Реферат БЖД Антропова В. ИСТ-2021-1. Методы обеспечения информационной безопасности
 Скачать 54.15 Kb.
|
РЕФЕРАТ по дисциплине «Безопасность жизнедеятельности» на тему «Методы обеспечения информационной безопасности»
Москва 2021 Оглавление Введение 3 Основная Часть 5 Ключевые принципы безопасности 5 Дополнительные принципы информационной безопасности: 6 Угрозы информационной безопасности 7 Информационная безопасность и Интернет 9 Методы обеспечения информационной безопасности 11 Методы обеспечения информационной безопасности РФ 14 Правовые методы 15 Организационно-технические методы 17 Экономические методы 19 Заключение 22 Список использованной литературы 24 ВведениеВ каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности страны. Cледует отметить, что за последние годы в России реализован комплекс мер по обеспечению информационной безопасности страны. Активно идет формирование базы правового обеспечения информационной безопасности. Принят ряд законов и других нормативных правовых актов в этой области, ведется работа по созданию механизмов их реализации, подготовке новых законопроектов, регламентирующих общественные отношения в информационной сфере. Выполнены работы по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов РФ, на предприятиях, в учебных учреждениях. Проведены работы по созданию защищенной информационно-телекоммуникационной системы специального назначения для обеспечения органов государственной власти, правоохранительных и силовых структур, подразделений Российской армии. Разрешению вопросов обеспечения информационной безопасности России содействуют государственная система защиты информации, система защиты государственной тайны, лицензирования деятельности в области защиты государственной тайны и сертификации средств защиты информации, меры по защите персональных данных людей и т. д. Анализ состояния и опыт обеспечения информационной безопасности России показывает, что их уровень не в полной мере соответствует современным требованиям общества и государства. Предстоит еще масштабная работа по достижению целей и выполнению задач, поставленных Доктриной информационной безопасности РФ. Понятие информационной безопасности Безопасность информации (данных): Состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность. В общем плане, под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Информационная безопасность организации - состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие. В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью. Основная ЧастьКлючевые принципы безопасностиВ 1975 году Джерри Зальцер и Майкл Шрёдер в статье «Защита информации в компьютерных системах» впервые предложили разделить нарушения безопасности на три основных категории: неавторизованное раскрытие информации, неавторизованное изменение информации и неавторизованный отказ в доступе к информации. Позднее эти категории получили краткие наименования и стандартизированные определения: Конфиденциальность - достигается предоставлением к ней доступа c наименьшими привилегиями исходя из принципа минимальной необходимой осведомлённости. Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной, или предназначенной для публичного, либо внутреннего пользования. Шифрование информации — характерный пример одного из средств обеспечения конфиденциальности; Целостность - чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям. Иными словами, информация должна быть защищена от намеренного, несанкционированного или случайного изменения по сравнению с исходным состоянием, а также от каких-либо искажений в процессе хранения, передачи или обработки. Для защиты целостности информации необходимо применение множества разнообразных мер контроля и управления изменениями информации и обрабатывающих её систем. Типичным примером таких мер является ограничение круга лиц с правами на изменения лишь теми, кому такой доступ необходим для выполнения служебных обязанностей; Доступность - согласно этому принципу, информация должна быть доступна авторизованным лицам, когда это необходимо. Основными факторами, влияющими на доступность информационных систем, являются DoS-атаки, атаки программ-вымогателей, саботаж. Кроме того, источником угроз доступности являются непреднамеренные человеческие ошибки по оплошности или из-за недостаточной профессиональной подготовки: случайное удаление файлов или записей в базах данных, ошибочные настройки систем; отказ в обслуживании в результате превышения допустимой мощности или недостатка ресурсов оборудования, либо аварий сетей связи; неудачно проведённое обновление аппаратного или программного обеспечения; отключение систем из-за аварий энергоснабжения. Существенную роль в нарушении доступности играют также природные катастрофы: землетрясения, смерчи, ураганы, пожары, наводнения и тому подобные явления. Во всех случаях конечный пользователь теряет доступ к информации, необходимой для его деятельности, возникает вынужденный простой. В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA. Дополнительные принципы информационной безопасности:Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса. В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополнительных принципов. Некоторые из них уже включены в стандарты Международной организации по стандартизации (ISO): -подлинность - свойство, гарантирующее, что субъект или ресурс идентичны заявленному; -подотчётность - ответственность субъекта за его действия и решения; -невозможность отказа - способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение; -достоверность - свойство соответствия предусмотренному поведению и результатам. Угрозы информационной безопасностиДействия, которые могут нанести ущерб информационной безопасности, можно разделить на несколько категорий: 1. Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий. 2. Преднамеренные атаки на информационные системы. К таким методам относятся: несанкционированное проникновение в компьютерные сети; DOS-атаки. Целью несанкционированного проникновения извне в информационную систему может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, кража средств со счетов и т.п. Атака типа DOS (сокр. от Denial of Service - «отказ в обслуживании») это внешняя атака на узлы сети, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. 3. Компьютерные вирусы. Отдельная категория электронных методов воздействия компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современной информационной системы. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. 4. Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности. Электронная почта в последнее время стала главным каналом распространения вредоносных программ, спам отнимает массу времени на просмотр и последующее удаление сообщений. Как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами, вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; 5. «Естественные» угрозы. На информационную безопасность могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т.д. Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий современного государства т.к. в государственных базах данных хранится строго конфиденциальная информация о гражданах. Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности, законных прав личности и общества в информационной сфере. Информационная безопасность и ИнтернетИнформация в сети охватывает все стороны жизнедеятельности человека и общества. Пользователи вводят личные данные на сайтах гос.органов, номера банковских счетов и т.д. Однако опыт работы в области компьютерных технологий полон примеров недобросовестного использования ресурсов Интернет. Специалисты говорят, что главная причина утечки конфиденциальных данных – беспечность и неподготовленность пользователей. Это характерно не только для рядовых пользователей, но и для специалистов в области компьютерной безопасности. По данным лаборатории Касперского, около 90% от общего числа проникновений на компьютер вредоносных программ используется посредством Интернет, через электронную почту и просмотр Web‑страниц. Особое место среди таких программ занимает целый класс – Интернет-червь. Само распространяющиеся, не зависимо от механизма работы выполняют свои основные задачи по изменению настроек компьютера-жертвы, воруют адресную книгу или ценную информацию, вводят в заблуждение самого пользователя, создают рассылку с компьютера по адресам, взятым из записной книжки, делают компьютер чьим-то ресурсом или забирают часть ресурсов для своих целей или в худшем случае самоликвидируются, уничтожая все файлы на всех дисках. На любом предприятии должны соблюдаться четко приписанные требования безопасности для предотвращения каких либо утечек. В таком документе должны быть четко прописаны следующие положения: -как ведется работа с информацией предприятия; -кто имеет доступ; -система копирования и хранения данных; -режим работы на ПК; -наличие охранных и регистрационных документов на оборудование и программное обеспечение; -выполнение требований к помещению, где располагается ПК и рабочее место пользователя; -наличие инструкций и технической документации; -наличие рабочих журналов и порядок их ведения. Кроме того, необходимо постоянно отслеживать развитие технических и информационных систем, публикуемых в периодической печати или следить за событиями, обсуждаемыми на подобных семинарах. Так согласно Указа Президента РФ "О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена, запрещено подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются госорганы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу РФ, в том числе к Интернету. При необходимости подключения указанных информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в Федеральной службе безопасности РФ и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Методы обеспечения информационной безопасностиПо убеждению экспертов «Лаборатории Касперского», задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т.д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз. На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности: - средства идентификации и аутентификации пользователей; - средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям; - межсетевые экраны; - виртуальные частные сети; - средства контентной фильтрации; - инструменты проверки целостности содержимого дисков; - средства антивирусной защиты; - системы обнаружения уязвимостей сетей и анализаторы сетевых атак. Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ. «Комплекс 3А» включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации собирает данные о пользователе. Функция авторизации отвечает за разграничение прав доступа. Каждый авторизованный пользователь имеет доступ только к разрешенной администратором сети информации. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий. Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальность использования на территории России (или других государств). Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных. Основной принцип действия межсетевых экранов – проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса в базе разрешенных адресов. Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска. Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и определить активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов. Разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем, на процессорах различных типов. Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных - резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т.д.). Методы обеспечения информационной безопасности РФИнформационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер. Согласно Доктрине информационной безопасности Российской Федерации от 5 декабря 2016 г. N 646[4] информационная безопасность Российской Федерации - состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства; Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические. Правовые методыК правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются: • внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации; • законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан; • разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну; • уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России; • законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи; • определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций; • создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности. Организационно-технические методыК организационно-техническим методам обеспечения информационной безопасности Российской Федерации относятся: • создание и совершенствование системы обеспечения информационной безопасности Российской Федерации; • усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере; • разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; • создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; • выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации; • сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; • совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; • контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации; • формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства. Объектами защиты являются: -речевая информация; -данные, передающиеся техническими средствами. В защите нуждаются как основные техсредства и системы, задействованные в работе с защищаемыми данными, так и вспомогательные техсредства и системы, а также заранее определенные помещения. Организационная защита информации состоит в своде правил, составленных на основе правовых актов РФ, призванных предотвратить неправомерное овладение конфиденциальными данными. Организационный метод обеспечения информационной безопасности имеет следующие составляющие: -создание режима охраны информации; -разработка правил взаимоотношений между сотрудниками; -регламентация работы с документами; -правила использования технических средств в рамках существующего правового поля РФ; -аналитическая работа по оценке угроз информационной безопасности. Защита информационной инфраструктуры от несанкционированного доступа обеспечивается регламентацией доступа субъектов (работников) к объектам (носителям данных и каналам их передачи). Организационный метод обеспечения информационной безопасности не подразумевает использования технического инструментария. Применение же технического оборудования и различных программ для обеспечения информационной безопасности, включая системы управления базами данных, прикладное ПО, различные шифровальщики, DLP-системы и SIEM-системы, исключающих утечки данных через компьютерную сеть, относится к техническому методу обеспечения информационной защиты. Экономические методыК экономическим методам обеспечения информационной безопасности Российской Федерации относятся: • разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования; • совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц. Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены: • система государственной статистики; • кредитно-финансовая система; • информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики; • системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности; • системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности. ЗаключениеПроблема национальной информационной безопасности обусловлена возрастающей ролью информации в общественной жизни РФ. Информационная безопасность в современных условиях трактуется как защищенность информации и обеспечивающей ее инфраструктуры от преднамеренных или случайных воздействий искусственного или естественного характера, которые могут нанести ущерб пользователям или владельцам информации. Цель обеспечения информационной безопасности страны состоит в защите информационной среды, информационных технологий и информационного потенциала, составляющих конфиденциальную информацию или государственные секреты. Информационная безопасность – это всегда комплексная система, все составляющие которой призваны не допустить утечки конфиденциальных сведений по техническим каналам, а также воспрепятствовать стороннему доступу к носителям информации. Все это, соответственно, гарантирует целостность данных при работе с ними: обработке, передаче и хранении, которые должны осуществляться обязательно в правовом поле. Грамотно организованные технические мероприятия позволяют определить использование специальных электронных приспособлений несанкционированного снятия информации, размещенных как в помещении, так и в средствах связи. В РФ существует несколько нормативных правовых документов, регламентирующих работу в информационной сфере: «Об утверждении Доктрины информационной безопасности РФ», «Об информации, информационных технологиях и о защите информации» и т. д. Одним из фундаментальных является Федеральный закон РФ «О коммерческой тайне». К этому перечню стоит добавить Постановления Правительства РФ «О сертификации средств защиты информации», «О лицензировании деятельности по технической защите конфиденциальной информации», а также Приказ ФСБ «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации». Список использованной литературы1)ГОСТ Р 50922-2006, статья 2.4.5 2)https://ru.wikipedia.org/wiki/Информационная_ безопасность 3)https://www.garant.ru/ 4)http://www.consultant.ru/ 5)Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 5 декабря 2016 г. N 646) https://base.garant.ru/71556224/#block_2 6)Указ Президента РФ от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" 7)Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 5 декабря 2016 г. N 646) 8)Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ |
