1й раздел. Понятие и специфика коммуникативных технологий Коммуникационные технологии
Скачать 127.26 Kb.
|
Понятие информационной безопасности. Понятие информационных рисков. Основные принципы выявления информационных рисков. Безопасное использование сети Интернет для реализации поставленных профессиональных задач. Основные типы угроз для конфиденциальных данных, исходящих из глобальной сети Интернет. Информационная безопасность – это сохранение и защита информации, а также ее важнейших элементов, в том числе системы и оборудование, предназначенные для использования, сбережения и передачи этой информации. Другими словами, это набор технологий, стандартов и методов управления, которые необходимы для защиты информационной безопасности. Информационные риски - один из важнейших видов риска современности, связанный с созданием, передачей, хранением и использованием информации. Информационный риск – это возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия (ИСП), а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию. Информационный риск оказывает отрицательное воздействие на результаты функционирования предприятия по определенной схеме. Формирование навыков безопасного использования информационных ресурсов сети интернет Нашу современную жизнь невозможно представить без интернета и его ресурсов. Из ФГОС следует что информационно-образовательная среда образовательного учреждения должна включать в себя совокупность технологических средств (компьютеры базы данных, коммуникационные каналы, программные продукты и др.) культурные и организационные формы информационного взаимодействия, компетентность учеников образовательного процесса в решении учебно-познавательных и профессиональных задач, с применением информационно коммуникационных технологий (ИКТ) а так же наличие служб поддержки применения ИКТ. Цифровые технологии позволяют безгранично использовать из в среде развития , воспитания и образования детей и подростков. Но далеко не все пользователи могут в полной мере воспользоваться этими возможностями. Основная причина этого кроется в низком уровне информационной компетентности. Родителям, педагогам необходимо разъяснять подросткам наиболее очевидные интернет-опасности, связанные со свободным доступом в Сеть. На своих классных часах, Объяснять, что далеко не вся информация, размещённая в Интернете, может быть правдой. Рассказать, что в Сети он может также открыть вредоносные ресурсы, подготовленные мошенниками. Договоритесь с ним, чтобы он не размещал в Интернете информацию личного характера (домашний адрес, номер телефона, номер школы и т.д.). Объяснять, что нельзя открывать файлы, полученные от неизвестных пользователей, так как они могут содержать вирусы. Объяснять, что Интернет — это открытое, доступное для всех пространство, и в нём нужно вести себя так же вежливо, как в общении с другими людьми, — не писать грубостей, не распространять сплетен, не унижать достоинства людей. Позволяйте подростку быть автономным, разрешайте ему экспериментировать, испытывать неудачи. Старайтесь чаще беседовать об увиденном им в Интернете, о том, что ему удалось сделать, а что не получилось. Ни в коем случае не ведите скрытого наблюдения за ребёнком. Относительно каждого конкретного интернет-ресурса перед подростком возникает проблема оценка его важности и ценности лично для себя, а также большего или меньшего риска этого ресурса. При осуществлении выбора в пользу того или иного решения, действий или бездействия относительно ресурса подросток может исходить из следующих вопросов: Чем именно будет тебе полезен данный ресурс, в решении каких конкретных задач он тебе необходим? Можно ли проверить достоверность этого ресурса с помощью других источников информации? Подумай, не содержится ли в этом ресурсе скрытый риск? Если ты, открывая какой-либо ресурс, увидел на экране монитора диалоговое окно, в котором тебе предлагают ввести личные данные, подумай, это может быть фишинг, — атака мошенников, желающих получить конфиденциальные данные пользователей. Если ты, пользуясь электронной почтой, получил письмо от незнакомых людей, в котором тебе предлагают просто нажать на уже размещённую в письме гиперссылку, подумай: это может быть спам, — нажатие на гиперссылку может привести к заражению твоего компьютера вирусами. Если ты получил письмо с непристойным или угрожающим содержание сообщи об этом взрослым. Если в социальных сетях с тобой пытаются познакомиться незнакомые люди, это само по себе ещё не означает, что у этих людей только дружественные намерения. Если ты участник социальных сетей и хочешь опубликовать своё фото или видео, помни, каждый сможет посмотреть их; не публикуй фотографии другихлюдей без их согласия. Если ты участник чатов, форумов, или любитель компьютерных игр, где тебе предлагают пройти регистрацию и ввести своё имя, — не торопись вводить своё настоящее имя; придумай себе ник (псевдоним) и используй его в таких случаях. Интернет – сложная и многообразная социально-информационная составляющая инфраструктуры современного общества, причём это многообразие увеличивается пропорционально росту самой глобальной Сети Безопасность подростков в интернет-среде заключается не в ликвидации рисков, а с осуществлением ими осознанного выбора в пользу того или иного решения, действия или бездействия в конкретных интернет-ситуациях. Интернет плотно вошел в жизнь современного школьника. Нельзя однозначно сказать, что Интернет только опасен или только полезен для детей. Влияние Интернета на детей неоднозначно. Кто-то развивает логическое мышление, кто-то забывает про окружающий мир. Одно можно сказать определенно, что безопасность детей зависит от совместной работы в этом направлении родителей, школы. Мировая сеть может ответить почти на все вопросы ребенка, она позволяет заводить новых друзей, учиться и развлекаться. Поэтому очень важно рассказывать ему об угрозах в Сети, об опасности для физического и психического здоровья и познакомить с правилами поведения в цифровом мире и элементарными гигиеническими нормами, касающихся труда и отдыха. Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Показатель, характеризующий безопасность информации при воздействии различных факторов опасности, – это критерий безопасности. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС. Если речь идет об ошибках в программном обеспечении, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих. Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда – недель), поскольку за это время должны произойти следующие события: должно стать известно о средствах использования пробела в защите; должны быть выпущены соответствующие заплаты; заплаты должны быть установлены в защищаемой ИС. Новые уязвимые места и средства их использования появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат – как можно более оперативно. Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания. Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Слишком много мифов существует в сфере информационных технологий (вспомним все ту же "Проблему 2000"), поэтому незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений. Само понятие "угроза" в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в ИБ, зависят от интересов субъектов информационных отношений (и от того, какой ущерб является для них неприемлемым). 2. Критерии классификации угроз Угрозы можно классифицировать по нескольким критериям: по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера); по расположению источника угроз (внутри/вне рассматриваемой ИС). Рисунок 1. Критерии классификации угроз В качестве основного критерия чаще используется первый (по аспекту ИБ), привлекая при необходимости остальные. Рассмотрим подробнее каждый вид угроз. Угрозы нарушения конфиденциальности направлены на получение (хищение) конфиденциальной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ. Несанкционированный доступ к информации, хранящейся в информационной системе или передаваемой по каналам (сетям) передачи данных, копирование этой информации является нарушением конфиденциальности информации. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). В соответствии с требованиями федеральных законов обязательность соблюдения конфиденциальности касается только информации ограниченного доступа, к которой относится информация, представляющая государственную тайну, а также конфиденциальная информация (сведения, составляющие коммерческую, банковскую, служебную, профессиональную тайну, содержащие персональные данные и т.д.). Обладателем информации является лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование. Именно обладатель информации вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа, передавать информацию другим лицам по договору или на ином установленном законом основании, а также он обязан ограничивать доступ, если такая обязанность установлена федеральными законами. Информация ограниченного доступа должна храниться только как документированная информация, то есть информация должна быть зафиксирована на материальном носителе путём документирования и иметь реквизиты, позволяющие определить такую информацию или, в установленных законодательством Российской Федерации случаях, её материальный носитель. Сведения, отнесенные к государственной тайне, по степени секретности подразделяются на сведения особой важности, совершенно секретные и секретные. К сведениям особой важности следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в одной или нескольких из перечисленных областей. К совершенно секретным сведениям следует относить сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей. К секретным сведениям следует относить все иные сведения из числа сведений, составляющих государственную тайну. Ущербом безопасности Российской Федерации в этом случае считается ущерб, нанесённый интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной или оперативно-розыскной области деятельности. К сведениям конфиденциального характера относятся: 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 2. Сведения, составляющие тайну следствия и судопроизводства. 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. Под коммерческой тайной понимается конфиденциальность информации, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. К информации, составляющей коммерческую тайну, относится научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны (правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности). К персональным данным относится любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. К угрозам, создающим опасность конфиденциальности информации, относится утечка информации, под которой понимается неконтролируемое распространение защищаемой информации в результате её разглашения, несанкционированного доступа к ней или получения защищаемой информации иностранными разведками и другими заинтересованными субъектами (заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо). Очевидно, данное определение не в полной мере отражает основные формы утечки информации. Классификация угроз конфиденциальности информации (утечки информации) представлена на рисунке. Рисунок 2. Классификация угроз конфиденциальности информации (утечки информации) Разглашение сведений ограниченного доступа может произойти или в форме несанкционированного предоставления информации, или в форме несанкционированного распространения информации. Под несанкционированным предоставлением информации будем понимать противоправное предание огласке сведений ограниченного доступа, при котором они стали достоянием определённого круга посторонних лиц, а под несанкционированным распространением информации - противоправное предание огласке сведений ограниченного доступа, при котором они стали достоянием неопределённого круга посторонних лиц. Разглашение сведений ограниченного доступа может произойти как преднамеренно (при прямом умысле), так и непреднамеренно (по неосторожности). В случае преднамеренного разглашения сведений ограниченного доступа лицо, которому информация ограниченного доступа была доверена или стала известна по службе или работе, сознавая неправомерность своих действий, связанных с разглашением этой информации, предоставляет или распространяет её посторонним лицам. В этом случае субъективная сторона разглашения сведений характеризуется виной в форме прямого умысла. |