Стаття з інформаційної безпеки.  Інформаційна безпека та захист інформації простими словами. Фізичні засоби забезпечення інформаційної безпеки

Бостанова Л.К.

к.п.н., доцент кафедри економіки, менеджменту та фінансового права КЧф РДСУ у м.Черкеську

Види та особливості загроз інформаційній безпеці

Анотація

У роботі розглядається проблема забезпечення інформаційної безпеки. Її рішення передбачає вивчення форм, способів та методів виявлення та попередження небезпеки в інформаційній сфері.

Ключові слова : Інформація, інформаційні технології, інформаційна безпека

Information, information technologies, information security

Швидкий розвиток і повсюдне проникнення інформаційних технологій в різні сфери ділової діяльності призвело до того, що комп'ютерна інформація в даний час може мати цілком певну вартісну вагу, показниками якої може бути як прибуток, що отримується при її використанні, так і розміри шкоди, завданої власнику інформаційних ресурсівабо користувачам при порушенні встановлених правилроботи з інформацією. Тому однією із найважливіших проблем розвитку інформаційних технологій є надійне забезпечення інформаційної безпеки.

Забезпечення інформаційної безпеки, під якою розуміється стан захищеності життєво важливих інтересів особистості, суспільства та держави в інформаційній сфері від внутрішніх та зовнішніх загроз, є дуже важливим завданням. Її рішення передбачає вивчення форм, способів та методів виявлення та попередження небезпеки в інформаційній сфері.

Діяльність суб'єктів захисту охоронюваної власником інформації пов'язана головним чином із попередженням витоку секретів, що охороняються, тобто. правова охорона та захист інформації, що включає, державну таємницю та конфіденційну інформацію з обмеженим доступом. у «Переліку відомостей конфіденційного характеру», затвердженому Указом Президента РФ від 6 березня 1997 № 188, наведені наступні види конфіденційної інформації: службова таємниця, персональні дані, таємниця слідства та судочинства, комерційна таємниця, таємниця сутності винаходу до моменту опублікування, професійна таємниця. У той самий час низку діючих нормативно-правових документів визначає ще кілька типів таємниць, як видів конфіденційної інформації.

Оскільки це питання має чимало практичне значеннязадля забезпечення інформаційної безпеки підприємства, а непідготовленій людині зовсім непросто розібратися у безлічі специфічних документів, нижче наводиться перелік деяких видів конфіденційної інформації, визначених у цивільному законодавстві РФ і законах, які стосуються сфери інформаційної безпеки.

Інформація про громадян (персональні дані). Відомості про факти, події та обставини життя громадянина, що дозволяють ідентифікувати його особу (ст. 2 закону «Про інформацію, інформатизацію та захист інформації»).

Службова таємниця. Інформація становить службову чи комерційну таємницю у разі, коли інформація має дійсну чи потенційну комерційну цінність через невідомість її третім особам, до неї немає вільного доступу на законній підставіта власник інформації вживає заходів щодо охорони її конфіденційності. Відомості, які можуть становити службову чи комерційну таємницю, визначаються законом чи іншими правовими актами (ст. 139 ДК РФ).

Таємниця усиновлення дитини. Таємниця усиновлення дитини охороняється законом (ст. 139 Сімейного кодексу РФ).

Геологічна інформація про надра. Інформація про геологічну будову надр, що знаходяться в них корисних копалин, умови їх розробки, а також інші якості та особливості надр, що міститься в геологічних звітах, картах та інших матеріалах, є власністю замовника, який фінансував роботи, в результаті яких отримано дана інформація, якщо інше не передбачено ліцензією користування надрами (ст. 27 закону «Про надра»).

Податкова таємниця. Податкову таємницю становлять будь-які отримані податковим органом відомості про платника податків, крім відомостей, визначених у ст. 102 таки Податкового кодексу РФ.

Службова інформація ринку цінних паперів. Службовою інформацією… визнається будь-яка не є загальнодоступною інформація про емітента та випущені ним емісійні цінні папери, яка ставить осіб, які мають силу свого службового становища, трудових обов'язків або договору, укладеного з емітентом, такою інформацією, у переважне положення порівняно з іншими суб'єктами ринку цінних паперів (ст. 31 закону «Про ринок цінних паперів»).

Лікарська таємниця. Інформація про факт звернення за медичною допомогою, стан здоров'я громадянина, діагнозі його захворювання та інші відомості, отримані при його обстеженні та лікуванні, становлять лікарську таємницю. Громадянину повинна бути підтверджена гарантія конфіденційності даних, що передаються їм (ст. 61 Основ законодавства) Російської Федерації"Про охорону здоров'я громадян").

Таємниця зв'язку. Таємниця листування, телефонних переговорів, поштових відправлень, телеграфних та інших повідомлень, що передаються по мережах електричної та поштового зв'язку, Охороняється Конституцією Російської Федерації (ст. 32 закону «Про зв'язок»).

Нотаріальна таємниця. Нотаріус зобов'язаний зберігати в таємниці відомості, які стали йому відомі у зв'язку із здійсненням його професійної діяльності(Ст. 16 Основ законодавства Російської Федерації «Про нотаріат»).

Адвокатська таємниця. Адвокат немає права розголошувати відомості, повідомлені йому довірителем у зв'язку з наданням юридичної допомоги (ст. 15, ст. 16 «Положення про адвокатуру СРСР»).

Журналістська таємниця. Редакція не має права розголошувати в повідомленнях і матеріалах, що поширюються, відомості, надані громадянином з умовою збереження їх у таємниці. Редакція зобов'язана зберігати в таємниці джерело інформації і не має права називати особу, яка надала громадянином з умовою нерозголошення його імені, за винятком випадку, коли відповідна вимога надійшла від суду у зв'язку з справою, що перебуває у його провадженні (ст. 41 закону «Про засоби масової інформації) .

Комерційна таємниця. Інформація становить службову чи комерційну таємницю у разі, коли інформація має дійсну чи потенційну комерційну цінність через невідомість її третіх осіб, до неї немає вільного доступу на законній підставі та власник інформації вживає заходів до охорони її конфіденційності. Відомості, які можуть становити службову чи комерційну таємницю, визначаються законом чи іншими правовими актами (ст. 139 ДК РФ).

Банківська таємниця. Банк гарантує таємницю банківського рахунку та

банківського вкладу, операцій з рахунку та відомостей про клієнта (ст. 857 ЦК України).

Таємниця страхування. Страховик немає права розголошувати отримані їм у результаті своєї професійної діяльності відомості про страхувальника, застрахованої особі і вигодонабувача, стан їх здоров'я, і ​​навіть про майнове становище цих осіб (ст. 946 ДК РФ).

Як видно з вище перерахованого, найбільш опрацьованим та широко представленим у всіх вимірах є аспект конфіденційності інформації. На її сторожі стоять закони, нормативні акти, технічні засобита багаторічний досвід різних державних структур. Проте забезпечення конфіденційності інформації - один із найскладніших у практичній реалізації аспект інформаційної безпеки.

Державна таємниця – згідно з визначенням, прийнятим у російському законодавстві, що захищаються державою відомості в галузі його військової, зовнішньополітичної, економічної, розвідувальної, контррозвідувальної, оперативно-розшукової та іншої діяльності, поширення яких може завдати шкоди безпеці держави.

Небезпека витоку інформації обумовлена ​​тим, що вона призводить до поінформованості іноземних держав, або конкурентів у будь-якій галузі з комерційними секретами один від одного, внаслідок чого країні, окремому підприємству чи особистості завдається або може бути завдано шкоди. Це відбувається в тих випадках, коли особа вчиняє дію або бездіяльність, що порушує правові заборони, передбачені законами, підзаконними та корпоративними нормативними актами. Особливу небезпеку у плані становлять дії, пов'язані з розголошенням інформації та втратою документів, і навіть виробів, інформацію про яких становлять державну, службову і комерційну таємницю. При скоєнні цих діянь, передбачених відповідними статтями Кримінального кодексу РФ, настає кримінальна ответственность.

Витік інформації, що охороняється, стає можливим внаслідок вчинення порушень режиму секретності (конфіденційності) робіт, при виконанні яких використовуються документи та вироби з грифом «державна таємниця», «службова таємниця» та «комерційна таємниця».

Канали витоку інформації можна розбити на чотири групи.

1-я група - канали, пов'язані з доступом до елементів системи обробки даних, але потребують зміни компонентів системи. До цієї групи відносяться канали, що утворюються за рахунок:

Дистанційного прихованого відеоспостереження чи фотографування;

застосування підслуховуючих пристроїв;

Перехоплення електромагнітних випромінювань та наведень тощо.

2-я група - канали, пов'язані з доступом до елементів системи та зміною структури її компонентів. До неї належать:

Спостереження за інформацією у процесі обробки з метою її запам'ятовування;

Викрадення носіїв інформації;

Збір виробничих відходів, що містять оброблювану інформацію;

Навмисне зчитування даних із файлів інших користувачів;

Читання залишкової інформації, тобто. даних, що залишаються на магнітних носіяхпісля виконання завдань;

Копіювання носіїв інформації;

Навмисне використання доступу до інформації терміналів зареєстрованих користувачів;

Маскування під зареєстрованого користувача шляхом викрадення паролів та інших реквізитів розмежування доступу до інформації, яка використовується у системах обробки;

Використання доступу до інформації про «люків», «дір» і «лазівок», тобто. можливостей обходу механізму розмежування доступу, що виникають внаслідок недосконалості загальносистемних компонентів програмного забезпечення.

3-я група, яка включає:

Незаконне підключення спеціальної реєструючої апаратури до пристроїв системи або ліній зв'язку (перехоплення модемного та факсимільного зв'язку);

Зловмисна зміна програм таким чином, щоб ці програми поряд з основними функціями обробки інформації здійснювали також несанкціонований збір та реєстрацію інформації, що захищається;

Зловмисне виведення з ладу механізмів захисту.

4-а група, до якої належать:

Несанкціоноване отримання інформації шляхом підкупу чи шантажу посадових осіб відповідних служб;

Отримання інформації шляхом підкупу та шантажу співробітників, знайомих, обслуговуючого персона або родичів, які знають про діяльність.

Тому необхідні такі заходи, які забезпечать працівників служби безпеки, головних конструкторів, керівників та інших необхідних наукових знань щодо виявлення можливих каналіввитоку інформації, що охороняється, причин і обставин, що сприяють цьому явищу та розробці заходів щодо їх попередження.

Необхідно також враховувати критерії інформації (повнота-сума ретроспективної та поточної інформації, надмірність, корисність, цінність), облік яких необхідний для розробки ефективних додаткових заходів захисту секретів, що охороняються.

Забезпечення інформаційної безпеки потребують чотири суттєво різні категорії суб'єктів:

Держава загалом;

Державні організації;

Комерційні структури;

Окремі громадяни Розглянемо особливості заходів щодо забезпечення інформаційної безпеки на різних рівнях її забезпечення.

На концептуально-політичному рівні приймаються документи, в яких визначаються напрями державної політики інформаційної безпеки, формулюються цілі та завдання забезпечення інформаційної безпеки всіх перерахованих вище суб'єктів та намічаються шляхи та засоби досягнення поставлених цілей та вирішення завдань.

На законодавчому рівні створюється та підтримується комплекс заходів, спрямованих на правове регулювання забезпечення інформаційної безпеки, що відображаються у законах та інших правових актах (укази Президента, постанови Уряду та ін.).

На нормативно-технічному рівні розробляються стандарти, керівні матеріали, методичні матеріалита інші документи, що регламентують процеси розробки, впровадження та експлуатації засобів забезпечення інформаційної безпеки.

На рівні підприємства здійснюються конкретні заходи щодо забезпечення інформаційної безпеки ділової діяльності. Їх конкретний склад та зміст багато в чому визначається особливостями конкретного підприємства чи організації.

Інформаційна безпека- багатогранна, можна сказати, багатовимірна сфера діяльності, в якій успіх може принести лише систематичний, комплексний підхід. Без надійних заходів інформаційної безпеки будь-яке сучасне підприємствостає беззахисним перед неправомірними діями як зовнішніх зловмисників, а й своїх співробітників.

Література

1 Северин В.А. Правове забезпеченняінформаційної безпеки підприємства: Навчально-практичний посібник М: Городець, 2000.

2 Міхєєва Є.В. Інформаційні технології у професійній діяльності: учеб.посібник. - М.: Проспект, 2010.

ІНФОРМАЦІЙНА БЕЗПЕКА

у/////////////////////////^^^^

До питання змісту поняття «інформаційна безпека»

у//////////////////////////////^^^^

М.С. СОКОЛОВ, співробітник Центру дослідження проблем російського права «Еквітас», кандидат юридичних наук

E-mail: [email protected]

Наукова спеціальність: 12.00.14 – адміністративне право, фінансове право, інформаційне право

у////////////////////////^^^^

Анотація. У статті розглядається визначення поняття "інформаційна безпека", закріплене в Доктрині інформаційної безпеки Російської Федерації.

Розкривається сутність поняття, а також позитивні та негативні сторони. Вносяться пропозиції щодо уточнення деяких термінів та визначень інформаційного права. Ключові слова та словосполучення: інформаційна безпека, інформаційні відносини.

Анотація. In article definition of concept «інформація безпеки» fixed in the Doctrine of information security of the Російська Федерація is considered.

Це essence, а також позитивні і negative sides reveals.

Кілька термінів і визначень інформації, які є визначені.

Key words and word combinations: information security, information relations.

7///////////////////////////^^^^

Забезпечення інформаційної безпеки є однією з найважливіших завдань, що стоять перед будь-якою сучасною державою. Однак, незважаючи на зростаюче значення цієї діяльності, єдиного визначення поняття «інформаційна безпека», як і раніше, не вироблено.

Перш ніж розглядати питання про те, наскільки існуючі підходидо визначення інформаційної безпеки відповідають сучасній обстановці, слід звернути увагу на те, як формується уявлення про безпеку в цілому та про окремі її види.

У тлумачних словникахдаються такі визначення даному поняттю:

Безпека - стан, у якому не загрожує небезпека, є захист від опасности1;

Безпека - відсутність небезпеки2;

Запобігання небезпеці, умови, за яких не загрожує небезпека3.

Закон РФ «Про безпеку» містить таке визначення: безпека є стан захищеності життєво важливих інтересів особистості, суспільства та держави від внутрішніх та зовнішніх загроз4.

Дане визначення є основним, оскільки поширюється попри всі види суспільних відносин.

Тому можна припустити, що окремі видибезпеки повинні визначатися як стан захищеності конкретного об'єкта від конкретних загроз, що на нього посягають. Однак у російському законодавстві така позиція спостерігається не скрізь.

У деяких випадках безпека визначається навіть як стан захищеності, бо як властивість. Так, безпека гідротехнічних споруд - як властивість гідротехнічних споруд, що дозволяє забезпечувати захист життя, здоров'я та законних інтересів людей, довкіллята господарських об'єктів5. Однак такий підхід є рідкістю.

Основне визначення безпеки знайшло свій розвиток у визначенні національної безпеки, під якою розуміється стан захищеності особистості, суспільства та держави від внутрішніх та зовнішніх загроз, що дозволяє забезпечити конституційні права, свободи, гідні якості та рівень життя громадян, суверенітет, тер-

риторіальну цілісність та сталий розвиток Російської Федерації, оборону та безпеку государства6.

Таким чином, основне визначення конкретизувалося щодо окремої держави – Російської Федерації. Життєво важливі інтереси трансформувалися у чіткіші об'єкти - особистість, суспільство, держава. Зникла і невизначеність терміна «стан захищеності». Виходить, що можна говорити про національну безпеку не за будь-якого стану захищеності, а лише тоді, коли вона дозволяє забезпечувати права та свободи, гідні якість та рівень життя громадян, суверенітет, територіальну цілісність та сталий розвиток Російської Федерації, оборону та безпеку держави.

Наприклад, можливість забезпечення права і свободи виступає як однієї з вимог до стану захищеності. Отже, якщо стан захищеності відповідає всім вимогам, що пред'являються, то забезпечена безпека.

Отже, визначення сутності безпеки чогось необхідно чітко вказати як сам об'єкт, існуючі йому загрози, а й вимоги до стану (рівню) захищеності. Однак такий підхід реалізований не у всіх визначеннях.

Наприклад, транспортну безпеку визначено як стан захищеності об'єктів транспортної інфраструктури та транспортних засобіввід актів незаконного втручання7, а пожежна безпека - як стан захищеності особистості, майна, суспільства та держави від пожеж8.

Як видно, у наведених визначеннях об'єкт та загрози названі, а вимоги до стану захищеності – ні. Проте чітко позначені і об'єкти, що охороняються, і загрози, від яких вони захищаються.

Доктрина інформаційної безпеки Російської Федерації (далі - Доктрина) визначає, що під інформаційною безпекою Російської Федерації розуміється стан захищеності її національних інтересів в інформаційній сфері, що визначаються сукупністю збалансованих інтересів особи, суспільства та держави9.

Очевидно, що в даному визначенніне вказано ні конкретних об'єктів безпеки, ні загрози, ні вимог до стану захищеності. З його сенсу також не ясно, що розуміється під станом захищеності інтересів і як цей стан можна оцінити.

«Інтереси» – надто абстрактна та неоднозначна категорія, навіть у Доктрині вони не названі; вказані лише так звані «складові національних інтересів». Яким чином тоді пропонується визначати захищеність самих інтересів, якщо їх повний перелікніде не вказано?!

Звісно ж, що запропоноване у Доктрині визначення як не розкриває сутності ін-

формаційної безпеки, але й відповідає підходу, що склався в російському законодавстві до визначення різних видівбезпеки.

Для того щоб точно розкрити зміст інформаційної безпеки, необхідно насамперед встановити, зі стану захищеності яких об'єктів воно складається, які об'єкти мають для даного явища пріоритетне значення.

Тут першому плані виходить поняття інформаційної сферияка є основним об'єктом, що вимагає захисту. Відповідно до Доктрини інформаційна сфера є сукупністю інформації, інформаційної інфраструктури, суб'єктів, які здійснюють збір, формування, поширення та використання інформації, а також системи регулювання громадських відносин, що виникають при цьому10.

Виходить, що в рамках комплексного об'єкта (інформаційної сфери), що охороняється, існують і інші елементи: 1) інформація; 2) інформаційна інфраструктура; 3) суб'єкти, які здійснюють збір, формування, поширення та використання інформації; 4) система регулювання громадських відносин, що виникають при цьому.

Отже, необхідно забезпечувати безпеку інформації, безпеку інформаційної інфраструктури, безпеку суб'єктів та безпеку системи регулювання інформаційних відносин.

Інформація є відомості (повідомлення, дані) незалежно від форми їх представления11. У свою чергу, безпека інформації - це стан захищеності інформації, при якому забезпечені її конфіденційність, доступність і цілісність12. Зі сказаного видно, що збереження зазначених властивостей є невід'ємною вимогою до стану захищеності, що означає безпеку.

Якщо стан захищеності відомостей відповідає цим вимогам, тобто. не захищено хоча б одну із зазначених властивостей, виникає ймовірність прояву відповідних загроз. Виходячи з цього захищеність інформації виступає як своєрідна вимірювальна шкала, нульова позначка якої означає повну її відсутність, а кінцева відповідає максимальному стану захищеності, який і визначається як безпека інформації.

У свою чергу, проміжні значення даної шкали відповідають таким станам (рівням) захищеності, при яких можлива реалізація деяких загроз.

Відповідно до ГОСТ Р 50922-2006 під загрозою безпеки інформації розуміється сукупність умов та факторів, що створюють потенційну чи реально існуючу небезпеку порушення безпеки інформації13. Однак у цьому визначенні приховано кілька протиріч.

По-перше, не зрозуміло, як сукупність умов та факторів може створювати існуючу небезпеку? Як можна створити те, що існує?

По-друге, викликає сумнів обґрунтованість формулювання «небезпека порушення безпеки інформації», оскільки «безпека» вже сама собою означає стан захищеності від загроз, відсутність небезпеки.

В наявності висновок: обидва ці терміни як взаємовиключні один одного в рамках одного визначення в подібному контексті застосовуватися не можуть. Це саме стосується і самого терміну «загроза безпеки інформації».

З одного боку, загроза проявляється щодо об'єкта (інформації), а чи не стану його захищеності (безпеки), й під час своєї реалізації вона впливає безпосередньо сам об'єкт. Виходячи з цього, формулювання «загроза безпеки» не цілком коректне, оскільки шкода у разі реалізації загрози завдається не безпеці, а конкретним властивостям або елементам самого об'єкта.

З іншого боку, стан захищеності - це і є показником можливості прояву загроз. Якщо така загроза може бути реалізована, об'єкт перебуває в небезпеці, і йому може бути заподіяна певна шкода; якщо ні - об'єкт перебуває у безпеці.

Інформаційна безпека, у свою чергу, означає стан захищеності об'єктів інформаційної сфери, що відповідає необхідним вимогам, у якому вони захищені від загроз, тобто. реалізація останніх неможлива, а отже, немає й небезпеки.

  • ПОНЯТТЯ ТА СИСТЕМА ІНФОРМАЦІЙНИХ ЗЛОЧИН, Здійснюваних ВІЙСЬКОВОСЛУЖБИМИ ПРИ ЗДІЙСНЕННІ ПРИМЕЖНОЇ ДІЯЛЬНОСТІ

    • Починаючи з 2000-х років кіберзагрози стали актуальними для всіх, починаючи від найбільших державних інформаційних систем до комп'ютерів пересічних громадян. Кіберзагроза – це незаконне проникнення чи загроза шкідливого проникнення у віртуальний простір задля досягнення політичних, соціальних чи інших, цілей.

    Кібервійни між країнами

    Найбільші кіберконфлікти розгортаються між державами, які мають найбільші обчислювальні та інтелектуальні ресурси для ведення кібервійн. Інформація про угоди про електронний ненапад, а також про протиборство у віртуальному просторі між країнами, виділена в окрему статтю:

    Природні загрози: на інформаційну безпеку компанії можуть впливати різноманітні зовнішні фактори: причиною втрати даних може стати неправильне зберігання, крадіжка комп'ютерів та носіїв, форс-мажорні та інші обставини.

    Основні проблеми захисту даних в інформаційних системах

    Кінцева мета реалізації заходів безпеки

    Підвищення споживчих властивостей сервісу, що захищається, а саме:

    • Зручність використання сервісу
    • Безпека під час використання сервісу
    • Щодо систем ДБО це означає збереження грошей
    • Щодо систем електронної взаємодії це означає контроль над правами на об'єкт та збереження ресурсів
    • Втрата будь-якої якості безпеки означає втрату довіри до сервісу безпеки

    Що підриває довіру до сервісів безпеки?

    На побутовому рівні

    • Інформація про розкрадання грошей та власність, що часто викладається гіпертрофовано
    • Заляканість людей незрозумілими їм, отже, неконтрольованими загрозами (кібератаками, хакерами, вірусами тощо.)
    • Неякісна робота наданого сервісу (відмови, помилки, неточна інформація, втрата інформації)
    • Недостатньо надійна автентифікація особи
    • Факти шахрайства, з якими стикаються люди чи чули про них

    На правовому рівні

    • Втрата автентичності даних
    • Втрата легітимності сервісу безпеки за формальною ознакою (закінчення терміну дії сертифіката, атестата на об'єкт, ліцензії на вид діяльності, закінчення підтримки)
    • Збої у роботі СКД-СУД, порушення конфіденційності
    • Слабкий рівень довіри до сервісу аутентифікації
    • Збої та недоліки в роботі систем захисту, що дають можливість оскаржити легітимність операцій, що здійснюються.

    Побудова будь-якої комп'ютерної мережі починається із встановлення робочих станцій, отже підсистема інформаційної безпеки починається із захисту цих об'єктів.

    Тут можливі:

    • засоби захисту операційної системи;
    • додаткові пристрої автентифікації користувача;
    • засоби захисту робочих станцій від несанкціонованого доступу;
    • засоби шифрування прикладного рівня.

    За підсумками перелічених засобів захисту будується перший рівень підсистем інформаційної безпеки в автоматизованих системах. На другому етапі розвитку системи окремі робочі станції об'єднують у локальні мережі, встановлюють виділені сервери та організують вихід з локальної мережів інтернет .

    на даному етапівикористовуються засоби захисту інформації другого рівня – рівня захисту локальної мережі:

    • засоби безпеки мережевих операційних систем;
    • засоби розмежування доступу до ресурсів, що розділяються;
    • засоби захисту домену локальної мережі;
    • сервера автентифікації користувачів;
    • міжмережеві екранні проксі-сервера;
    • засоби виявлення атак та уразливостей захисту локальної мережі.

    При об'єднанні локальних мереж у спільний інтранет з використанням як комунікаційне середовище публічних мереж (у тому числі інтернету) безпека обміну інформацією забезпечується застосуванням технології VPN, яка становить основу третього рівня інформаційної безпеки.

    Фізичні засоби забезпечення інформаційної безпеки

    Фізичні заходи захисту- це різного роду механічні, електро- та електронно-механічні пристрої та споруди, спеціально призначені для створення фізичних перешкод на можливих шляхахпроникнення та доступу потенційних порушників до компонентів інформаційної системита інформації, що охороняється. До переліку фізичних способів захисту інформації входять:

    • організація пропускного режиму;
    • організація обліку, зберігання, використання та знищення документів та носіїв з конфіденційною інформацією;
    • розподіл реквізитів розмежування доступу;
    • організація прихованого контролю над діяльністю користувачів та обслуговуючого персоналу інформаційної системи;
    • заходи, які здійснюються при проектуванні, розробці, ремонті та модифікаціях апаратного та програмного забезпечення.

    Коли фізичні та технічні засоби недоступні, застосовуються адміністративні заходи забезпечення інформаційної безпеки. Досвід функціонування організацій з складною організацієюінформаційної системи показав, що найкращі результатиу досягненні інформаційної безпеки досягаються під час використання системного підходу.

    Чому в СМБ ризики у сфері ІБ високі

    Багато керівників малого бізнесу недооцінюють важливість інформаційної безпеки, вважаючи, що невеликі компаніїне такі цікаві хакерам, як великі. Це помилка. Малий бізнес дуже привабливий для інтернет-шахраїв. Насамперед тим, що не надто переймається інформаційною безпекою.

    Не на кожному малому підприємстві в штаті є фахівець з інформаційних технологій, проте часто зустрічаються нелегальне програмне забезпечення, «лівий» антивірус. Дані можуть зберігатись у загальнодоступних папках, ключі від системи дистанційного банківського обслуговування (ДБО) – у ящику столу керівника. Підвищує ризик витоку корпоративної інформації та використання в роботі смартфонів та планшетів.

    Як показує аналіз інцидентів, що виникають, зловмисники, як правило, не полюють на якусь конкретну компанію, «нацьковуючи» віруси на всіх, хто потрапить під руку.

    І ті, хто захищений менше або не захищений зовсім, стають першими «жертвами» хакерів, які, проникаючи в інформаційну мережукомпанії, викрадають секретні ключі, дані про операції чи клієнтів», – зазначає Олег Ілюхін, директор департаменту інформаційних технологій «СДМ-Банку».

    Правила безпеки

    Є кілька обов'язкових правил інформаційної безпеки, яких дотримуватись просто необхідно (2014 р.).

    Заслін від вірусів та спаму

    Заслін для вірусів та спаму. Найбільшу загрозу безпеці компанії, за даними експертів, становить шкідливе програмне забезпечення. На серпень 2014 року щодня з'являється близько 200 тис. нових його зразків. За даними учасників ІБ-ринку, в 2013 році 95% російських компаній щонайменше один раз зазнали хакерської атаки. Не менш серйозною загрозою є витік через незахищений обмін корпоративною інформацієючерез мобільні пристроїспівробітників.

    Щоб запобігти виникненню цих загроз, необхідно відмовитися від «лівого» софту, встановити файрвол і сучасний антивірус, регулярно оновлювати його.

    Башкирський державний аграрний університет

    Анотація:

    Ця стаття присвячена розвитку інформаційних технологій та актуальності якісного забезпечення інформаційної безпеки в сучасному світі. У статті розглядаються проблеми захисту інформації у комп'ютерних мережах та шляхи їх вирішення.

    Це article focuses on development of information technology and the relevance of qualitative information security in today's world. The article deals with the problems of information security in computer networks and solutions.

    Ключові слова:

    інформація; захист інформації; безпека

    information; data protection; security

    УДК 004.056.57

    Сучасне життя повністю пов'язане з використанням інформаційних технологій. Комп'ютери допомагають людині робити покупки, оплачувати рахунки, робити операції, проводити дослідження, керувати електростанціями та космічними апаратами. У кожного з нас є вдома комп'ютер або ноутбук. Ми користуємось смартфонами і т.д. Крім цивільного використання, комп'ютери допомагають у забезпеченні оборони та безпеки держави. І цей текст теж було набрано на комп'ютері.

    Але у кожної медалі дві сторони, і у даному випадкудругою стороною є те, що саме найвищий ступінь автоматизації, до якої прагне сучасне суспільство, ставить їх у залежність від рівня безпеки використовуваних інформаційних технологій. Від них залежить добробут та життя людей. Масове застосуваннякомп'ютерних систем, що дозволило вирішити задачу автоматизації процесів обробки постійно наростаючих обсягів інформації, зробило ці процеси надзвичайно вразливими до агресивних впливів і поставило перед споживачами інформаційних технологій нову проблему — проблему інформаційної безпеки.

    Знайти приклади, які можуть підтвердити злободенність даний проблемиможна в безлічі знайти в мережі Інтернет. Наприклад, це зломи сайтів спецслужб та різних міністерств, зломи акаунтів публічних людей, крадіжка грошових коштівз рахунків, крадіжка конфіденційної інформації. Існує безліч різних вірусних програм. У Росії понад 60% всього програмного забезпечення, що використовується, є «піратським». Домашні користувачі дуже рідко купують дорогі Операційні системидля своїх особистих комп'ютерівволіючи завантажити їх на торрентах.

    Кожен злом, кожен вірус, кожен збій – це збитки для атакованих компаній. Втрати можуть обчислюватися сотнями мільйонів доларів. Плюс репутаційні втрати. Але часто причинами збоїв або вірусних атакє не міфічні злісні хакери, а свої ж працівники. Випадкові чи навмисні помилки, недбалість - всі ці проблеми теж є сферою інтересів інформаційної безпеки.

    Ситуація, що склалася у сфері безпеки інформаційних технологій, ще раз підтверджує давно відому неприємну особливість технічного прогресу породжувати в ході вирішення одних проблем нові, іноді навіть складніші.

    Все перераховане вище явно підкреслюють актуальність захищеної обробки інформації. Необхідність побудови якісних систем забезпечення інформаційної безпеки є важливим проблемою сучасного суспільства.

    Взагалі в інформаційних технологіях поняття безпеки передбачає збереження трьох основних характеристик інформації - доступність, цілісність, конфіденційність. Це так звана класична тріада інформаційної безпеки. Для збереження кожної з характеристик інформації потрібний свій підхід, своє рішення. Це породжує нові проблеми, оскільки потрібно дотримуватися балансу. Наприклад, якщо спалити секретні документи, то конфіденційність інформації, що знаходилася в них, буде стовідсоткова. Але явно страждають і доступність, і цілісність.

    Звісно, ​​у багатьох країнах інформаційна безпека в організаціях регламентується державою. Але для виконання всіх законів необхідно розуміти, як саме їх виконувати і якою мірою. Тому всі проблеми захисту не вирішити простим прочитанням чергового нормативного акта.

    Однією з проблем інформаційної безпеки, яка досить гостро постає перед різними організаціями, є захист конфіденційної інформації, що знаходиться в комп'ютерні системиЗахист інформації в комп'ютерних системах має ряд специфічних особливостей, пов'язаних з тим, що інформація не є жорстко пов'язаною з носієм, може легко і швидко копіюватися і передаватися каналами зв'язку. Відомо дуже багато загроз інформації, які можуть бути реалізовані як з боку зовнішніх порушників, так і з боку внутрішніх порушників.

    У процесі передачі інформації з комп'ютерним мережамможуть виникнути наступні проблемиз її безпекою:

    Крадіжка інформації - цілісність інформації зберігається, та її конфіденційність порушена;

    Модифікація інформації - передана інформація якимось чином змінюється, і адресат може мати зовсім інше повідомлення. Тобто відбувається порушення цілісності інформації;

    Блокування інформації – наприклад, у процесі DDoS-атаки на сайт у мережі Інтернет. Відбувається порушення доступності інформації;

    І це лише деякі із загроз безпеці інформації, які необхідно усунути.

    Криптографія є одним із найдієвіших методів захисту інформації. Сучасні алгоритми шифрування настільки потужні, що для їхнього злому потрібні мільйони років. У той же час вони практично ніяк не впливають на продуктивність. автоматизованої системи. Криптографічні перетворення даних є найбільш ефективним засобомзабезпечення конфіденційності даних. Для перевірки цілісності та справжності переданої інформаціїможна використовувати електронний підпис. До того ж електронний підписзручна тим, що може замінювати реальний підпис у сучасному документообігу організації.

    Для захисту інформації також використовують такий метод, як розмежування доступу. Різні користувачінаділяються різними правами щодо доступу до інформації, що захищається, залежно від спектра виконуваних ним завдань. Наприклад, правами системного адміністратораточно не слід наділяти всіх працівників організації. Хтось із них обов'язково все порушить, свідомо чи випадково.

    Зверніть увагу на захист мережі від несанкціонованого доступу. Для цього використовують міжмережеві екрани. Зазвичай їх встановлюють межі локальної мережі підприємства міста і мережею Інтернет. У цьому випадку взагалі рекомендується ставити два міжмережевого екрану. Один на кордоні мережі Інтернет та власною мережею, а другий - між власною мережею та тим сегментом мережі, де циркулює конфіденційна інформація.

    Перерахований список методів захисту є далеко не повним. Є ще й позначення контрольованої зони, інженерно-технічна охорона приміщення, де відбувається обробка конфіденційної інформації, обмеження доступу до цього приміщення тощо. Не існує якогось одного рішення, якоїсь панацеї від усіх бід. Тільки використання широкого спектра методів забезпечення інформаційної безпеки здатне забезпечити надійний захист від різних загроз.

    Слід пам'ятати, що високий рівень захисту може призвести до низької ефективності роботи в мережі. Якщо оточити будівлю кількома парканами та пропускними пунктами, то поки співробітники дійдуть до своїх робочих місць, уже додому пора йтиме. Необхідно дотримуватися балансу в тій самій тріаді інформаційної безпеки. Не можна повністю пожертвувати одним на догоду.

    Бібліографічний список:


    1. Блінов А.М. Інформаційна безпека - СПб.: СПбГУЕФ, 2010 - 96 с.
    2. Петренко С.А., Курбатов В.А. Політики безпеки компанії під час роботи в інтернет - М.: ДМК-Прес, 2011 - 396 с.

    Рецензії:

    18.06.2015, 20:15 Груздєва Людмила Михайлівна
    Рецензія: На мій погляд, у статті викладено великі істини Не рекомендую статті до видання.

    20.06.2015, 21:12 Каменєв Олександр Юрійович
    Рецензія: Новини немає (ні наукової, ні технічної) На "аналіз" стаття також явно не тягне. Згоден із попереднім рецензентом. Не рекомендується друкувати.

    2.07.2015, 9:23 Кузьменко Ігор Миколайович
    Рецензія: Складається враження, що це не наукова роботаавтора, а реферат. Підростаючі вчені, прошу вас, пишіть не те, що ви знаєте з підручників, а те, що раніше раніше ніхто не піднімав. Ставте запитання, ставте їх так, як до вас ніхто не ставив і все у вас виходитиме. Успіхів! У такому вигляді, як є зараз – це не стаття. До публікації не рекомендую!

    Дорогі друзі!

    Інформаційні технології – один з сегментів світової економіки, що найбільш динамічно розвиваються, причому не тільки в технічному, а й в організаційно-правовому напрямку. Це твердження так само справедливе і для такої найважливішої складової цієї економічної галузі, як інформаційна безпека.

    Активна інтеграція Російської Федерації у світовий економічний простір не дозволяє керуватися виключно внутрішньодержавними законами, правилами і стандартами, змушує вітчизняний бізнес приміряти на себе кращі світові практики.

    У такій мінливій обстановці відсутність надійного провідника, здатного запропонувати якісні інструменти для вирішення нагальних завдань, істотно ускладнює досягнення позитивного результату або вимагає для цього застосування неадекватних результатів зусиль.

    Цю роль для тисяч професіоналів – від керівників служб безпеки найбільших компаній та державних установ до технічних фахівців – вже багато років успішно грає журнал «Захист інформації. Інсайд». Ми були, є і завжди будемо вашим вірним помічникомпід час вирішення завдань забезпечення інформаційної безпеки.

    Звертаю вашу увагу на те, що можна замовити у редакції, а також на наша нова пропозиція- Можливість замовити. Пропоновані матеріали розроблені фахівцями, які мають багаторічний практичним досвідомроботи та викладання в даній галузі. Їхня мета: отримання широким колом керівних працівників, які не мають попередньої підготовкита підпорядкованих ним служб безпеки державних та комерційних підприємствзнань із широкого кола питань у сфері захисту конфіденційної інформації.

    Сподіваюся, що всі ці матеріали виявляться вам значним підмогою у вирішенні нагальних завдань.

    Головний редактор
    С. А. Петренко

    Про журнал

    Журнал «Захист інформації. Інсайд» - це єдиний у Росії періодичний, науковий, інформаційно-методичний журнал у галузі захисту інформації.

    Журнал «Захист інформації. Інсайд» рішенням Вищої атестаційної комісії включено до Перелік наукових видань, що рецензуються, в яких мають бути опубліковані основні наукові результатидисертацій на здобуття наукового ступеня кандидата наук, на здобуття наукового ступеня доктора наук з наступних наукових спеціальностей.

    Передплатний індекс журналу за каталогами: , ,

    Головний редактор

    Петренко Сергій Анатолійович, лікар технічних наук, професор каф. ІБ СПбГЕТУ (ЛЕТИ)



    ПОХОДЖЕННЯ СТАТТІ