Mijn geheim
Bostanova L.K.
Kandidaat Pedagogische Wetenschappen, universitair hoofddocent bij de afdeling Economie, Management en Financieel Recht, KChF RGSU in Tsjerkessk
Typen en kenmerken van bedreigingen voor de informatiebeveiliging
Annotatie
: Informatie, informatietechnologie, informatiebeveiliging
Informatie, informatietechnologieën, informatiebeveiliging De snelle ontwikkeling en wijdverbreide penetratie van informatietechnologieën in een verscheidenheid aan bedrijfsactiviteiten heeft ertoe geleid dat computerinformatie nu een zeer duidelijk kostengewicht kan hebben, waarvan indicatoren zowel de winst uit het gebruik ervan kunnen zijn als de hoeveelheid schade toegebracht aan de eigenaar informatiebronnen of gebruikers in geval van overtreding vastgestelde regels
werken met informatie. Daarom is een van de belangrijkste problemen bij de ontwikkeling van informatietechnologie het betrouwbaar aanbieden van informatiebeveiliging.
Het waarborgen van informatieveiligheid, die wordt opgevat als de mate waarin de vitale belangen van het individu, de samenleving en de staat op informatiegebied worden beschermd tegen interne en externe bedreigingen, lijkt een zeer belangrijke taak. De oplossing ervan omvat het bestuderen van de vormen, methoden en methoden voor het identificeren en voorkomen van gevaren op informatiegebied. De activiteiten van proefpersonen om informatie te beschermen die door de eigenaar wordt beschermd, houden voornamelijk verband met het voorkomen van het lekken van beschermde geheimen, d.w.z. juridische bescherming en bescherming van informatie, inclusief staatsgeheimen en vertrouwelijke informatie met beperkte toegang. in de "Lijst met informatie" vertrouwelijk ", goedgekeurd bij decreet van de president van de Russische Federatie van 6 maart 1997 nr. 188, worden gegeven de volgende typen vertrouwelijke informatie
: ambtsgeheim, persoonsgegevens, geheim van onderzoek en gerechtelijke procedure, handelsgeheim, geheim van de essentie van de uitvinding tot het moment van publicatie, beroepsgeheim. Tegelijkertijd definiëren een aantal bestaande regelgevingsdocumenten nog een aantal soorten geheimen als soorten vertrouwelijke informatie. praktische betekenis Om de informatiebeveiliging van een onderneming te garanderen, en het is helemaal niet gemakkelijk voor een onvoorbereid persoon om de veelheid aan specifieke documenten te begrijpen, vindt u hieronder een lijst met enkele soorten vertrouwelijke informatie die zijn gedefinieerd in de burgerlijke wetgeving van de Russische Federatie en in wetten gerelateerd aan het vakgebied informatiebeveiliging.
Informatie over burgers (persoonsgegevens). Informatie over de feiten, gebeurtenissen en omstandigheden in het leven van een burger, waardoor zijn persoonlijkheid kan worden geïdentificeerd (Artikel 2 van de wet “Informatie, informatisering en informatiebescherming”).
Officieel geheim. Informatie vormt een officieel of commercieel geheim in het geval dat de informatie daadwerkelijke of potentiële commerciële waarde heeft vanwege het feit dat deze onbekend is bij derden en er geen vrije toegang daartoe is op internet. legaal en de eigenaar van de informatie neemt maatregelen om de vertrouwelijkheid ervan te beschermen. Informatie die geen officieel of commercieel geheim kan vormen, wordt bepaald door de wet of andere rechtshandelingen (artikel 139 van het Burgerlijk Wetboek van de Russische Federatie).
Het geheim van kinderadoptie. De geheimhouding van de adoptie van een kind wordt beschermd door de wet (artikel 139 van het Familiewetboek van de Russische Federatie).
Geologische informatie over de ondergrond. Informatie over de geologische structuur van de ondergrond, de mineralen die deze bevatten, de voorwaarden voor hun ontwikkeling, evenals andere kwaliteiten en kenmerken van de ondergrond, vervat in geologische rapporten, kaarten en andere materialen, is eigendom van de klant die de financiering heeft gefinancierd. het werk dat tot het verkregen resultaat heeft geleid deze informatie, tenzij anders bepaald in de vergunning voor ondergronds gebruik (artikel 27 van de Wet “Op de ondergrond”).
Belastinggeheim. Belastinggeheim bestaat uit alle informatie over de belastingplichtige die de belastingdienst ontvangt, met uitzondering van de informatie vermeld in Art. 102 van de belastingwet van de Russische Federatie.
Officiële informatie over de effectenmarkt. Interne informatie... is alle informatie die niet openbaar beschikbaar is over de uitgevende instelling en de door haar uitgegeven emittenten, waardoor personen die op grond van hun officiële functie, arbeidsverantwoordelijkheden of een met de uitgevende instelling gesloten overeenkomst, met dergelijke informatie worden geconfronteerd. informatie, in een voordelige positie ten opzichte van andere marktentiteiten (Artikel 31 van de Wet “Op de Effectenmarkt”).
Medisch vertrouwelijkheid. Informatie over het feit van het aanvragen van medische zorg vormen de gezondheidstoestand van een burger, de diagnose van zijn ziekte en andere tijdens zijn onderzoek en behandeling verkregen informatie een medisch geheim. De burger moet worden bevestigd met een garantie van vertrouwelijkheid van de door hem doorgegeven informatie (artikel 61 van de Grondbeginselen van de Wetgeving Russische Federatie“Over de bescherming van de gezondheid van burgers”).
Het geheim van communicatie. Het geheim van correspondentie, telefoongesprekken, poststukken, telegraaf- en andere berichten verzonden via elektrische en postdienst, wordt beschermd door de grondwet van de Russische Federatie (artikel 32 van de wet “Betreffende communicatie”).
Notarieel geheim. De notaris is verplicht de informatie die hem in verband met de uitvoering van zijn overeenkomst bekend is geworden, geheim te houden professionele activiteit(Artikel 16 van de Grondbeginselen van de wetgeving van de Russische Federatie “Over notarissen”).
Het privilege van advocaat-cliënt. Een advocaat heeft niet het recht om informatie openbaar te maken die hem door een cliënt is meegedeeld in verband met het verlenen van rechtsbijstand (artikel 15, artikel 16 van het “Reglement inzake de USSR Bar”).
Journalistiek geheim. De redactie heeft niet het recht om in verspreide berichten en materialen informatie openbaar te maken die door een burger is verstrekt, op voorwaarde dat deze geheim wordt gehouden. De redactie is verplicht de informatiebron geheim te houden en heeft niet het recht om de persoon die deze heeft verstrekt als burger te noemen op voorwaarde dat zijn naam niet openbaar wordt gemaakt, behalve in het geval waarin de overeenkomstige eis is ontvangen van de rechtbank in verband met een bij haar aanhangige zaak (artikel 41 van de wet “Over de massamedia”).
Bedrijfsgeheim. Informatie vormt een officieel of commercieel geheim in het geval dat de informatie daadwerkelijke of potentiële commerciële waarde heeft omdat deze niet bekend is bij derden, er geen vrije toegang daartoe is op wettelijke basis en de eigenaar van de informatie maatregelen neemt om de vertrouwelijkheid ervan te beschermen. . Informatie die geen officieel of commercieel geheim kan vormen, wordt bepaald door de wet of andere rechtshandelingen (artikel 139 van het Burgerlijk Wetboek van de Russische Federatie).
Bankgeheim. De bank garandeert de geheimhouding van de bankrekening en
bankdeposito's, rekeningtransacties en klantinformatie (artikel 857 van het Burgerlijk Wetboek van de Russische Federatie).
Het geheim van verzekeren. De verzekeraar heeft niet het recht om de informatie die hij in het kader van zijn beroepsactiviteiten heeft ontvangen over de verzekeringnemer, de verzekerde en de begunstigde, hun gezondheidstoestand en de vermogensstatus van deze personen openbaar te maken (artikel 946 van het Burgerlijk Wetboek van de Russische Federatie).
Zoals uit het bovenstaande blijkt, is het aspect van de vertrouwelijkheid van informatie het meest ontwikkeld en breed vertegenwoordigd in alle dimensies. Het wordt bewaakt door wetten, voorschriften, technische middelen en jarenlange ervaring in diverse overheidsinstanties. Het waarborgen van de vertrouwelijkheid van informatie is echter een van de moeilijkste aspecten van informatiebeveiliging om in de praktijk te implementeren.
Staatsgeheim - volgens de definitie die is aangenomen in de Russische wetgeving, informatie die door de staat wordt beschermd op het gebied van zijn militaire, buitenlandse beleid, economische, inlichtingen-, contraspionage-, operationele zoek- en andere activiteiten, waarvan de verspreiding de veiligheid van de staat zou kunnen schaden staat.
Het gevaar van het lekken van informatie is te wijten aan het feit dat dit tot bewustzijn leidt buitenland, of concurrenten in welke branche dan ook die bedrijfsgeheimen voor elkaar hebben, waardoor het land, de individuele onderneming of het individu schade ondervindt of kan oplopen. Dit komt voor in gevallen waarin een persoon een handeling of nalatigheid pleegt die in strijd is met wettelijke verboden die zijn vastgelegd in wetten, regelgeving en bedrijfsvoorschriften. Van bijzonder gevaar in dit opzicht zijn handelingen die verband houden met de openbaarmaking van informatie en het verlies van documenten, evenals producten waarvan de informatie staats-, officiële en commerciële geheimen vormt. Bij het plegen van deze daden, voorzien in de relevante artikelen van het Wetboek van Strafrecht van de Russische Federatie, ontstaat strafrechtelijke aansprakelijkheid.
Het lekken van beschermde informatie wordt mogelijk als gevolg van schendingen van het geheimhoudingsregime (vertrouwelijkheid) van het werk, bij de uitvoering waarvan documenten en producten met het label "staatsgeheim", "officieel geheim" en "handelsgeheim" worden gebruikt.
Informatielekkanalen kunnen in vier groepen worden verdeeld.
1e groep - kanalen die verband houden met toegang tot elementen van het gegevensverwerkingssysteem, maar waarvoor geen wijzigingen aan systeemcomponenten nodig zijn. Deze groep omvat kanalen die zijn gevormd als gevolg van:
Op afstand verborgen filmpje observeren of fotograferen;
Gebruik van afluisterapparatuur;
Onderschepping van elektromagnetische straling en interferentie, enz.
2e groep - kanalen geassocieerd met toegang tot systeemelementen en veranderingen in de structuur van de componenten. Deze omvatten:
Het observeren van informatie tijdens de verwerking om deze te onthouden;
Diefstal van opslagmedia;
Inzameling van productieafval dat verwerkte informatie bevat;
Het opzettelijk lezen van gegevens uit de bestanden van andere gebruikers;
Resterende informatie lezen, d.w.z. gegevens blijven ingeschakeld magnetische media na het voltooien van taken;
Opslagmedia kopiëren;
Opzettelijk gebruik van geregistreerde gebruikersterminals om toegang te krijgen tot informatie;
Maskeren als geregistreerde gebruiker door wachtwoorden en andere details te stelen om de toegang te beperken tot informatie die wordt gebruikt in verwerkingssystemen;
Het gebruik van zogenaamde “valstrikken”, “gaten” en “mazen in de wet” om toegang te krijgen tot informatie, d.w.z. mogelijkheden om het toegangscontrolemechanisme te omzeilen dat ontstaat als gevolg van onvolkomenheden in systeembrede componenten software.
3e groep, waaronder:
Illegale aansluiting van speciale opnameapparatuur op systeemapparatuur of communicatielijnen (onderschepping van modem- en faxcommunicatie);
Het kwaadwillig wijzigen van programma's op een zodanige wijze dat deze programma's, samen met de basisfuncties van informatieverwerking, ook ongeoorloofde verzameling en registratie van beschermde informatie uitvoeren;
Kwaadwillig uitschakelen van beveiligingsmechanismen.
4e groep, bestaande uit:
Ongeautoriseerde verwerving van informatie door omkoping of chantage van functionarissen van relevante diensten;
Het verkrijgen van informatie door het omkopen en chanteren van medewerkers, kennissen, servicepersoneel of familieleden die op de hoogte zijn van het soort activiteit.
Daarom zijn er activiteiten nodig die veiligheidswerkers, hoofdontwerpers, managers en anderen voorzien van de nodige wetenschappelijke kennis om deze op te sporen mogelijke kanalen het lekken van beschermde informatie, oorzaken en omstandigheden die bijdragen aan dit fenomeen en de ontwikkeling van maatregelen om dit te voorkomen.
Het is ook noodzakelijk om rekening te houden met informatiecriteria (volledigheid - de som van retrospectieve en actuele informatie, redundantie, bruikbaarheid, waarde), waarvan de overweging noodzakelijk is om effectieve aanvullende maatregelen te ontwikkelen om beschermde geheimen te beschermen.
Vier significant verschillende categorieën van onderwerpen moeten de informatiebeveiliging garanderen:
De staat als geheel;
Overheidsorganisaties;
Commerciële structuren;
Individuele burgers. Laten we eens kijken naar de kenmerken van maatregelen om informatiebeveiliging op verschillende niveaus van het aanbod ervan te garanderen.
Op conceptueel en politiek niveau worden documenten aangenomen die de richting van het informatiebeveiligingsbeleid van de staat definiëren, de doelen en doelstellingen formuleren van het waarborgen van de informatiebeveiliging van alle bovengenoemde entiteiten, en manieren en middelen schetsen om de doelen te bereiken en problemen op te lossen.
Op wetgevend niveau wordt een reeks maatregelen gecreëerd en gehandhaafd die gericht zijn op de wettelijke regulering van informatiebeveiliging, weerspiegeld in wetten en andere rechtshandelingen (decreten van de president, regeringsresoluties, enz.).
Op regelgevend en technisch niveau zijn normen, richtlijnen, lesmateriaal en andere documenten die de processen van ontwikkeling, implementatie en werking van inreguleren.
Op ondernemingsniveau worden specifieke maatregelen genomen om de informatiebeveiliging van bedrijfsactiviteiten te waarborgen. Hun specifieke samenstelling en inhoud worden voor een belangrijk deel bepaald door de kenmerken van een bepaalde onderneming of organisatie.
Informatiebeveiliging- een veelzijdig, je zou kunnen zeggen, multidimensionaal werkterrein waarin alleen een systematische, geïntegreerde aanpak succes kan opleveren. Zonder betrouwbaren, geen moderne onderneming wordt weerloos tegen illegale acties, niet alleen van externe aanvallers, maar ook van haar eigen werknemers.
Literatuur
1 Severin VA Juridische ondersteuning informatiebeveiliging van de onderneming: educatieve en praktische handleiding. M.: Gorodets, 2000.
2 Mikheeva EV Informatietechnologieën in professionele activiteiten: leerboek. – M.: Prospekt, 2010.
INFORMATIEBEVEILIGING
u////////////////////////^^^^
Over de kwestie van de inhoud van het concept ‘informatiebeveiliging’
u////////////////////////////^^^^
MEVROUW. SOKOLOV, medewerker van het Centrum voor de Studie van Problemen van het Russische recht "Equitas", kandidaat voor juridische wetenschappen
E-mail: [e-mailadres beveiligd]
Wetenschappelijke specialiteit: 12.00.14 - bestuursrecht, financieel recht, informatierecht
u///////////////////////^^^^
Annotatie. Het artikel bespreekt de definitie van het concept ‘informatiebeveiliging’, vastgelegd in de Informatiebeveiligingsdoctrine van de Russische Federatie.
De essentie van het concept wordt onthuld, evenals positief en negatieve aspecten. Er worden suggesties gedaan om enkele termen en definities te verduidelijken informatierecht. Trefwoorden en zinnen: informatiebeveiliging, informatierelaties.
Annotatie. In de artikeldefinitie van het concept “informatiebeveiliging” vastgelegd in de Doctrine van informatiebeveiliging van de Russische Federatie wordt beschouwd.
De essentie ervan, en onthult ook positieve en negatieve kanten.
Er worden enkele termen en definities van de informatiewet gespecificeerd.
Trefwoorden en woordcombinaties: informatiebeveiliging, informatierelaties.
7///////////////////////////^^^^
Het waarborgen van de informatiebeveiliging is één van de speerpunten belangrijkste taken, tegenover elke moderne staat. Ondanks het groeiende belang van deze activiteit is er echter nog steeds geen uniforme definitie van het concept ‘informatiebeveiliging’ ontwikkeld.
Voordat we nadenken over de vraag hoeveel bestaande benaderingen Om informatiebeveiliging te definiëren als reactie op de moderne situatie, moet aandacht worden besteed aan de manier waarop het idee van beveiliging in het algemeen en de individuele typen ervan wordt gevormd.
IN verklarende woordenboeken De volgende definities van dit concept worden gegeven:
Veiligheid is een toestand waarin er geen dreiging van gevaar bestaat, maar bescherming tegen gevaar1;
Veiligheid - afwezigheid van gevaar2;
Preventie van gevaar, omstandigheden waaronder geen gevaar bestaat3.
De wet van de Russische Federatie “Betreffende Veiligheid” bevat de volgende definitie: veiligheid is een staat van bescherming van de vitale belangen van het individu, de samenleving en de staat tegen interne en externe bedreigingen4.
Deze definitie is van fundamenteel belang, aangezien zij van toepassing is op alle soorten sociale relaties.
Op basis hiervan kan worden aangenomen dat individuele soorten Beveiliging moet worden gedefinieerd als de staat van bescherming van een specifiek object tegen specifieke bedreigingen die het aanvallen. In de Russische wetgeving wordt dit standpunt echter niet overal in acht genomen.
In sommige gevallen wordt veiligheid niet eens gedefinieerd als een staat van veiligheid, maar als een eigendom. De veiligheid van hydraulische constructies is dus een eigenschap van hydraulische constructies die de bescherming van het leven, de gezondheid en legitieme belangen van mensen mogelijk maakt, omgeving en economische faciliteiten5. Deze aanpak is echter zeldzaam.
De fundamentele definitie van veiligheid heeft zijn ontwikkeling gevonden in de definitie van nationale veiligheid, die wordt opgevat als de staat van bescherming van het individu, de samenleving en de staat tegen interne en externe bedreigingen, die het mogelijk maakt grondwettelijke rechten, vrijheden, fatsoenlijke kwaliteit en levensstandaard van burgers, soevereiniteit, grondgebied.
retorische integriteit en duurzame ontwikkeling van de Russische Federatie, defensie en veiligheid van de staat6.
Zo werd de hoofddefinitie gespecificeerd met betrekking tot een afzonderlijke staat: de Russische Federatie. Vitale belangen werden getransformeerd in duidelijkere objecten: het individu, de samenleving, de staat. Ook de vaagheid van de term ‘veiligheidstoestand’ is verdwenen. Het blijkt dat we niet over nationale veiligheid kunnen praten in welke staat van veiligheid dan ook, maar alleen als het ons in staat stelt rechten en vrijheden, een behoorlijke kwaliteit en levensstandaard voor de burgers, soevereiniteit, territoriale integriteit en duurzame ontwikkeling van de Russische Federatie te garanderen. , defensie en veiligheid van de staat.
De mogelijkheid om rechten en vrijheden te waarborgen fungeert bijvoorbeeld als een van de vereisten voor de staat van veiligheid. Als de veiligheidsstaat dus aan alle eisen voldoet, is de veiligheid gewaarborgd.
Om de essentie van de veiligheid van iets te bepalen, is het daarom noodzakelijk om niet alleen het object zelf duidelijk aan te geven, de bedreigingen die ervoor bestaan, maar ook de vereisten voor de staat (niveau) van veiligheid. Deze aanpak wordt echter niet in alle definities geïmplementeerd.
Transportveiligheid wordt bijvoorbeeld gedefinieerd als de staat van veiligheid van traen voertuigen tegen daden van onwettige inmenging7, en brandveiligheid – als een staat van bescherming van individuen, eigendommen, de samenleving en de staat tegen brand8.
Zoals u kunt zien, worden in de bovenstaande definities het object en de bedreigingen genoemd, maar niet de vereisten voor de staat van veiligheid. Niettemin zijn zowel de beschermde objecten als de bedreigingen waartegen ze beschermd zijn duidelijk gemarkeerd.
De Doctrine van Informatiebeveiliging van de Russische Federatie (hierna de Doctrine genoemd) definieert dat de informatiebeveiliging van de Russische Federatie wordt begrepen als de staat van veiligheid van haar nationale belangen op informatiegebied, bepaald door het geheel van evenwichtige belangen van de Russische Federatie. het individu, de samenleving en de staat9.
Het is duidelijk dat bij deze definitie noch specifieke beveiligingsobjecten, noch bedreigingen, noch vereisten voor de staat van veiligheid zijn aangegeven. Uit de betekenis ervan blijkt ook niet duidelijk wat wordt bedoeld met de staat van belangenbescherming en hoe deze staat kan worden beoordeeld.
‘Belangen’ zijn een te abstracte en dubbelzinnige categorie; zelfs in de Doctrine worden ze niet genoemd; alleen de zogenaamde “componenten van nationale belangen” worden aangegeven. Hoe wordt dan voorgesteld om de bescherming van de belangen zelf te bepalen, als die er zijn volledige lijst staat nergens vermeld?!
Het lijkt erop dat de in de Doctrine voorgestelde definitie niet alleen niet de essentie van in-
formatieveiligheid, maar komt ook niet overeen met de benadering van definiëren verschillende soorten beveiliging.
Om de inhoud van informatiebeveiliging nauwkeurig bloot te leggen, is het allereerst noodzakelijk om op basis van de veiligheidstoestand vast te stellen uit welke objecten deze bestaat, en welke objecten een prioritaire betekenis hebben voor dit fenomeen.
Hier komt het concept naar voren informatie sfeer, wat het belangrijkste object is dat bescherming behoeft. Volgens de Doctrine is de informatiesfeer een verzameling informatie informatie-infrastructuur, onderwerpen die informatie verzamelen, genereren, verspreiden en gebruiken, evenals systemen voor het reguleren van de sociale relaties die in dit geval ontstaan10.
Het blijkt dat er binnen het raamwerk van een complex beschermd object (informatiesfeer) andere elementen zijn: 1) informatie; 2) informatie-infrastructuur; 3) entiteiten die informatie verzamelen, genereren, verspreiden en gebruiken; 4) een systeem voor het reguleren van de sociale relaties die in dit geval ontstaan.
Daarom is het noodzakelijk om de veiligheid van informatie, de veiligheid van de informatie-infrastructuur, de veiligheid van proefpersonen en de veiligheid van het systeem voor het reguleren van informatierelaties te waarborgen.
Informatie vertegenwoordigt informatie (berichten, gegevens), ongeacht de vorm van hun presentatie11. Informatiebeveiliging is op zijn beurt een toestand van informatiebeveiliging waarin de vertrouwelijkheid, beschikbaarheid en integriteit ervan zijn gewaarborgd12. Uit het bovenstaande blijkt duidelijk dat het behoud van deze eigendommen een integrale vereiste is voor de staat van veiligheid, dat wil zeggen veiligheid.
Als de staat van de informatiebeveiliging niet aan deze eisen voldoet, d.w.z. Als ten minste één van de opgegeven eigenschappen niet is beveiligd, bestaat de mogelijkheid dat overeenkomstige bedreigingen optreden. Op basis hiervan fungeert informatiebeveiliging als een soort meetschaal, waarvan het nulpunt de volledige afwezigheid betekent, en het eindcijfer overeenkomt met de maximale staat van beveiliging, die wordt gedefinieerd als informatiebeveiliging.
Tussenliggende waarden van deze schaal komen op hun beurt overeen met dergelijke toestanden (niveaus) van veiligheid waarin de implementatie van bepaalde bedreigingen mogelijk is.
Volgens GOST R 50922-2006 wordt een bedreiging voor de informatiebeveiliging opgevat als een reeks omstandigheden en factoren die een potentieel of feitelijk gevaar van een schending van de informatiebeveiliging creëren13. Er schuilen echter verschillende tegenstrijdigheden in deze definitie.
Ten eerste is het niet duidelijk hoe een combinatie van omstandigheden en factoren het bestaande gevaar kan creëren? Hoe kun je iets creëren dat al bestaat?
Ten tweede is de geldigheid van de formulering ‘gevaar van schending van de informatiebeveiliging’ twijfelachtig, aangezien ‘veiligheid’ op zichzelf al een toestand van bescherming tegen bedreigingen betekent, de afwezigheid van gevaar.
De conclusie ligt voor de hand: beide termen kunnen niet in een dergelijke context worden gebruikt, omdat ze elkaar binnen dezelfde definitie uitsluiten. Hetzelfde geldt voor de term ‘dreiging voor informatieveiligheid’ zelf.
Enerzijds manifesteert de dreiging zich in relatie tot het object (informatie), en niet in de staat van bescherming ervan (veiligheid), en tijdens de implementatie ervan heeft deze rechtstreeks invloed op het object zelf. Op basis hiervan is de formulering ‘veiligheidsdreiging’ niet geheel juist, aangezien schade bij het realiseren van een dreiging niet wordt toegebracht aan de veiligheid, maar aan specifieke eigenschappen of elementen van het object zelf.
Aan de andere kant is de veiligheidstoestand een indicator voor de mogelijkheid van dreigingen. Als een dergelijke dreiging kan worden gerealiseerd, is het object in gevaar en kan er enige schade aan worden toegebracht; zo niet, dan is het object veilig.
Informatiebeveiliging betekent op zijn beurt de staat van veiligheid van objecten in de informatiesfeer, die voldoet noodzakelijke vereisten, waarin ze worden beschermd tegen bedreigingen, d.w.z. de implementatie van dit laatste is onmogelijk en daarom bestaat er geen gevaar.
Sinds de jaren 2000 zijn cyberdreigingen voor iedereen relevant geworden, van de grootste overheidsinformatiesystemen tot de computers van gewone burgers. Een cyberdreiging is het illegaal binnendringen of dreigen met kwaadwillige toegang tot de virtuele ruimte om politieke, sociale of andere doelen te bereiken.
Cyberoorlogen tussen landen
De grootste cyberconflicten vinden plaats tussen staten die over de grootste computer- en intellectuele middelen beschikken om cyberoorlogen te voeren. Informatie over elektronische niet-agressieovereenkomsten, maar ook over confrontatie in de virtuele ruimte tussen landen, wordt in een apart artikel belicht:
Natuurlijke bedreigingen: de informatiebeveiliging van een bedrijf kan door verschillende bedreigingen worden beïnvloed externe factoren: gegevensverlies kan worden veroorzaakt door onjuiste opslag, diefstal van computers en media, overmacht en andere omstandigheden.
Belangrijkste problemen van gegevensbescherming in informatiesystemen
Het uiteindelijke doel is het implementeren van beveiligingsmaatregelen
Het verbeteren van de consumenteneigenschappen van de beschermde dienst, namelijk:
- Gebruiksgemak van de dienst
- Beveiliging bij het gebruik van de dienst
- Met betrekking tot systemen voor bankieren op afstand betekent dit de veiligheid van geld
- In relatie tot elektronische interactiesystemen betekent dit controle over rechten op een object en de veiligheid van hulpbronnen
- Verlies van enig beveiligingsobject betekent verlies van vertrouwen in de beveiligingsdienst
Wat ondermijnt het vertrouwen in veiligheidsdiensten?
Op huishoudensniveau
- Informatie over diefstal van geld en eigendommen, vaak overdreven gepresenteerd
- Intimidatie van mensen door bedreigingen die voor hen onbegrijpelijk en dus onbeheersbaar zijn (cyberaanvallen, hackers, virussen, enz.)
- Slechte kwaliteit van de geleverde dienst (storingen, fouten, onjuiste informatie, verlies van informatie)
- Identiteitsauthenticatie is niet sterk genoeg
- Oplichting waar mensen mee te maken hebben gehad of waar ze van hebben gehoord
Op juridisch vlak
- Verlies van authenticiteit van gegevens
- Verlies van legitimiteit van een veiligheidsdienst op formele basis (verlopen van een certificaat, faciliteitscertificaat, vergunning voor een activiteit, einde van de ondersteuning)
- Storingen van SKD-SUD, schending van de vertrouwelijkheid
- Zwak vertrouwensniveau in de authenticatieservice
- Storingen en tekortkomingen in de werking van beveiligingssystemen, waardoor het mogelijk wordt de legitimiteit van uitgevoerde transacties in twijfel te trekken
De constructie van elk computernetwerk begint met de installatie van werkstations, daarom begint het met de bescherming van deze objecten.
Dit zijn de mogelijke:
- hulpmiddelen voor de bescherming van besturingssystemen;
- extra apparaten voor gebruikersauthenticatie;
- middelen om werkstations te beschermen tegen ongeoorloofde toegang;
- encryptietools op applicatieniveau.
Op basis van de genoemde informatiebeveiligingstools wordt het eerste niveau van iin geautomatiseerde systemen gebouwd. In de tweede fase van de systeemontwikkeling worden individuele werkstations gecombineerd tot lokale netwerken, worden speciale servers geïnstalleerd en wordt er een exit uit gemaakt lokaal netwerk op internet.
Op in dit stadium Er worden middelen voor informatiebescherming van het tweede niveau gebruikt: het lokale netwerkbeschermingsniveau:
- beveiligingshulpmiddelen voor netwerkbesturingssystemen;
- middelen om de toegang tot gedeelde bronnen te beperken;
- tools voor lokale netwerkdomeinbescherming;
- gebruikersauthenticatieserver;
- firewall-proxyservers;
- tools voor het detecteren van aanvallen en kwetsbaarheden in de lokale netwerkbeveiliging.
Bij het combineren van lokale netwerken tot een gemeenschappelijk intranet, waarbij openbare netwerken (waaronder internet) als communicatiemedium worden gebruikt, wordt de veiligheid van de informatie-uitwisseling gewaarborgd door het gebruik van VPN-technologie, die de basis vormt van het derde niveau van informatiebeveiliging.
Fysieke methoden om informatiebeveiliging te garanderen
Fysieke beschermingsmaatregelen- dit zijn verschillende soorten mechanische, elektro- en elektronisch-mechanische apparaten en structuren die specifiek zijn ontworpen om fysieke obstakels op te werpen mogelijke manieren penetratie en toegang van potentiële overtreders tot componenten informatiesysteem en beschermde informatie. De lijst met fysieke methoden om informatie te beschermen omvat:
- organisatie van toegangscontrole;
- organisatie van de boekhouding, opslag, gebruik en vernietiging van documenten en media met vertrouwelijke informatie;
- distributie van toegangscontrolegegevens;
- het organiseren van geheime controle over de activiteiten van gebruikers en servicepersoneel van het informatiesysteem;
- activiteiten die worden uitgevoerd tijdens het ontwerpen, ontwikkelen, repareren en aanpassen van hardware en software.
Wanneer fysieke en technische middelen niet beschikbaar zijn, worden administratieve maatregelen getroffen om de informatiebeveiliging te waarborgen. Ervaring met het runnen van organisaties met complexe organisatie informatiesysteem heeft dat aangetoond beste resultaten bij het bereiken van informatiebeveiliging worden bereikt met behulp van een systematische aanpak.
Waarom zijn de risico’s op het gebied van informatiebeveiliging hoog in het MKB?
Veel leiders van kleine bedrijven onderschatten het belang van informatiebeveiliging en geloven dat kleine bedrijven zijn voor hackers niet zo interessant als grote. Dit is een misvatting. Kleine bedrijven zijn zeer aantrekkelijk voor internetoplichters. In de eerste plaats omdat hij zich weinig zorgen maakt over informatiebeveiliging.
Niet elke kleine onderneming heeft een informatietechnologiespecialist in dienst, maar illegale software en ‘criminele’ antivirussoftware worden vaak aangetroffen. Gegevens kunnen worden opgeslagen in openbare mappen, sleutels van het systeem voor bankieren op afstand (RBS) kunnen worden opgeborgen in de bureaula van de manager. Het gebruik van smartphones en tablets op het werk vergroot het risico op het lekken van bedrijfsinformatie.
Zoals uit een analyse van opkomende incidenten blijkt, richten aanvallers zich in de regel niet op een specifiek bedrijf en plaatsen ze virussen op iedereen die in de buurt komt.
“En degenen die minder of helemaal niet beschermd zijn, worden de eerste ‘slachtoffers’ van hackers die, door binnen te dringen informatie netwerk bedrijven worden ontvoerd geheime sleutels, gegevens over transacties of klanten”, merkt Oleg Ilyukhin op, directeur van de afdeling informatietechnologie bij SDM-Bank.
Veiligheidsregels
Er zijn verschillende verplichte informatiebeveiligingsregels die moeten worden gevolgd (2014).
Bescherming tegen virussen en spam
Een barrière voor virussen en spam. De grootste bedreiging voor de bedrijfsveiligheid is volgens experts malware. Sinds augustus 2014 verschijnen er elke dag ongeveer 200.000 nieuwe monsters ervan. Volgens marktdeelnemers op de informatiebeveiligingsmarkt werd in 2013 95% van de Russische bedrijven minstens één keer onderworpen aan een hackeraanval. Een even ernstige bedreiging is lekkage als gevolg van onbeschermde uitwisseling bedrijfsinformatie door mobiele apparaten medewerkers.
Om het optreden van deze bedreigingen te voorkomen, is het noodzakelijk om de “criminele” software achterwege te laten, een firewall en een moderne antivirusprogramma te installeren en deze regelmatig bij te werken.
Bashkir State Agrarische Universiteit
Annotatie:
Dit artikel is gewijd aan de ontwikkeling van informatietechnologie en de relevantie van hoogwaardige informatiebeveiliging in de wereld moderne wereld. Het artikel bespreekt de problemen van informatiebeveiliging in computernetwerken en manieren om deze op te lossen.
Dit artikel richt zich op de ontwikkeling van informatietechnologieën en de relevantie van hoogwaardige informatiebeveiliging in de wereld van vandaag. Het artikel gaat over de problemen van informatiebeveiliging in computernetwerken en oplossingen.
Trefwoorden:
informatie; informatiebescherming; veiligheid
informatie; gegevensbescherming; beveiliging
UDC-004.056.57
Het moderne leven is volledig afhankelijk van het gebruik van informatietechnologie. Computers helpen mensen bij het doen van aankopen, het betalen van rekeningen, het uitvoeren van operaties, het uitvoeren van onderzoek, het besturen van energiecentrales en ruimtevaartuigen. Ieder van ons heeft thuis een computer of laptop. We gebruiken smartphones enz. Naast civiel gebruik helpen computers bij het waarborgen van de verdediging en veiligheid van de staat. En deze tekst werd ook op een computer getypt.
Maar elke medaille heeft twee kanten, en in dit geval de tweede kant is dat het juist de hoogste graad van automatisering is die de moderne samenleving, maakt het afhankelijk van het beveiligingsniveau van de gebruikte informatietechnologieën. Het welzijn en het leven van mensen zijn van hen afhankelijk. Massale toepassing Computersystemen, die het mogelijk maakten om het probleem van het automatiseren van de verwerkingsprocessen van voortdurend groeiende hoeveelheden informatie op te lossen, maakten deze processen uiterst kwetsbaar voor agressieve invloeden en vormden een nieuw probleem voor consumenten van informatietechnologie: het probleem van informatiebeveiliging.
Zoek voorbeelden die de relevantie kunnen bevestigen dit probleem zijn in talloze aantallen op internet te vinden. Dit zijn bijvoorbeeld het hacken van websites van speciale diensten en diverse ministeries, het hacken van accounts publieke mensen, diefstal contant geld van accounts, diefstal van vertrouwelijke informatie. Er zijn veel verschillende virusprogramma's. In Rusland is meer dan 60% van alle gebruikte software illegaal. Thuisgebruikers kopen zelden duur besturingssystemen voor hun personal computers, en download ze liever via torrents.
Elke hack, elk virus, elke mislukking is een verlies voor de aangevallen bedrijven. De verliezen kunnen oplopen tot honderden miljoenen dollars. Plus reputatieschade. Maar vaak zijn de redenen voor mislukkingen of virusaanvallen zijn geen mythische kwaadaardige hackers, maar hun eigen medewerkers. Toevallige of opzettelijke fouten, nalatigheid - al deze problemen zijn ook van belang voor de informatiebeveiliging.
De huidige situatie op het gebied van bevestigt nogmaals het al lang bekende onaangename kenmerk van de technologische vooruitgang, namelijk dat er tijdens het oplossen van sommige problemen nieuwe, soms zelfs complexere problemen ontstaan.
Al het bovenstaande benadrukt duidelijk de relevantie van veilige informatieverwerking. De noodzaak om hoogwaardige informatiebeveiligingssystemen te bouwen is het belangrijkste probleem van de moderne samenleving.
In het algemeen impliceert het concept van veiligheid in de informatietechnologie het behoud van drie hoofdkenmerken van informatie: beschikbaarheid, integriteit en vertrouwelijkheid. Dit is de zogenaamde klassieke triade van informatiebeveiliging. Om elk van de kenmerken van informatie te behouden, heb je je eigen aanpak nodig, je eigen oplossing. Dit schept nieuwe problemen omdat er een evenwicht moet worden gevonden. Als u bijvoorbeeld geheime documenten verbrandt, is de vertrouwelijkheid van de informatie daarin honderd procent. Maar zowel de beschikbaarheid als de integriteit lijden er duidelijk onder.
Uiteraard wordt de informatiebeveiliging in organisaties in veel landen door de staat gereguleerd. Maar om aan alle wetten te voldoen, is het noodzakelijk om precies te begrijpen hoe ze moeten worden geïmplementeerd en in welke mate. Daarom kunnen niet alle informatiebeschermingsproblemen worden opgelost door simpelweg de volgende regelgeving te lezen.
Een van de problemen op het gebied van informatiebeveiliging, die voor verschillende organisaties behoorlijk acuut is, is de bescherming van vertrouwelijke informatie die zich in het systeem bevindt computersystemen, tegen ongeoorloofde toegang. Bescherming van informatie in computersystemen heeft een aantal specifieke kenmerken die verband houden met het feit dat informatie niet strikt verbonden is met het medium en gemakkelijk en snel kan worden gekopieerd en verzonden via communicatiekanalen. Er is een zeer groot aantal bedreigingen voor informatie die zowel door externe overtreders als door interne overtreders kunnen worden geïmplementeerd.
Tijdens het verzenden van informatie via computernetwerken kan ontstaan volgende problemen met zijn veiligheid:
Diefstal van informatie - de integriteit van informatie blijft behouden, maar de vertrouwelijkheid ervan wordt geschonden;
Wijziging van informatie - de verzonden informatie wordt op de een of andere manier gewijzigd en de ontvanger ontvangt mogelijk een heel ander bericht. Dat wil zeggen, er is sprake van een schending van de integriteit van informatie;
Het blokkeren van informatie - bijvoorbeeld tijdens een DDoS-aanval op een website op internet. Er is sprake van schending van de beschikbaarheid van informatie;
Dit zijn slechts enkele van de bedreigingen voor de informatiebeveiliging die moeten worden aangepakt.
Cryptografie is een van de meest effectieve methoden om informatie te beschermen. Moderne versleutelingsalgoritmen zijn zo krachtig dat het miljoenen jaren duurt voordat ze kapot zijn. Tegelijkertijd hebben ze vrijwel geen effect op de prestaties. geautomatiseerd systeem. Cryptografische datatransformaties komen het meest voor effectieve middelen het waarborgen van de vertrouwelijkheid van gegevens. Om de integriteit en authenticiteit te verifiëren doorgegeven informatie U kunt een elektronische handtekening gebruiken. Daarnaast elektronische handtekening handig omdat het een echte handtekening in de documentstroom van een moderne organisatie kan vervangen.
Om informatie te beschermen wordt ook gebruik gemaakt van een methode zoals toegangscontrole. Diverse gebruikers krijgen verschillende rechten toegewezen voor toegang tot beschermde informatie, afhankelijk van de reeks taken die zij uitvoeren. Rechten bijvoorbeeld systeembeheerder Het mag zeker niet aan alle medewerkers van de organisatie worden gegeven. Een van hen zal zeker alles vernietigen, opzettelijk of per ongeluk.
Er moet aandacht worden besteed aan het beschermen van het netwerk tegen ongeoorloofde toegang. Hiervoor worden firewalls gebruikt. Ze worden meestal geïnstalleerd op de grens van het lokale bedrijfsnetwerk en het internet. In dit geval wordt over het algemeen aanbevolen om er twee in te stellen firewalls. Eén aan de rand van internet en eigen netwerk, en de tweede - tussen uw eigen netwerk en het netwerksegment waar vertrouwelijke informatie circuleert.
De bovenstaande lijst met informatiebeveiligingsmethoden is verre van compleet. Er is ook een aanduiding van het gecontroleerde gebied, de technische en technische beveiliging van de gebouwen waar vertrouwelijke informatie wordt verwerkt, beperking van de toegang tot deze gebouwen, enz. Er is niet één oplossing, geen wondermiddel voor alle kwalen. Alleen het gebruik van een breed scala aan informatiebeveiligingsmethoden kan betrouwbare bescherming bieden tegen verschillende bedreigingen.
Houd er rekening mee dat een hoge mate van beveiliging kan leiden tot slechte netwerkprestaties. Als je het gebouw omringt met meerdere hekken en controleposten, is het tegen de tijd dat medewerkers hun werkplek bereiken, tijd om naar huis te gaan. Het is noodzakelijk om een evenwicht te bewaren in de triade van informatiebeveiliging. Je kunt er niet één volledig voor opofferen.
Bibliografie:
1. Blinov A.M. Informatiebeveiliging - St. Petersburg: SPbGUEF, 2010 - 96 p.
2. Petrenko S.A., Kurbatov V.A. Bedrijfsveiligheidsbeleid bij het werken op internet - M.: DMK-Press, 2011 - 396 p.
Beoordelingen:
18-06-2015, 20:15 Gruzdeva Ljoedmila Mikhailovna
Beoordeling: Naar mijn mening zet het artikel algemene waarheden uiteen. Ik raad het artikel niet aan voor publicatie.
20/06/2015, 21:12 Kamenev Alexander Yurievich
Beoordeling: Er is geen nieuwigheid (noch wetenschappelijk noch technisch). Het artikel leent zich ook duidelijk niet voor ‘analyse’. Ik ben het eens met de vorige recensent. Niet aanbevolen voor afdrukken.
02-07-2015, 9:23 Kuzmenko Igor Nikolajevitsj
Beoordeling: Je krijgt de indruk dat dit niet zo is wetenschappelijk werk de auteur, maar de samenvatting. Groeiende wetenschappers, ik vraag je, schrijf niet wat je uit schoolboeken weet, maar wat niemand vóór jou naar voren heeft gebracht. Stel vragen, stel ze op een manier die niemand eerder heeft gesteld, en alles komt goed voor je. Succes! In zijn huidige vorm is dit geen artikel. Ik raad het niet aan voor publicatie!
Beste vrienden!
Informatietechnologie is een van de meest dynamisch ontwikkelende segmenten van de wereldeconomie, niet alleen op technisch, maar ook op organisatorisch en juridisch gebied. Deze uitspraak geldt evenzeer voor een zo belangrijk onderdeel van deze economische sector als informatiebeveiliging.
De actieve integratie van de Russische Federatie in de mondiale economische ruimte staat ons niet langer toe ons uitsluitend te laten leiden door binnenlandse wetten, regels en normen, en dwingt het binnenlandse bedrijfsleven om de beste mondiale praktijken uit te proberen.
In zo'n snel veranderende omgeving bemoeilijkt de afwezigheid van een betrouwbare gids die hoogwaardige hulpmiddelen kan bieden voor het oplossen van urgente problemen het bereiken van een positief resultaat aanzienlijk of vereist het gebruik van inspanningen die niet toereikend zijn voor het resultaat.
Deze rol is met succes gespeeld door het tijdschrift “Information Protection. Binnen." Wij waren, zijn en zullen altijd van jou zijn trouwe assistent bij het oplossen van problemen op het gebied van informatiebeveiliging.
Ik vestig uw aandacht op het feit dat te bestellen bij de redactie, maar ook bij ons nieuwe aanbod– mogelijkheid om te bestellen. De aangeboden materialen zijn ontwikkeld door specialisten met jarenlange ervaring praktische ervaring werk en onderwijs op dit gebied. Hun doel: het verkrijgen van een brede cirkel leidinggevenden, zonder voorbereidende voorbereiding en hun ondergeschikte veiligheidsdiensten van de staat en commerciële ondernemingen kennis over een breed scala aan onderwerpen op het gebied van de bescherming van vertrouwelijke informatie.
Ik hoop dat al deze materialen u aanzienlijk zullen helpen bij het oplossen van dringende problemen.
Hoofdredacteur
S.A. Petrenko
Over het tijdschrift
Tijdschrift “Informatiebescherming. Inside" is het enige periodieke, wetenschappelijke, informatieve en methodologische tijdschrift in Rusland op het gebied van informatiebeveiliging.
Tijdschrift “Informatiebescherming. Inside" is bij besluit van de Hogere Attestcommissie opgenomen in Lijst met peer-reviewed wetenschappelijke publicaties, waarin de voornaamste wetenschappelijke resultaten proefschriften voor de wetenschappelijke graad van Kandidaat in de Wetenschappen, voor de wetenschappelijke graad van Doctor in de Wetenschappen in de volgende wetenschappelijke specialiteiten.
Abonnementsindex van het tijdschrift volgens catalogi: , ,
Hoofdredacteur
Petrenko Sergej Anatoliëvitsj, arts technische wetenschappen, hoogleraar van de afdeling IB SPbGETU (LETI)
