Информационная безопасность

Введение

Актуальность темы исследования обусловлена, прежде всего, быстро растущими технологическими возможностями современных информационных систем, которые по своему влиянию на политику, хозяйственно-экономическую жизнь, духовно-идеологическую сферу людей стали в настоящее время решающими и всеохватывающими. В современных условиях информационная безопасность становится важнейшим базовым элементом всей системы национальной безопасности российского государства.1. Понятие информационной безопасности     Термин  «информация» разные науки определяют различными способами. Так, например, в  философии информация рассматривается  как свойство материальных объектов и процессов сохранять и порождать определённое состояние, которое в различных вещественно-энергетических формах может быть передано от одного объекта к другому. В кибернетике информацией принято называть меру устранения неопределённости. Под информацией в дальнейшем будет пониматься всё то, что может быть представлено в символах конечного (например, бинарного) алфавита.     Такое определение может показаться несколько  непривычным. В то же время оно  естественным образом вытекает из базовых  архитектурных принципов современной  вычислительной техники. Действительно, мы ограничиваемся вопросами информационной безопасности автоматизированных систем – а всё то, что обрабатывается с помощью современной вычислительной техники, представляется в двоичном виде.     Предметом рассмотрения являются автоматизированные системы. Под автоматизированной системой обработки информации (АС) понимается совокупность следующих объектов: средств вычислительной техники; программного обеспечения; каналов связи; информации на различных носителях; персонала и пользователей системы.     На практике информационная безопасность обычно рассматривается как совокупность следующих трёх базовых свойств защищаемой информации: конфиденциальность, означающая, что доступ к информации могут получить только легальные пользователи; целостность, обеспечивающая, что во-первых, защищаемая информация может быть изменена только законными и имеющими соответствующие полномочия пользователями, а во-вторых, информация внутренне непротиворечива и (если данное свойство применимо) отражает реальное положение вещей; доступность, гарантирующая беспрепятственный доступ к защищаемой информации для законных пользователей.     Деятельность, направленную на обеспечение информационной безопасности, принято называть защитой информации.         Сервисы сетевой безопасности представляют собой механизмы защиты информации, обрабатываемой в распределённых вычислительных системах и сетях.     Инженерно–технические методы ставят своей целью обеспечение защиты информации от утечки по техническим каналам – например, за счёт перехвата электромагнитного излучения или речевой информации.    Правовые  и организационные методы защиты информации создают нормативную базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности.     Теоретические методы обеспечения информационной безопасности, в свою очередь, решают две основных задачи. Первая из них – это формализация разного рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе – а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача – строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации.2. Угрозы информационной безопасности     При формулировании определения информационной безопасности АС было упомянуто понятие  угрозы. Остановимся на нём несколько подробнее.     Классификация угроз может быть проведена по множеству признаков. Далее приведены наиболее распространённые из них.По природе возникновения принято выделять естественные и искусственные угрозы.     Естественными принято называть угрозы, возникшие в результате воздействия на АС объективных физических процессов или стихийных природных явлений, не зависящих от человека. В свою очередь, искусственные угрозы вызваны действием человеческого фактора.     Примерами естественных угроз могут служить  пожары, наводнения, цунами, землетрясения  и т.д. Неприятная особенность таких  угроз – чрезвычайная трудность  или даже невозможность их прогнозирования.По степени преднамеренности выделяют случайные и преднамеренные угрозы.     Случайные угрозы бывают обусловлены халатностью или непреднамеренными ошибками персонала. Преднамеренные угрозы обычно возникают в результате направленной деятельности злоумышленника.     В качестве примеров случайных угроз  можно привести непреднамеренный ввод ошибочных данных, неумышленную порчу  оборудования. Пример преднамеренной угрозы – проникновение злоумышленника на охраняемую территорию с нарушением установленных правил физического доступа.В зависимости от источника угрозы принято выделять:угрозы, источником которых является природная среда. Примеры таких угроз – пожары, наводнения и другие стихийные бедствия;угрозы, источником которых является человек. Примером такой угрозы может служить внедрение агентов в ряды персонала АС со стороны конкурирующей организации;угрозы, источником которых являются санкционированные программно-аппаратные средства. Пример такой угрозы – некомпетентное использование системных утилит;угрозы, источником которых являются несанкционированные программно-аппаратные средства. К таким угрозам можно отнести, например, внедрение в систему кейлоггеров.По положению источника угрозы выделяют:Угрозы, источник которых расположен вне контролируемой зоны. Примеры таких угроз – перехват побочных электромагнитных излучений (ПЭМИН) или  перехват данных, передаваемых по каналам  связи; дистанционная фото- и видеосъёмка; перехват акустической информации с  использованием направленных микрофонов.Угрозы, источник которых расположен в пределах контролируемой зоны. Примерами подобных угроз могут служить  применение подслушивающих устройств  или хищение носителей, содержащих конфиденциальную информацию.По степени воздействия на АС выделяют пассивные и активные угрозы. Пассивные угрозы при реализации не осуществляют никаких изменений в составе и структуре АС. Реализация  активных угроз, напротив, нарушает структуру  автоматизированной системы. Примером  пассивной угрозы может служить  несанкционированное копирование  файлов с данными.По способу доступа к ресурсам АС выделяют:Угрозы, использующие стандартный доступ. Пример такой угрозы – несанкционированное получение пароля путём подкупа, шантажа, угроз или физического насилия по отношению к законному обладателю.Угрозы, использующие нестандартный путь доступа. Пример такой угрозы – использование недекларированных возможностей средств защиты.     Критерии  классификации угроз можно продолжать, однако на практике чаще всего используется следующая основная классификация угроз, основывающаяся на трёх введённых ранее базовых свойствах защищаемой информации:Угрозы нарушения конфиденциальности информации, в результате реализации которых информация становится доступной субъекту, не располагающему полномочиями для ознакомления с ней.Угрозы нарушения целостности информации, к которым относится любое злонамеренное искажение информации, обрабатываемой с использованием АС.Угрозы нарушения доступности информации, возникающие в тех случаях, когда доступ к некоторому ресурсу АС для легальных пользователей блокируется.3. Государственное регулирование обеспечения информационной безопасностиАкты  федерального законодательства, регулирующие права и обязанности в сфере  информационной безопасности: Международные договоры РФ; Конституция РФ; Законы федерального уровня (включая федеральные конституционные законы, кодексы); Указы Президента РФ; Постановления правительства РФ; Нормативные правовые акты федеральных министерств и ведомств; Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.     К нормативно-методическим документам можно  отнести: Методические документы государственных органов России: доктрина информационной безопасности РФ; руководящие документы ФСТЭК (Гостехкомиссии России); приказы ФСБ.Стандарты информационной безопасности, из которых выделяют: международные стандарты; государственные (национальные) стандарты РФ; рекомендации по стандартизации; методические указания. В зависимости от приложения деятельности в области защиты информации (в  рамках государственных органов  власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.Государственные органы РФ, контролирующие деятельность в области защиты информации: Комитет Государственной думы по безопасности; Совет безопасности России; Федеральная служба по техническому и экспортному контролю (ФСТЭК России); Федеральная служба безопасности Российской Федерации (ФСБ России); Служба внешней разведки Российской Федерации (СВР России); Министерство обороны Российской Федерации (Минобороны России); Министерство внутренних дел Российской Федерации (МВД России); Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).Службы, организующие защиту информации на уровне предприятия: Служба экономической безопасности; Служба безопасности персонала (Режимный отдел); Отдел кадров; Служба информационной безопасности.

Заключение

Под информацией понимается всё то, что может быть представлено в символах конечного (например, бинарного) алфавита.     На  практике информационная безопасность обычно рассматривается как совокупность следующих трёх базовых свойств защищаемой информации: конфиденциальность, целостность, доступность.     В современном обществе защита информации занимает важную ступень. В законодательстве прописаны права и обязанности  граждан в сфере информационной безопасности. Кроме того, в правительстве  созданы специальные отделы, регулирующие правоотношение в описанной выше сфере.     Исходя  из этого, можно говорить о большом  значении информационной безопасности в современном мире.

Список литературы

1. Доктрина информационной безопасности Российской Федерации от 09.09.2000 № ПР 1895.2. Цирлов  В.Л. «Основы информационной безопасности автоматизированных систем». М.: Феникс, 2008. Стр.: 8-12.3. http://www.rffi.ru – Российский фонд фундаментальных исследований;4. http://bezopinfo.narod.ru/index.html - сайт об информационной безопасности;5. http://computer.damotvet.ru – Дам Ответ. Компьютерные и Интернет технологии;6. http://www.belks.by/ - БелКомпьютерСервис – портал компании.