. При обнаружении посылают пользователю запрос о подтверждении правомерности таких процедур);

  • программы – доктора, или дезинфекторы, фаги (самые распространенные: Kaspersky Antivirus, Doctor Web и т.д., которые не только обнаруживают, но и лечат зараженные вирусами файлы и загрузочные сектора дисков. Они сначала ищут вирусы в оперативной памяти и уничтожают их там, а затем лечат файлы и диски);

  • программы – вакцины, или иммунизаторы (применяются для предотвращения заражения файлов и дисков известными вирусами. Вакцины модифицируют файл или диск таким образом, что он воспринимается программой – вирусом уже зараженным, и поэтому вирус не внедряется).

Согласно ФЗ от 27 июля 2006 года № 149 «Об информации, информационных технологиях и о защите информации» защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

  2. соблюдение конфиденциальности информации ограниченного доступа;

  3. реализацию права на доступ к информации.

Раскроем подробнее данные пункты в аспекте муниципальной  информационной системы.

Доступ  к  информации о деятельности муниципальных  органов обеспечивается путем:

  • обнародования (опубликования) органами местного самоуправления информации о своей деятельности в случаях, установленных законодательством Российской Федерации и нормативными правовыми актами органов местного самоуправления;

  • размещения органами местного самоуправления информации о своей деятельности в информационных системах общего пользования;

  • обеспечения доступа пользователей (потребителей) информации на заседания органов местного самоуправления в порядке, установленном нормативными правовыми актами органов местного самоуправления;

  • получения пользователями (потребителями) информации о деятельности государственных органов и органов местного самоуправления по запросу.

Однако, в законе «Об общих принципах организации  местного самоуправления в РФ», новая  редакция которого утверждена совсем недавно, органы муниципальной власти не имеют полномочий в части информационного обеспечения.

Государственное регулирование  отношений в сфере защиты информации муниципальных информационных систем осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

Обладатель информации, оператор муниципальной  информационной системы в случаях, установленных  законодательством Российской Федерации, обязаны обеспечить:

    1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

    2. своевременное обнаружение фактов несанкционированного доступа к информации;

    3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

    4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

    5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

    6. постоянный контроль за обеспечением уровня защищенности информации.

Нарушение требований об использовании информации  влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица. Доктрина информационной безопасности Российской Федерации.

Также в целях обеспечения  защиты информации используется, утвержденная президентом Российской Федерации 9 сентября 2004 года, №. Пр-1895.

Настоящая Доктрина служит основой для:

  • формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;

  • подготовки предложений по совершенствованию правового, методического, научно - технического и организационного обеспечения информационной безопасности Российской Федерации;

  • разработки целевых программ обеспечения информационной безопасности Российской Федерации.

Безусловно, в данной Доктрине определены положения для  муниципального уровня. Доктрина направлена на повышение безопасности данной муниципальной информационной системы, включая в свои задачи обеспечение безопасности первичных сетей связи муниципальной информационной системы и федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово - кредитной и банковской сфер, сферы хозяйственной деятельности на уровне органов местного самоуправления.

Источниками угроз безопасности информационных и систем могут являться:

  • противоправные сбор и использование информации;

  • нарушения технологии обработки информации;

  • внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

  • разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно - телекоммуникационных систем, в том числе систем защиты информации;

  • уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;

  • воздействие на парольно - ключевые системы защиты автоматизированных систем обработки и передачи информации;

  • компрометация ключей и средств криптографической защиты информации;

  • утечка информации по техническим каналам;

  • внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;

  • уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

  • перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;

  • использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии информационной инфраструктуры;

  • несанкционированный доступ к информации, находящейся в банках и базах данных;

  • нарушение законных ограничений на распространение информации.

Основными причинами  являются:

  • на муниципальном уровне нет необходимой и достаточной координации деятельности направленной на формирование и реализацию единой государственной политики в области обеспечения информационной безопасности;

  • недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

  • неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;

  • недостаточное финансирование мероприятий по обеспечению информационной безопасности на муниципальном уровне;

  • недостаточная экономическая мощь муниципалитета;

  • снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

  • недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

  • отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно - финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

Проблема информационной безопасности также рассматривается в постановлении от 17 ноября 2007 г. N 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах».


2.4 Защита персональных данных в МИС. Средства и методы защиты
На уровне муниципального образования очень важно обеспечивать защиту персональных данных. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность  персональных данных при их обработке в муниципальных  информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в муниципальной информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности персональных данных при их обработке  в муниципальных информационных системах осуществляется защита речевой  информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

При защите персональных данных в муниципальной информационной системе должно быть обеспечено:
1   2   3


написать администратору сайта