Методы обеспечения информационной безопасности. Реферат по дисциплине
Название
Реферат по дисциплине
Дата
25.05.2021
Размер
25.83 Kb.
Формат файла
Имя файла
Методы обеспечения информационной безопасности.docx
Тип
Реферат #209785
Подборка по базе: Криптографические методы защиты информации.doc, Физкультура реферат.docx, 3-4. Методы лечения пульпита. (1).pdf, география реферат. docx, экономика реферат.rtf, Информационные системы в банковской сфере на современном рынке п, Темы рефератов по дисциплине охрана труда Для студентов Заочно, Темы по экологии для рефератов.doc, Темы для реферата Microsoft Word (2) (1).docx, 3.1. Реферат.DOCX
по дисциплине«Безопасность жизнедеятельности »
(тема реферата)
ФИО студента
Направление подготовки
ОГЛАВЛЕНИЕ
Введение
Определение
Информационные системы
Информационная система безопасности
Требования к информационной безопасности
Цель информационной безопасности
Заключение
Список реферируемой литературы
ВВЕДЕНИЕ
Наряду с развитием предприятий растут требования бизнес-среды, которые требуют от компаний обмениваться информацией с различными объектами через Интернет . Потеря или утечка информации может серьезно повлиять на финансовые показатели компании, ее репутацию и отношения с клиентами.
Методы атаки через сеть становятся все более изощренными и сложными, что может привести к потере информации и даже может полностью разрушить информационную систему предприятия. Поэтому информационная безопасность и защита — это очень тяжелая и непредсказуемая задача, но она сосредоточена на следующих трех основных направлениях: обеспечение информационной безопасности на сервере, обеспечение безопасности на стороне клиента, информационная безопасность на линии электропередачи. Информационная безопасность сильно изменилась за последнее время. В прошлом почти не было необходимости в информационной безопасности, теперь требуются новые требования, такие как безопасность сервера и онлайн. Традиционные методы, предоставляемые административными и физическими средствами, такими как хранение для защиты важных документов и выдача лицензий, позволяют использовать такие конфиденциальные документы. Компьютерам требуются автоматизированные методы для защиты файлов и хранимой информации. Потребность в безопасности огромна и очень разнообразна везде и всегда. Поэтому невозможно не предлагать автоматизированные процессы для поддержки информационной безопасности.
Определение:
Информационные системы (Information Systems) — это система включая людей, данные и деятельность по обработке данных информация в организации.
Информационная система безопасности — это защита информационной системы от доступа, использования, изменения, уничтожения, раскрытия и нарушения информации и работы системы.
Требования к информационной безопасности:
Конфиденциальность: защита данных от несанкционированного раскрытия.
Пример: В банковской системе клиент может просматривать информацию об остатке на своем счете, но не может просматривать информацию других клиентов.
Целостность: редактировать данные могут только авторизованные пользователи.
Пример: в банковской системе клиенты не позволяют себе изменять информацию о балансе своих счетов.
Доступность: Убедитесь, что данные всегда доступны при авторизации пользователей или приложений.
Пример: в банковской системе необходимо обеспечить, чтобы клиенты могли запрашивать информацию об остатке на счете в любое время в соответствии с правилами.
Неотказность: способность предотвратить отклонение поведения.
Пример: в банковской системе можно предоставить доказательства, подтверждающие поведение клиента, например, снятие денег или перевод денег.
Цель информационной безопасности:
Предотвратить злоумышленников от нарушения политик безопасности
Обнаружение нарушений политики безопасности.
Блокировать текущие нарушения, просматривать и исправлять ошибки.
Продолжать нормальную работу, даже если произошла атака.
Основные методы в информационной безопасности
Выявление угроз: Что может нанести вред системе?
Выберите политику безопасности: Что ожидать в системе безопасности?
Выбор механизма безопасности: Как системы безопасности могут достичь целей безопасности?
Выявление угроз:
Угрозы безопасности — это события, которые влияют на безопасность информационных систем.
Угрозы делятся на 4 категории: просмотр информации незаконно, редактировать информацию незаконно, отказ в обслуживании, отрицание поведения
Общие угрозы
Ошибки и упущения пользователей (Ошибки и пропуски)
Мошенничество и кража информации (мошенничество и кража)
Опасный злоумышленник (злобные хакеры)
Опасный код (Вредоносный код)
Отказ в обслуживании (атаки типа «отказ в обслуживании»)
Социальная инженерия
Выберите политику безопасности
Безопасность системы требует четкой политики безопасности.
Политики конфиденциальности требуются для различных требований безопасности
Построение и выбор политик безопасности для системы должны основываться на политиках безопасности, определенных авторитетными организациями безопасности. (NIST, SP800, ISO17799, HIPAA NIST, SP800, ISO17799, HIPAA)
Выбор механизма безопасности:
Определение соответствующие механизмы безопасности для реализации политик безопасности и достижения целей безопасности
Существует 4 механизма безопасности:
Контроль доступа (Контроль доступа): Контроль доступа (Access control): это механизм контроля, управлять доступом к системам баз данных.
Контроль вывода (Inference control): Контроль вывода: это управление и контроль доступа к статистическим базам данных, поскольку конфиденциальная информация может быть выведена из статистических данных. , Набор данных X: пользователь A может читать. Набор данных Y: пользователю A запрещено читать, но: Y = f (X). Если пользователь A знает функцию f, он может найти множество Y (которое пользователю A запрещено видеть) из эпизода X.
Контроль потока (Flow control): Информационный поток между объектом X и объектом Y происходит, когда программа читает данные из X и записывает в Y. Управление потоком (Flow control) направлено на предотвращение потока информации от защищенных объектов данных к менее защищенным объектам данных. Переменные каналы (скрытые каналы) — это каналы передачи, по которым потоки информации могут незаконно передаваться наружу. Существует 2 типа канала преобразования: Канал хранения (канал хранения): информация передается через промежуточные объекты хранения. Синхронизирующий канал: фрагмент информации, который может быть открыт во время расчета данных, связанных с этой информацией.
Шифрование (Encryption) : Шифрование — это вычислительный алгоритм для преобразования исходного текста (открытого текста), читаемого текста в нечитаемый текстовый формат (зашифрованный текст). Только пользователи, имеющие правильный ключ, могут дешифровать зашифрованный текст в исходном текстовом формате. Шифрование данных используется для защиты конфиденциальных данных.
Компоненты должны быть защищены в информационной системе:
Аппаратные средства
Сетей
База данных (база данных)
Система управления базами данных (система управления базами данных — DMBS),
Приложений
Пользователи
Системный программист
Администратор базы данных
ЗАКЛЮЧЕНИЕ
Информационные системы (Information Systems) — это система включая людей, данные и деятельность по обработке данных информация в организации.
Информационная система безопасности — это защита информационной системы от доступа, использования, изменения, уничтожения, раскрытия и нарушения информации и работы системы.
Требования к информационной безопасности: Конфиденциальность (защита данных от несанкционированного раскрытия), целостность (редактировать данные могут только авторизованные пользователи), доступность (убедитесь, что данные всегда доступны при авторизации пользователей или приложений); неотказность (способность предотвратить отклонение поведения).
Цель информационной безопасности: Предотвратить злоумышленников от нарушения политик безопасности; Обнаружение нарушений политики безопасности; Блокировать текущие нарушения, просматривать и исправлять ошибки: Продолжать нормальную работу, даже если произошла атака.
Список реферируемой литературы
Статьи : МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (УЧАЕВА Н.В.1)
МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (ГОНЧАРОВА ОКСАНА НИКОЛАЕВНА1, ХАЛИЛОВА МИЛЕРА ЮСУФОВНА1)
МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ (Текст научной статьи по специальности «Общие и комплексные проблемы естественных и точных наук» Чалдаева Л.А. Килячков А.А КиберЛенинка:
Источник
Методы обеспечения информационной безопасности
Содержание:
Введение
В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения информационной безопасности Российской Федерации могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние информационной безопасности страны.
Cледует отметить, что за последние годы в России реализован комплекс мер по обеспечению информационной безопасности страны. Активно идет формирование базы правового обеспечения информационной безопасности. Принят ряд законов и других нормативных правовых актов в этой области, ведется работа по созданию механизмов их реализации, подготовке новых законопроектов, регламентирующих общественные отношения в информационной сфере.
Выполнены работы по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов РФ, на предприятиях, в учебных учреждениях. Проведены работы по созданию защищенной информационно-телекоммуникационной системы специального назначения для обеспечения органов государственной власти, правоохранительных и силовых структур, подразделений Российской армии.
Разрешению вопросов обеспечения информационной безопасности России содействуют государственная система защиты информации, система защиты государственной тайны, лицензирования деятельности в области защиты государственной тайны и сертификации средств защиты информации, меры по защите персональных данных людей и т. д.
Анализ состояния и опыт обеспечения информационной безопасности России показывает, что их уровень не в полной мере соответствует современным требованиям общества и государства. Предстоит еще масштабная работа по достижению целей и выполнению задач, поставленных Доктриной информационной безопасности РФ.
1. Понятие информационный безопасности
Безопасность информации (данных): Состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность. [1]
В общем плане, под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Информационная безопасность организации — состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие. В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.
1.1. Ключевые принципы безопасности
В 1975 году Джерри Зальцер и Майкл Шрёдер в статье «Защита информации в компьютерных системах» впервые предложили разделить нарушения безопасности на три основных категории: неавторизованное раскрытие информации, неавторизованное изменение информации и неавторизованный отказ в доступе к информации. Позднее эти категории получили краткие наименования и стандартизированные определения:
Конфиденциальность — достигается предоставлением к ней доступа c наименьшими привилегиями исходя из принципа минимальной необходимой осведомлённости. Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной, или предназначенной для публичного, либо внутреннего пользования. Шифрование информации — характерный пример одного из средств обеспечения конфиденциальности;
Целостность — чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям. Иными словами, информация должна быть защищена от намеренного, несанкционированного или случайного изменения по сравнению с исходным состоянием, а также от каких-либо искажений в процессе хранения, передачи или обработки. Для защиты целостности информации необходимо применение множества разнообразных мер контроля и управления изменениями информации и обрабатывающих её систем. Типичным примером таких мер является ограничение круга лиц с правами на изменения лишь теми, кому такой доступ необходим для выполнения служебных обязанностей;
Доступность — согласно этому принципу, информация должна быть доступна авторизованным лицам, когда это необходимо. Основными факторами, влияющими на доступность информационных систем, являются DoS-атаки, атаки программ-вымогателей, саботаж. Кроме того, источником угроз доступности являются непреднамеренные человеческие ошибки по оплошности или из-за недостаточной профессиональной подготовки: случайное удаление файлов или записей в базах данных, ошибочные настройки систем; отказ в обслуживании в результате превышения допустимой мощности или недостатка ресурсов оборудования, либо аварий сетей связи; неудачно проведённое обновление аппаратного или программного обеспечения; отключение систем из-за аварий энергоснабжения. Существенную роль в нарушении доступности играют также природные катастрофы: землетрясения, смерчи, ураганы, пожары, наводнения и тому подобные явления. Во всех случаях конечный пользователь теряет доступ к информации, необходимой для его деятельности, возникает вынужденный простой.
В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA [2] .
1.2. Дополнительные принципы информационный безопасности
Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса. В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополнительных принципов. Некоторые из них уже включены в стандарты Международной организации по стандартизации (ISO):
подлинность — свойство, гарантирующее, что субъект или ресурс идентичны заявленному;
подотчётность — ответственность субъекта за его действия и решения;
невозможность отказа — способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение;
достоверность — свойство соответствия предусмотренному поведению и результатам.
2. Угрозы информационной безопасности
Действия, которые могут нанести ущерб информационной безопасности, можно разделить на несколько категорий:
1. Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий.
2. Преднамеренные атаки на информационные системы. К таким методам относятся: несанкционированное проникновение в компьютерные сети; DOS-атаки.
Целью несанкционированного проникновения извне в информационную систему может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, кража средств со счетов и т.п. Атака типа DOS (сокр. от Denial of Service — «отказ в обслуживании») это внешняя атака на узлы сети, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя.
3. Компьютерные вирусы. Отдельная категория электронных методов воздействия компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современной информационной системы. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств.
4. Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности. Электронная почта в последнее время стала главным каналом распространения вредоносных программ, спам отнимает массу времени на просмотр и последующее удаление сообщений; как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами, вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям;
5. «Естественные» угрозы. На информационную безопасность могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т.д.
Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий современного государства т.к. в государственных базах данных хранится строго конфиденциальная информация о гражданах.
Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности, законных прав личности и общества в информационной сфере.
3. Информационная безопасность и Интернет
Информация в сети охватывает все стороны жизнедеятельности человека и общества. Пользователи вводят личные данные на сайтах гос.органов, номера банковских счетов и т.д. Однако опыт работы в области компьютерных технологий полон примеров недобросовестного использования ресурсов Интернет.
Специалисты говорят, что главная причина утечки конфиденциальных данных – беспечность и неподготовленность пользователей. Это характерно не только для рядовых пользователей, но и для специалистов в области компьютерной безопасности.
По данным лаборатории Касперского, около 90% от общего числа проникновений на компьютер вредоносных программ используется посредством Интернет, через электронную почту и просмотр Web‑страниц. Особое место среди таких программ занимает целый класс – Интернет-червь. Само распространяющиеся, не зависимо от механизма работы выполняют свои основные задачи по изменению настроек компьютера-жертвы, воруют адресную книгу или ценную информацию, вводят в заблуждение самого пользователя, создают рассылку с компьютера по адресам, взятым из записной книжки, делают компьютер чьим-то ресурсом или забирают часть ресурсов для своих целей или в худшем случае самоликвидируются, уничтожая все файлы на всех дисках.
На любом предприятии должны соблюдаться четко приписанные требования безопасности для предотвращения каких либо утечек. В таком документе должны быть четко прописаны следующие положения:
как ведется работа с информацией предприятия;
кто имеет доступ;
система копирования и хранения данных;
режим работы на ПК;
наличие охранных и регистрационных документов на оборудование и программное обеспечение;
выполнение требований к помещению, где располагается ПК и рабочее место пользователя;
наличие инструкций и технической документации;
наличие рабочих журналов и порядок их ведения.
Кроме того, необходимо постоянно отслеживать развитие технических и информационных систем, публикуемых в периодической печати или следить за событиями, обсуждаемыми на подобных семинарах.
Так согласно Указа Президента РФ «О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена» [3] , запрещено подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются госорганы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу РФ, в том числе к Интернету.
При необходимости подключения указанных информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в Федеральной службе безопасности РФ и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.
3. Методы обеспечения информационной безопасности
По убеждению экспертов «Лаборатории Касперского», задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т.д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.
На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:
— средства идентификации и аутентификации пользователей;
— средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
— системы обнаружения уязвимостей сетей и анализаторы сетевых атак.
Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.
«Комплекс 3А» включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации собирает данные о пользователе. Функция авторизации отвечает за разграничение прав доступа. Каждый авторизованный пользователь имеет доступ только к разрешенной администратором сети информации. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий. Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты — обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования — высокий уровень криптостойкости и легальность использования на территории России (или других государств).
Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.
Основной принцип действия межсетевых экранов – проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса в базе разрешенных адресов.
Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network — VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам
Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска. Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и определить активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов.
Разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем, на процессорах различных типов.
Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных — резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т.д.).
4. Методы обеспечения информационной безопасности РФ
Информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы информационной безопасности Российской Федерации и методы ее обеспечения являются общими для этих сфер.
Согласно Доктрине информационной безопасности Российской Федерации от 5 декабря 2016 г. N 646 [4] информационная безопасность Российской Федерации — состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства;
Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.
Рис. 1. Методы обеспечения информационной безопасности
4.1. Правовые методы
К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.
Наиболее важными направлениями этой деятельности являются:
• внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;
• законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
• уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
• законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
• определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;
• создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.
4.2 Организационно-технические методы
К организационно-техническим методам обеспечения информационной безопасности Российской Федерации относятся:
• создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;
• усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
• разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
• создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
• выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
• совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
• контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
• формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.
Объектами защиты являются:
речевая информация;
данные, передающиеся техническими средствами.
В защите нуждаются как основные техсредства и системы, задействованные в работе с защищаемыми данными, так и вспомогательные техсредства и системы, а также заранее определенные помещения.
Организационная защита информации состоит в своде правил, составленных на основе правовых актов РФ, призванных предотвратить неправомерное овладение конфиденциальными данными.
Организационный метод обеспечения информационной безопасности имеет следующие составляющие:
создание режима охраны информации;
разработка правил взаимоотношений между сотрудниками;
регламентация работы с документами;
правила использования технических средств в рамках существующего правового поля РФ;
аналитическая работа по оценке угроз информационной безопасности.
Защита информационной инфраструктуры от несанкционированного доступа обеспечивается регламентацией доступа субъектов (работников) к объектам (носителям данных и каналам их передачи). Организационный метод обеспечения информационной безопасности не подразумевает использования технического инструментария.
Применение же технического оборудования и различных программ для обеспечения информационной безопасности, включая системы управления базами данных, прикладное ПО, различные шифровальщики, DLP-системы и SIEM-системы, исключающих утечки данных через компьютерную сеть, относится к техническому методу обеспечения информационной защиты.
4.3 Экономические методы
К экономическим методам обеспечения информационной
безопасности Российской Федерации относятся:
• разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации.
Воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:
• система государственной статистики;
• информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
• системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
• системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.
Заключение
Проблема национальной информационной безопасности обусловлена возрастающей ролью информации в общественной жизни РФ. Информационная безопасность в современных условиях трактуется как защищенность информации и обеспечивающей ее инфраструктуры от преднамеренных или случайных воздействий искусственного или естественного характера, которые могут нанести ущерб пользователям или владельцам информации.
Цель обеспечения информационной безопасности страны состоит в защите информационной среды, информационных технологий и информационного потенциала, составляющих конфиденциальную информацию или государственные секреты.
Информационная безопасность – это всегда комплексная система, все составляющие которой призваны не допустить утечки конфиденциальных сведений по техническим каналам, а также воспрепятствовать стороннему доступу к носителям информации. Все это, соответственно, гарантирует целостность данных при работе с ними: обработке, передаче и хранении, которые должны осуществляться обязательно в правовом поле. Грамотно организованные технические мероприятия позволяют определить использование специальных электронных приспособлений несанкционированного снятия информации, размещенных как в помещении, так и в средствах связи.
В РФ существует несколько нормативных правовых документов, регламентирующих работу в информационной сфере: «Об утверждении Доктрины информационной безопасности РФ», «Об информации, информационных технологиях и о защите информации» [5] и т. д. Одним из фундаментальных является Федеральный закон РФ «О коммерческой тайне» [6] . К этому перечню стоит добавить Постановления Правительства РФ «О сертификации средств защиты информации» [7] , «О лицензировании деятельности по технической защите конфиденциальной информации» [8] , а также Приказ ФСБ «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» [9] .
Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 5 декабря 2016 г. N 646) https://base.garant.ru/71556224/#block_2
ГОСТ Р 50922-2006, статья 2.4.5 — https://internet-law.ru/gosts/gost/5737/ ↑
Указ Президента РФ от 17 марта 2008 г. N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» — https://base.garant.ru/192944/ ↑
Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 5 декабря 2016 г. N 646) — https://base.garant.ru/71556224/#block_1000 ↑
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (последняя редакция) — http://www.consultant.ru/document/cons_doc_LAW_61798/ ↑
Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ (последняя редакция) — http://www.consultant.ru/document/cons_doc_LAW_48699/ ↑
Постановление Правительства РФ от 26.06.1995 N 608 (ред. от 21.04.2010) «О сертификации средств защиты информации» — http://www.consultant.ru/document/cons_doc_LAW_7054/752ce33ca93090f84d539b8d899613d160a57e9a/ ↑
ПОСТАНОВЛЕНИЕ от 3 февраля 2012 г. N 79 О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ — http://www.consultant.ru/document/cons_doc_LAW_125798/92d969e26a4326c5d02fa79b8f9cf4994ee5633b/ ↑
Приказ ФСБ РФ от 09.02.2005 N 66 (ред. от 12.04.2010) «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации — http://www.consultant.ru/document/cons_doc_LAW_52098/4e40325402553e6f37b4b2e478e720d0e7067e77/ ↑
При копировании любых материалов с сайта evkova.org обязательна активная ссылка на сайт www.evkova.org
Сайт создан коллективом преподавателей на некоммерческой основе для дополнительного образования молодежи
Сайт пишется, поддерживается и управляется коллективом преподавателей
Whatsapp и логотип whatsapp являются товарными знаками корпорации WhatsApp LLC.
Cайт носит информационный характер и ни при каких условиях не является публичной офертой, которая определяется положениями статьи 437 Гражданского кодекса РФ. Анна Евкова не оказывает никаких услуг.
