Сущность информационной безопасности - международный журнал. Информационная безопасность и защита информации простыми словами

Информационная безопасность в образовательной организации

Подготовила Бритикова Л. Г.

Когда речь заходит об информационной безопасности, обычно мы начинаем думать о компьютерах, сетях, интернете и хакерах. Но для образовательной среды проблема стоит шире: в ограждении учащегося от информации, которая может негативно повлиять на его формирование и развитие, то есть о пропаганде различной направленности.

Понятие информационной безопасности

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

Доступность (возможность за разумное время получить требуемую информационную услугу);

Целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

Конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

Аппаратные средства. Это компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - принтеры, контроллеры, кабели, линии связи и т.д.);

Программное обеспечение. Это приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

Данные ,хранимые временно и постоянно, на дисках, флэшках, печатные, архивы, системные журналы и т.д.;

Персонал . Пользователи, системные администраторы, программисты и др.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:

Аварийные ситуации из-за стихийных бедствий и отключений электропитания;

Отказы и сбои аппаратуры;

Ошибки в программном обеспечении;

Ошибки в работе персонала;

Помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:

Недовольством служащего своей карьерой;

Взяткой;

Любопытством;

Конкурентной борьбой;

Стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

Квалификация нарушителя на уровне разработчика данной системы;

Нарушителем может быть как постороннее лицо, так и законный пользователь системы;

Нарушителю известна информация о принципах работы системы;

нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ. Несанкционированный доступ использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Проведем классификацию каналов несанкционированного доступа, по которым можно осуществить хищение, изменение или уничтожение информации:

Через человека:

Хищение носителей информации;

Чтение информации с экрана или клавиатуры;

Чтение информации из распечатки.

Через программу:

Перехват паролей;

Дешифровка зашифрованной информации;

Копирование информации с носителя.

Через аппаратуру:

Подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;

Перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки. Нарушитель может находиться за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.

Обеспечение информационной безопасности

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

1. Законодательный. Это законы, нормативные акты, стандарты и т.п.

Нормативно-правовая база определяющая порядок защиты информации:
.

В соответствии с данной статьей защита информации представляет собой принятие правовых, организационных и технических мер. Меры должны быть направлены на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.
Ст. 9 Федерального закона № 149-ФЗ, п. 5 гласит "Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению такой информации. Такая обязанность возлагается Трудовым кодексом РФ (далее – ТК РФ), гл. 14 которого определяет защиту персональных данных работника. В соответствии со статьей ТК РФ: "Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами. Для развития данных положений в РФ принят Федеральный закон № 152-ФЗ РФ «О персональных данных», который вступил в силу с 1 января 2008 г. Его основной целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайны. Статья 3 данного закона определяет: "Персональные данные - любая информация, относящаяся к определенному или неопределенному на основании такой информации лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественной положение, другая информация"

, согласно которому содержание и художественное оформление информации, предназначенной для обучения детей в дошкольных образовательных учреждениях, должны соответствовать содержанию и художественному оформлению информации для детей данного возраста. А также в соответствии с Федеральным законом «Об основных гарантиях прав ребенка» образовательные учреждения обязаны ограничивать доступ учащихся к ресурсам сети Интернет, пропагандирующим насилие и жестокость, порнографию, наркоманию, токсикоманию, антиобщественное поведение.

2. Морально-этический . Всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации.

3. Административный . Действия общего характера, предпринимаемые руководством организации. Такими документами могут быть:

 приказ руководителя о назначении ответственного за обеспечение информационной безопасности;
 должностные обязанности ответственного за обеспечение информационной безопасности;
 перечень защищаемых информационных ресурсов и баз данных;
инструкцию, определяющую порядок предоставления информации сторонним организациям по их запросам, а также по правам доступа к ней сотрудников организации.

4. Физический . Механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей.

5. Аппаратно-программный (электронные устройства и специальные программы защиты информации).

Принятые меры по созданию безопасной информационной системы в школе :
Обеспечена защита компьютеров от внешних несанкционированных воздействий (компьютерные вирусы, логические бомбы, атаки хакеров и т. д.)
Установлен строгий контроль за электронной почтой, обеспечен постоянный контроль за входящей и исходящей корреспонденцией.
Установлены соответствующие пароли на персональные ЭВМ
Использованы контент-фильтры, для фильтрации сайтов по их содержимому.

Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.

Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать. Под защитой должна находиться вся система обработки информации.

Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.

Надежная система защиты должна быть полностью протестирована и согласована. Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.

В заключение своего доклада хотелось бы дать некоторые рекомендации по организации работы в информационном пространстве, чтобы уберечь себя и своих близких от интернет-преступников.

1. Перед началом работы необходимо четко сформулировать цель и вопрос поиска информации.

2. Желательно выработать оптимальный алгоритм поиска информации в сети Интернет, что значительно сократит время и силы, затраченные на поиск.

3. Заранее установить временный лимит (2-3 часа) работы в информационном пространстве (просмотр телепередачи, чтение, Интернет).

4. Во время работы необходимо делать перерыв на 5-10 минут для снятия физического напряжения и зрительной нагрузки.

5. Необходимо знать 3-4 упражнения для снятия зрительного напряжения и физической усталости.

6. Работать в хорошо проветренном помещении, при оптимальном освещении и в удобной позе.

7. Не стоит легкомысленно обращаться со спам-письмами и заходить на небезопасные веб-сайты. Для интернет-преступников вы становитесь лёгкой добычей.

9. Не используйте в логине или пароле персональные данные.

10. Все это позволяет интернет-преступникам получить данные доступа к аккаунтам электронной почты, а также инфицировать домашние ПК для включения их в бот-сеть или для похищения банковских данных родителей.

11. Создайте собственный профиль на компьютере, чтобы обезопасить информацию, хранящуюся на нем.

12. Не забывайте, что факты, о которых вы узнаете в Интернете, нужно очень хорошо проверить, если выбудете использовать их в своей домашней работе. Целесообразно сравнить три источника информации, прежде чем решить, каким источникам можно доверять.

13. О достоверности информации, помещенной на сайте можно судить по самому сайту, узнав об авторах сайта.

14. Размещая информацию о себе, своих близких и знакомых на страницах социальных сетей, спросите предварительно разрешение у тех, о ком будет эта информация.

15. Не следует размещать на страницах веб-сайтов свои фотографии и фотографии своих близких и знакомых, за которые вам потом может быть стыдно.

16. Соблюдайте правила этики при общении в Интернете: грубость провоцирует других на такое же поведение.

17. Используя в своей работе материал, взятый из информационного источника (книга, периодическая печать, Интернет), следует указать этот источник информации или сделать на него ссылку, если материал был вами переработан.

ТОГБОУ "Школа – интернат для обучающихся с ограниченными возможностями здоровья"

Доклад

"Информационная безопасность в образовательной организации"

Подготовила Бритикова Л. Г.

Тамбов 2016г.

Бостанова Л.К.

к.п.н., доцент кафедры экономики,менеджмента и финансового права КЧф РГСУ в г.Черкесске

Виды и особенности угроз информационной безопасности

Аннотация

В работе рассматривается проблема обеспечения информационной безопасности. Её решение предполагает изучение форм, способов и методов выявления и предупреждения опасности в информационной сфере.

Ключевые слова : Информация, информационные технологии, информационная безопасность

Information, information technologies, information security

Быстрое развитие и повсеместное проникновение информационных технологий в самые различные сферы деловой деятельности привело к тому, что компьютерная информация в настоящее время может иметь вполне определенный стоимостный вес, показателями которого может являться как прибыль, получаемая при ее использовании, так и размеры ущерба, наносимого владельцу информационных ресурсов или пользователям при нарушении установленных правил работы с информацией. Поэтому одной из важнейших проблем развития информационных технологий является надежное обеспечение информационной безопасности.

Обеспечение информационной безопасности, под которой понимается состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз, представляется весьма важной задачей. Ее решение предполагает изучение форм, способов и методов выявления и предупреждения опасности в информационной сфере.

Деятельность субъектов по защите охраняемой обладателем информации связана главным образом с предупреждением утечки охраняемых секретов, т.е. правовая охрана и защита информации, включающей, государственную тайну и конфиденциальную информацию с ограниченным доступом. в «Перечне сведений конфиденциального характера», утвержденном Указом Президента РФ от 6 марта 1997 года № 188, приведены следующие виды конфиденциальной информации: служебная тайна, персональные данные, тайна следствия и судопроизводства, коммерческая тайна, тайна сущности изобретения до момента опубликования, профессиональная тайна. В то же время целый ряд действующих нормативно-правовых документов определяет еще несколько типов тайн, как видов конфиденциальной информации.

Поскольку этот вопрос имеет немалое практическое значение для обеспечения информационной безопасности предприятия, а неподготовленному человеку совсем непросто разобраться в множестве специфических документов, ниже приводится перечень некоторых видов конфиденциальной информации, определенных в гражданском законодательстве РФ и в законах, имеющих отношение к сфере информационной безопасности.

Информация о гражданах (персональные данные). Сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность (ст. 2 закона «Об информации, информатизации и защите информацию»).

Служебная тайна. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом или иными правовыми актами (ст. 139 ГК РФ).

Тайна усыновления ребенка. Тайна усыновления ребенка охраняется законом (ст. 139 Семейного кодекса РФ).

Геологическая информация о недрах. Информация о геологическом строении недр, находящихся в них полезных ископаемых, условиях их разработки, а также иных качествах и особенностях недр, содержащаяся в геологических отчетах, картах и иных материалах, является собственностью заказчика, финансировавшего работы, в результате которых получена данная информация, если иное не предусмотрено лицензией на пользование недрами (ст. 27 закона «О недрах»).

Налоговая тайна. Налоговую тайну составляют любые полученные налоговым органом сведения о налогоплательщике, за исключением сведений, определенных в ст. 102 Налогового кодекса РФ.

Служебная информация о рынке ценных бумаг. Служебной информацией… признается любая не являющаяся общедоступной информация об эмитенте и выпущенных им эмиссионных ценных бумагах, которая ставит лиц, обладающих в силу своего служебного положения, трудовых обязанностей или договора, заключенного с эмитентом, такой информацией, в преимущественное положение по сравнению с другими субъектами рынка ценных бумаг (ст. 31 закона «О рынке ценных бумаг»).

Врачебная тайна. Информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений (ст. 61 Основ законодательства Российской Федерации «Об охране здоровья граждан»).

Тайна связи. Тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, охраняется Конституцией Российской Федерации (ст. 32 закона «О связи»).

Нотариальная тайна. Нотариус обязан хранить в тайне сведения, которые стали ему известны в связи с осуществлением его профессиональной деятельности (ст. 16 Основ законодательства Российской Федерации «О нотариате»).

Адвокатская тайна. Адвокат не вправе разглашать сведения, сообщенные ему доверителем в связи с оказанием юридической помощи (ст. 15, ст. 16 «Положения об адвокатуре СССР»).

Журналистская тайна. Редакция не вправе разглашать в распространяемых сообщениях и материалах сведения, предоставленные гражданином с условием сохранения их в тайне. Редакция обязана сохранять в тайне источник информации и не вправе называть лицо, предоставившее гражданином с условием неразглашения его имени, за исключением случая, когда соответствующее требование поступило от суда в связи с находящимся в его производстве делом (ст. 41 закона «О средствах массовой информацию).

Коммерческая тайна. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом или иными правовыми актами (ст. 139 ГК РФ).

Банковская тайна. Банк гарантирует тайну банковского счета и

банковского вклада, операций по счету и сведений о клиенте (ст. 857 ГК РФ).

Тайна страхования. Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц (ст. 946 ГК РФ).

Как видно из выше перечисленного, самым проработанным и обширно представленным во всех измерениях является аспект конфиденциальности информации. На ее страже стоят законы, нормативные акты, технические средства и многолетний опыт различных государственных структур. Однако обеспечение конфиденциальности информации - один из самых сложных в практической реализации аспект информационной безопасности.

Государственная тайна – согласно определению, принятому в российском законодательстве, защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной, оперативно-розыскной и иной деятельности, распространение которых может нанести ущерб безопасности государства.

Опасность утечки информации обусловлена тем, что она приводит к осведомленности иностранных государств, либо конкурентов в какой-либо отрасли с коммерческими секретами друг от друга, вследствие чего стране, отдельному предприятию или личности причиняется или может быть причинен ущерб. Это происходит в тех случаях, когда лицо совершает действие, либо бездействие, нарушающее правовые запреты, предусмотренные законами, подзаконными и корпоративными нормативными актами. Особую опасность в этом плане представляют деяния, связанные с разглашением информации и утратой документов, а также изделий, сведения о которых составляют государственную, служебную и коммерческую тайну. При совершении этих деяний, предусмотренных соответствующими статьями Уголовного кодекса РФ, наступает уголовная ответственность.

Утечка охраняемой информации становится возможной вследствие совершения нарушений режима секретности (конфиденциальности) работ, при выполнении которых используются документы и изделия с грифом «государственная тайна», «служебная тайна» и «коммерческая тайна».

Каналы утечки информации можно разбить на четыре группы.

1-я группа - каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы. К этой группе относятся каналы образующиеся за счет:

Дистанционного скрытого видео наблюдения или фотографирования;

Применения подслушивающих устройств;

Перехвата электромагнитных излучений и наводок и т.д.

2-я группа - каналы, связанные с доступом к элементам системы и изменением структуры ее компонентов. К ней относятся:

Наблюдение за информацией в процессе обработки с целью ее запоминания;

Хищение носителей информации;

Сбор производственных отходов, содержащих обрабатываемую информацию;

Преднамеренное считывание данных из файлов других пользователей;

Чтение остаточной информации, т.е. данных, остающихся на магнитных носителях после выполнения заданий;

Копирование носителей информации;

Преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей;

Маскировка под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки;

Использование для доступа к информации так называемых «люков», «дыр» и «лазеек», т.е. возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения.

3-я группа, которая включает:

Незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи);

Злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;

Злоумышленный вывод из строя механизмов защиты.

4-я группа, к которой относятся:

Несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб;

Получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персона или родственников, знающих о роде деятельности.

Поэтому необходимы такие мероприятия, которые обеспечат работников службы безопасности, главных конструкторов, руководителей и других необходимыми научными знаниями по обнаружению возможных каналов утечки охраняемой информации, причин и обстоятельств, способствующих этому явлению и разработке мер по их предупреждению.

Необходимо также учитывать критерии информации (полнота-сумма ретроспективной и текущей информации, избыточность, полезность, ценность), учет которых необходим для разработки эффективных дополнительных мер защиты охраняемых секретов.

В обеспечении информационной безопасности нуждаются четыре существенно разные категории субъектов:

Государство в целом;

Государственные организации;

Коммерческие структуры;

Отдельные граждане, Рассмотрим особенности мер по обеспечению информационной безопасности на различных уровнях ее обеспечения.

На концептуально-политическом уровне принимаются документы, в которых определяются направления государственной политики информационной безопасности, формулируются цели и задачи обеспечения информационной безопасности всех перечисленных выше субъектов и намечаются пути и средства достижения поставленных целей и решения задач.

На законодательном уровне создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения информационной безопасности, отражаемых в законах и других правовых актах (указы Президента, постановления Правительства и др.).

На нормативно-техническом уровне разрабатываются стандарты, руководящие материалы, методические материалы и другие документы, регламентирующие процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности.

На уровне предприятия осуществляются конкретные меры по обеспечению информационной безопасности деловой деятельности. Их конкретный состав и содержание во многом определяется особенностями конкретного предприятия или организации.

Информационная безопасность - многогранная, можно сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход. Без надежных мер информационной безопасности любое современное предприятие становится беззащитным перед неправомерными действиями не только внешних злоумышленников, но и собственных сотрудников.

Литература

1 Северин В.А. Правовое обеспечение информационной безопасности предприятия: Учебно-практическое пособие. М.: Городец, 2000.

2 Михеева Е.В. Информационные технологии в профессиональной деятельности: учеб.пособие. – М.: Проспект, 2010.

Башкирский государственный аграрный университет

Аннотация:

Данная статья посвящена развитию информационных технологий и актуальности качественного обеспечения информационной безопасности в современном мире. В статье рассматриваются проблемы защиты информации в компьютерных сетях и пути их решения.

This article focuses on the development of information technologies and the relevance of qualitative information security in today"s world. The article deals with the problems of information security in computer networks and solutions.

Ключевые слова:

информация; защита информации; безопасность

information; data protection; security

УДК 004.056.57

Современная жизнь полностью завязана на использовании информационных технологий. Компьютеры помогают человеку совершать покупки, оплачивать счета, делать операции, проводить исследования, управлять электростанциями и космическими аппаратами. У каждого из нас есть дома компьютер, либо ноутбук. Мы пользуемся смартфонами и т.д. Помимо гражданского использования, компьютеры помогают в обеспечении обороны и безопасности государства. И этот текст тоже был набран на компьютере.

Но у каждой медали две стороны, и в данном случае второй стороной является то, что именно высочайшая степень автоматизации, к которой стремится современное общество, ставит его в зависимость от уровня безопасности используемых информационных технологий. От них зависит благополучие и жизнь людей. Массовое применение компьютерных систем, позволившее решить задачу автоматизации процессов обработки постоянно нарастающих объемов информации, сделало эти процессы чрезвычайно уязвимыми по отношению к агрессивным воздействиям и поставило перед потребителями информационных технологий новую проблему, — проблему информационной безопасности.

Найти примеры, которые могут подтвердить злободневность данный проблемы можно в бесчисленном множестве найти в сети Интернет. Например, это взломы сайтов спецслужб и различных министерств, взломы аккаунтов публичных людей, кража денежных средств со счетов, кража конфиденциальной информации. Существует множество различных вирусных программ. В России более 60% всего используемого программного обеспечения является «пиратским». Домашние пользователи очень редко покупают дорогостоящие операционные системы для своих личных компьютеров, предпочитая скачать их на торрентах.

Каждый взлом, каждый вирус, каждый сбой - это убытки для атакованных компаний. Потери могут исчисляться сотнями миллионов долларов. Плюс репутационные потери. Но зачастую причинами сбоев или вирусных атак являются не мифические злобные хакеры, а свои же сотрудники. Случайные или намеренные ошибки, халатность - все эти проблемы тоже являются сферой интересов информационной безопасности.

Сложившаяся в сфере безопасности информационных технологий ситуация еще раз подтверждает давно известную неприятную особенность технического прогресса порождать в ходе решения одних проблем новые, иногда даже более сложные.

Все вышеперечисленное явно подчеркивают актуальность защищенной обработки информации. Необходимость построения качественных систем обеспечения информационной безопасности является важнейшей проблемой современного общества.

Вообще в информационных технологиях понятие безопасности подразумевает под собой сохранение трех основных характеристик информации - доступность, целостность, конфиденциальность. Это так называемая классическая триада информационной безопасности. Для сохранения каждой из характеристик информации необходим свой подход, свое решение. Это порождает новые проблемы, так как нужно соблюдать баланс. Например, если сжечь секретные документы, то конфиденциальность находившейся в них информации будет стопроцентная. Но явно страдают и доступность, и целостность.

Конечно, во многих странах информационная безопасность в организациях регламентируется государством. Но для выполнения всех законов необходимо понимать, как именно их выполнять и в какой степени. Поэтому все проблемы защиты информации не решить простым прочтением очередного нормативного акта.

Одной из проблем информационной безопасности, которая достаточно остро стоит перед различными организациями, является защита конфиденциальной информации, находящейся в компьютерных системах, отнесанкционированного доступа.Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних нарушителей, так и со стороны внутренних нарушителей.

В процессе передачи информации по компьютерным сетям могут возникнуть следующие проблемы с ее безопасностью:

Кража информации - целостность информации сохраняется, но её конфиденциальность нарушена;

Модификация информации - переданная информация неким образом изменяется, и адресат может получит совершенно другое сообщение. То есть происходит нарушение целостности информации;

Блокирование информации - например, в процессе DDoS-атаки на сайт в сети Интернет. Происходит нарушение доступности информации;

И это лишь некоторые из угроз безопасности информации, которые необходимо устранить.

Криптография является одним из самых действенных методов защиты информации. Современные алгоритмы шифрования настолько мощные, что для их взлома требуются миллионы лет. В то же время, они практически никак не влияют на производительность автоматизированной системы. Криптографические преобразования данных являются наиболее эффективным средством обеспечения конфиденциальности данных. Для проверки целостности и подлинности передаваемой информации можно использовать электронную подпись. К тому же электронная подпись удобна тем, что она может заменять реальную подпись в современном документообороте организации.

Для защиты информации также используют такой метод, как разграничение доступа. Разные пользователи наделяются разными правами по доступу к защищаемой информации, в зависимости от спектра выполняемых им задач. Например, правами системного администратора точно не следует наделять всех сотрудников организации. Кто-нибудь из них обязательно все порушит, сознательно или случайно.

Следует обратить внимание на защиту сети от несанкционированного доступа. Для этого используют межсетевые экраны. Обычно их устанавливают на границе локальной сети предприятия и сетью Интернет. В этом случае вообще рекомендуется ставить два межсетевых экрана. Один на границе сети Интернет и собственной сетью, а второй - между собственной сетью и тем сегментом сети, где циркулирует конфиденциальная информация.

Перечисленный список методов защиты информации является далеко не полным. Есть еще и обозначение контролируемой зоны, инженерно-техническая охрана помещения, где происходит обработка конфиденциальной информации, ограничение доступа в это помещение и т.д. Не существует какого-то одного решения, некой панацеи от всех бед. Только использование обширного спектра методов обеспечения информационной безопасности способно обеспечитьнадежную защиту от различных угроз.

Следует помнить о том, что высокая степень защиты может привести к низкой эффективности работы в сети. Если окружить здание несколькими заборами и пропускными пунктами, то пока сотрудники дойдут до своих рабочих мест уже домой пора будет идти. Необходимо соблюдать баланс в той самой триаде информационной безопасности. Нельзя полностью пожертвовать одним в угоду.

Библиографический список:

1. Блинов А.М. Информационная безопасность – СПб.: СПбГУЭФ, 2010 – 96 с.
2. Петренко С.А., Курбатов В.А. Политики безопасности компании при работе в интернет – М.: ДМК-Пресс, 2011 – 396 с.

Рецензии:

18.06.2015, 20:15 Груздева Людмила Михайловна
Рецензия : На мой взгляд, в статье изложены прописные истины. Не рекомендую статью к изданию.

20.06.2015, 21:12 Каменев Александр Юрьевич
Рецензия : Новизны нет (ни научной, ни технической). На "анализ" статья также явно не тянет. Согласен с предыдущим рецензентом. К печати не рекомендуется.

2.07.2015, 9:23 Кузьменко Игорь Николаевич
Рецензия : Складывается впечатление, что это не научная работа автора, а реферат. Подрастающие ученые, прошу вас, пишите не то, что вы знаете из учебников, а то, что до вас ранее никто не поднимал. Задавайте вопросы, ставьте их так, как до вас никто не ставил и все у вас будет получаться. Удачи! В таком виде, как есть сейчас - это не статья. К публикации не рекомендую!

Дорогие друзья!

Информационные технологии – один из наиболее динамично развивающихся сегментов мировой экономики, причем не только в техническом, но и в организационно-правовом направлении. Данное утверждение столь же справедливо и для такой важнейшей составляющей этой экономической отрасли, как информационная безопасность.

Активная интеграция Российской Федерации в мировое экономическое пространство не позволяет более руководствоваться исключительно внутригосударственными законами, правилами и стандартами, заставляет отечественный бизнес примеривать на себя лучшие мировые практики.

В столь стремительно меняющейся обстановке отсутствие надежного проводника, способного предложить качественные инструменты для решения насущных задач, существенно осложняет достижение положительного результата или же требует для этого применения неадекватных итогу усилий.

Эту роль для тысяч профессионалов – от руководителей служб безопасности крупнейших компаний и государственных учреждений до технических специалистов – уже многие годы с успехом играет журнал «Защита информации. Инсайд». Мы были, есть и всегда будем вашим верным помощником при решении задач обеспечения информационной безопасности.

Обращаю ваше внимание на то, что можно заказать в редакции, а также на наше новое предложение – возможность заказать . Предлагаемые материалы разработаны специалистами, обладающими многолетним практическим опытом работы и преподавания в данной области. Их цель: получение широким кругом руководящих работников, не имеющих предварительной подготовки и подчиненных им служб безопасности государственных и коммерческих предприятий знаний по широкому кругу вопросов в сфере защиты конфиденциальной информации.

Надеюсь, что все эти материалы окажутся для вас значимым подспорьем в решении насущных задач.

Главный редактор
С. А. Петренко

О журнале

Журнал «Защита информации. Инсайд» — это единственный в России периодический, научный, информационно-методический журнал в области защиты информации.

Журнал «Защита информации. Инсайд» решением Высшей аттестационной комиссии включен в Перечень рецензируемых научных изданий , в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени кандидата наук, на соискание ученой степени доктора наук по следующим научным специальностям .

Подписной индекс журнала по каталогам: , ,

Главный редактор

Петренко Сергей Анатольевич , доктор технических наук, профессор каф. ИБ СПбГЭТУ (ЛЭТИ)

Сбор, обработка, хранение и использование персональных данных осуществляются во многих сферах деятельности общества и государства. Например, в финансовой и налоговой сфере, при пенсионном, социальном и медицинском страховании, в оперативно-розыскной деятельности, трудовой и других областях общественной жизни.

В различных сферах деятельности под персональными данными понимаются часто не совпадающие наборы сведений. Определения персональных данных содержатся в различных федеральных законах, причем объем сведений определяется в них по разному.

С развитием информационных технологий всё большее значение приобретает защита коммерческой информации, позволяющая компании поддерживать конкурентоспособность своих товаров, организовывать работу с партнерами и клиентами, снижать риски возникновения санкций со стороны регуляторов.

Защитить коммерческую тайну компании и привлечь виновных в разглашении к ответственности возможно, введя режим коммерческой тайны, т. е. приняв правовые, организационные и технические меры по охране конфиденциальности информации.

На сегодняшний день вирусные атаки по-прежнему происходят с пугающей частотой. Самыми эффективными являются атаки, осуществляемые с использованием файлов, открываемых обычными приложениями. Например, вредоносный код может содержаться в файлах Microsoft Word или PDF-документах. Такая атака называется эксплойтом и не всегда определяется обычным антивирусом.

Palo Alto Networks Traps обеспечивает расширенную защиту рабочих станций от целенаправленных вредоносных атак, предотвращает эксплуатацию уязвимостей операционной системы и приложений.

О журнале

Главный редактор

Рекомендации по защите информации при работе в системах ДБО