Содержание
Введение |
3 |
1.Основы информационной
безопасности |
4 |
2.Органы, обеспечивающие
информационную безопасность |
7 |
3.Исторические аспекты возникновения
и развития информационной
безопасности |
10 |
4.Программно-технические
способы и средства обеспечения
информационной безопасности |
13 |
Заключение |
15 |
Список используемой литературы
|
19 |
Введение
В современности информационная
безопасность самое главное для
отношений в обществе. Общественность,
как и бизнес, должна, помимо раскрытия
и донесения нужной информации,
еще и обезопасить ту информацию,
которая имеет особый вес и
секретность. Но, много информации
скрывается государством за «шторами
секретности».Но, безопасность, на
то и безопасность, чтоб уберечь
и сохранить одну волну и
не затронуть те темы, которые
не являются достоверными. Существует
много законов и правил подачи
информации и термины безопасности.
Термин – «информационная безопасность»
имеет много характеристик. Это
и состояние защищённости информационной
среды, и защита информации, представляющая
собой деятельность по предотвращению
утечки защищаемой информации, процесс,
направленный на достижение этого
состояния.Информационная безопасность
организации – это состояние
защищённости информационной среды
организации, обеспечивающее её
формирование, использование и развитие.
1.Основы информационной
безопасности
Государство – это определенная
организация политической, государственной
власти в обществе, организация, не
совпадающая с самим обществом.
Но в обществе кроме государства
существуют и другие организации. Общество
– это исторически развивающаяся
совокупность отношений между людьми,
складывающаяся в процессе их жизнедеятельности.
Информация – результат взаимодействия
источника, среды передачи и приёмника
информации. В большинстве случаев,
информацией не является статическое
восприятие. Как информация воспринимается
объектом потребления, изменение состояния
источника информации или среда
её передачи – все это имеет
значение при ее получении. В узком
смысле слова, информацией можно
считать результат сравнения
одного с другим (дифференцирование).
Основная функция приёмника данных
– фильтрация, игнорирование шума
и выявление нового в бесконечном
потоке обычного. Информация необходима
для объектов, потребляющих её –
как средство обеспечения их существования,
позволяет реагировать на изменения
в окружающем мире. Информация делится
на множество типов: достоверная; непротиворечивая;
ложная; неправдоподобная. А так же существует
и своя охрана информации, называемая
информационная безопасность. Тип информации
определяет её потребитель, используя
различные среды передачи и источники
информации. Информационная безопасность
государства – это состояние сохранности
информационных ресурсов государства и защиты, законных прав личности и общества в информационной сфере. В современном социуме, информационная сфера имеет две составляющие: информационно-техническую
(искусственно созданный человеком –
мир техники, технологий и т.п.) и информационно-психологическую
(естественный мир живой природы, включающий и самого человека). Информационную безопасность
можно представить двумя частями: информационно-техническая
безопасность и информационно-психологическая
(психофизическая) безопасность.Безопасность информации –
это состояние защищенности информации
(ее данных), при которой обеспечены её
конфиденциальность, доступность и целостность.
Конфиденциальность информации – это
принцип аудита, заключающийся в том, что
аудиторы обязаны обеспечивать сохранность
документов, получаемых или составляемых
ими в ходе аудиторской деятельности,
и не вправе передавать эти документы
или их копии каким бы то ни было третьим
лицам, либо разглашать устно, содержащиеся
в них сведения без согласия собственника
экономического субъекта. За исключением
случаев, предусмотренных законодательными
актами. Доступность информации – состояние
информации (ресурсов автоматизированной
информационной системы), при которой
субъекты, имеющие право доступа, могут
реализовывать их беспрепятственно. К
правам доступа относятся: право на чтение,
изменение, копирование, уничтожение информации,
а также права на изменение, использование,
уничтожение ресурсов. Целостность информации
– является одним из трех основных критериев информационной безопасности объекта. Обеспечение достоверности
и полноты информации и методов ее обработки.
Не всегда обязательные категории модели
безопасности: невозможность отказа от
авторства; подотчётность – обеспечение идентификации субъекта доступа и регистрации
его действий; достоверность – свойство соответствия предусмотренному
поведению или результату; аутентичность или подлинность – свойство, гарантирующее,
что субъект или ресурс идентичны заявленным.
В Государственном стандарте РФприводится
следующая рекомендация использования
терминов «безопасность» и «безопасный»: «безопасность»
и «безопасный» следует применять только
для выражения уверенности и гарантий риска.
Целью реализации информационной
безопасности какого-либо объекта является
построение Системы обеспечения
информационной безопасности данного
объекта (СОИБ). Для построения и
эффективной эксплуатации СОИБ необходимо:
выявить требования защиты информации,
специфические для данного объекта
защиты; учесть требования национального
и международного Законодательства;
использовать наработанные практики (стандарты,
методологии) построения подобных СОИБ;
определить подразделения, ответственные
за реализацию и поддержку СОИБ; распределить
между подразделениями области ответственности
в осуществлении требований СОИБ. На базе
управления рисками информационной безопасности
определить общие положения, технические
и организационные требования, составляющие
политику информационной безопасности
объекта защиты; реализовать требования
политики информационной безопасности,
внедрив соответствующие программно-технические
способы и средства защиты информации;
реализовать Систему менеджмента (управления)
информационной безопасности (СМИБ); используя
СМИБ организовать регулярный контроль
эффективности СОИБ и при необходимости,
пересмотр и корректировку СОИБ и СМИБ.
Как видно, из последнего этапа работ,
процесс реализации СОИБ непрерывный
и циклично (после каждого пересмотра)
возвращается к первому этапу, повторяя
последовательно всё остальные. Так СОИБ,
корректируется для эффективного выполнения
своих задач защиты информации и соответствия
новым требованиям постоянно обновляющейся
информационной системы.
Нормативные документы в
области информационной безопасности
В Российской Федерации к
нормативно-правовым актам в области
информационной безопасности относятся:
акты федерального законодательства,
международные договоры РФ; конституция
РФ; законы федерального уровня (включая
федеральные конституционные законы,
кодексы); указы Президента РФ; постановления
правительства РФ; нормативные правовые
акты федеральных министерств и
ведомств; нормативные правовые акты
субъектов РФ, органов местного самоуправления.
Международные стандарты информационной
безопасности – государственные (национальные)
стандарты РФ; рекомендации по стандартизации;
методические указания.
2.Органы, обеспечивающие
информационную безопасность
В зависимости от приложения
деятельности в области защиты информации
(в рамках государственных органов
власти или коммерческих организаций),
сама деятельность организуется специальными
государственными органами (подразделениями),
либо отделами (службами) предприятия.
Государственные органы РФ,
контролирующие деятельность в области
защиты информации:
-комитет государственной думы
по безопасности;
– совет безопасности России;
– федеральная служба по техническому
и экспортному контролю (ФСТЭК);
– федеральная служба безопасности
России (ФСБ России);
-министерство внутренних дел
Российской Федерации (МВД России); федеральная служба надзора
в сфере информационных технологий и массовых
коммуникаций (Роскомнадзор). Службы, организующие
защиту информации на уровне предприятия: служба экономической безопасности; служба безопасности персонала (Режимный отдел); отдел кадров; служба информационной безопасности. Политика безопасности (информации
в организации) – совокупность документированных
правил, процедур, практических приемов
или руководящих принципов в области безопасности
информации, которыми руководствуется
организация в своей деятельности. Политика
безопасности информационно-телекоммуникационных
технологий – правила, директивы, сложившаяся
практика, которые определяют, как в пределах
организации, её информационно-телекоммуникационных
технологий управлять, защищать и распределять
активы, в том числе критичную информацию.
Для построения политики информационной
безопасности, обязательно требуется
рассматривать следующие направления
защиты информационной системы:
– Защита объектов информационной
системы;
– Защита процессов, процедур
и программ обработки информации;
– Защита каналов связи;
– Подавление побочных электромагнитных
излучений;
– Управление системой защиты.
По каждому из перечисленных
выше направлений, политика информационной
безопасности должна описывать следующие
этапы создания средств защиты информации:
– Определение информационных
и технических ресурсов, подлежащих
защите;
– Выявление полного множества
потенциально возможных угроз и
каналов утечки информации;
– Проведение оценки уязвимости
и рисков информации при имеющемся
множестве угроз и каналов
утечки;
– Определение требований
к системе защиты;
– Осуществление выбора
средств защиты информации и их характеристик;
– Внедрение и организация
использования выбранных мер, способов
и средств защиты;
– Осуществление контроля
целостности и управление системой
защиты.
Политика информационной
безопасности оформляется в виде
документированных требований на информационную систему. Документы обычно разделяют
по уровням описания (детализации) процесса
защиты. Документы верхнего уровня политики
информационной безопасности отражают
позицию организации к деятельности в
области защиты информации, её стремление
соответствовать государственным, международным
требованиям и стандартам в этой области.
Подобные документы могут называться
«Концепция ИБ», «Регламент управления
ИБ», «Политика ИБ», «Технический стандарт
ИБ» и т.п. Область распространения документов
верхнего уровня обычно не ограничивается,
однако данные документы могут выпускаться
и в двух редакциях – для внешнего и внутреннего
использования. Согласно ГОСТ Р ИСО/МЭК
17799–2005, на верхнем уровне политики информационной
безопасности должны быть
оформлены следующие документы:
«Концепция обеспечения ИБ», «Правила
допустимого использования ресурсов
информационной системы», «План обеспечения
непрерывности бизнеса». К среднему
уровню относят документы, касающиеся
отдельных аспектов информационной
безопасности. Это требования на создание
и эксплуатацию средств защиты информации,
организации информационных и бизнес-процессов
организации по конкретному направлению
защиты информации. Например: безопасность
данных, безопасность коммуникаций. Подобные
документы обычно издаются в виде
внутренних технических и организационных
политик (стандартов) организации. Все
документы среднего уровня политики
информационной безопасности конфиденциальны.
В политику информационной безопасности
нижнего уровня входят регламенты работ,
руководства по администрированию,
инструкции по эксплуатации отдельных
сервисов информационной безопасности.
3.Исторические аспекты
возникновения и развития информационной
безопасности
Информационная безопасность
возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием
человека о наличии сообществ интересов,
которым может быть нанесен ущерб путём
воздействия на них. Средства информационных коммуникаций обусловили наличие и развитие
средств, которые обеспечили информационный
обмен между всеми элементами социума.
Учитывая влияние на трансформацию идей
информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов.
Первый этап – до 1816 года.
Характеризуется он использованием
естественно возникавших средств информационных коммуникаций. В этот период основная задача
информационной безопасности заключалась
в защите сведений о событиях, фактах,
имуществе, местонахождении и других данных,
имеющих для человека лично или сообщества,
к которому он принадлежал, жизненное
значение.
Второй этап, начиная с
1816 года, связан с началом использования
искусственно создаваемых технических
средств электрики и радиосвязи. Для обеспечения скрытности
и помехозащищенности радиосвязи необходимо
было использовать опыт первого периода
информационной безопасности на более
высоком технологическом уровне, а именно
применение помехоустойчивого кодированиясообщения (сигнала) с последующим декодированием
принятого сообщения (сигнала).
Третий этап – начиная
с 1935 года, связан с появлением радиолокационных и гидроакустических
средств. Основным способом обеспечения
информационной безопасности в этот период
было сочетание организационных и технических
мер, направленных на повышение защищенности
радиолокационных средств от воздействия
на их приемные устройства активными маскирующими
и пассивными имитирующими радиоэлектронными
помехами.
Четвертый этап – начиная
с 1946 года, связан с изобретением и
внедрением в практическую деятельность электронно-вычислительных
машин (компьютеров). Задачи информационной
безопасности решались, в основном, методами
и способами ограничения физического
доступа к оборудованию средств добывания,
переработки и передачи информации.
Пятый этап – начиная
с 1965 года, обусловлен созданием и
развитием локальныхинформационно-коммуникационных
сетей. Задачи информационной безопасности
также решались, в основном, методами и
способами физической защиты средств
добывания, переработки и передачи информации,
объединённых в локальную сеть путём администрирования и управления доступом к сетевым
ресурсам.
Шестой этап – начиная с 1973
года – связан с использованием сверхмобильных
коммуникационных устройств с широким
спектром задач. Угрозы информационной
безопасности стали гораздо серьёзнее.
Для обеспечения информационной безопасности
в компьютерных системах с беспроводными
сетями передачи данных потребовалась
разработка новых критериев безопасности.
Образовались сообщества людей – хакеров, ставящих своей целью нанесение
ущерба информационной безопасности отдельных
пользователей, организаций и целых стран.
Информационный ресурс стал важнейшим
ресурсом государства, а обеспечение его
безопасности – важнейшей и обязательной
составляющей национальной безопасности.
Формируется информационное право – новая отрасль международной
правовой системы.
Седьмой этап, начиная с 1985
года, связан с созданием и развитием глобальныхинформационно-коммуникационных
сетей, с использованием космических
средств обеспечения. Можно предположить,
что очередной этап развития информационной
безопасности, очевидно, будет связан
с широким использованием мобильных коммуникационных
устройств с широким спектром задач и
глобальным охватом в пространстве и времени,
обеспечиваемым космическими информационно-коммуникационными
системами. Для решения задач информационной
безопасности, на этом этапе необходимо
создание макросистемы информационной
безопасности человечества под эгидой
ведущих международных форумов. Сегодня
всё в мире полагается на компьютеры и
интернет, средства связи (электронная
почта, мобильные телефоны), индустрия
развлечений (цифровое телевидение, MP3),
транспорт (автомобильные двигатели, аэронавигация),
торговля (интернет-магазины, кредитные
карты), медицина (оборудование, медицинские
архивы), и список можно продолжать. Самая
большая доля нашей повседневной жизни
полагается на компьютеры. Информационная
безопасность состоит в защите этой информации
методами предотвращения, обнаружения
и реагирования на атаки.