Понятие и национальной экономии

Сущность: информационной безопасности организации защищённость информационной среды организации, обеспечивающее её формирование, использование и развитие.

Главными целями деятельности по обеспечению информационной безопасности, как уже отмечалось, являются ликвидация угроз объектам информационной безопасности и минимизация возможного ущерба, который может быть нанесен вследствие реализации данных угроз. Основные направления деятельности по обеспечению информационной безопасности на предприятии, используемые для осуществления этой деятельности силы, средства, способы и методы подробно рассмотрены в последующих главах учебника. В настоящей статье изложены сущность и основные виды угроз информационной безопасности.    По отношению к предприятию угрозы делятся на внутренние и внешние. Соответственно, хакерская атака на компьютеры компании будет рассматриваться как внешняя угроза, а занесение вируса в сеть сотрудниками – как внутренняя. К внутренним угрозам также относят кражу информации сотрудниками.

По намеренности угрозы бывают преднамеренными и непреднамеренными. Например, к непреднамеренным угрозам можно отнести случайное удаление данных сотрудником. Устранить от преднамеренные угрозы сложнее, так как вредоносное ПО или человек, угрожающие предприятию, имеют чёткий план действий по преодолению возможной защиты.

По цели можно  выделить угрозы, направленные на получение  данных, уничтожение данных, изменение  или внесение данных, нарушение работы ПО, контроль над работой ПО и  прочие. Скажем, одной из наиболее частых хакерских атак на компьютеры предприятий является получение закрытых сведений для дальнейшего их незаконного использования (пароли к интернет-банкам, учётным записям электронной почты и т.д.). Такую угрозу можно классифицировать как внешнюю преднамеренную угрозу, направленную на получение данных.

Следует также  понимать, что нельзя защититься от всех мыслимых и немыслимых угроз  ИБ хотя бы потому, что невозможно предусмотреть  действия злоумышленников, не говоря уж обо всех ошибках пользователей. Однако существует ряд общих методов защиты, которые позволят сильно понизить вероятность реализации широкого спектра угроз и обезопасить предприятие от различного рода атак и ошибок пользователей. Далее мы подробнее рассмотрим наиболее эффективные из них.

Комплексная система защиты информации (КСЗИ) является совокупностью методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в АСОД.

Комплексность системы защиты информации достигается  охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов АСОД.

Основными требованиями к комплексной системе защиты информации являются:

- система защиты  информации должна обеспечивать  выполнение АС своих основных функций без существенного ухудшения характеристик последней;

- она должна  быть экономически целесообразной, так как стоимость системы  защиты информации включается  в стоимость АС;

- защита информации  в АС должна обеспечиваться  на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;

- в систему  защиты информации должны быть  заложены возможности ее совершенствования  и развития в соответствии  с условиями эксплуатации и конфигурации АС;

- она в соответствии  с установленными правилами должна  обеспечивать разграничение доступа  к конфиденциальной информации  с отвлечением нарушителя на  ложную информацию, т.е. обладать  свойствами активной и пассивной  защиты;

- при взаимодействии защищаемой АС с незащищенными АС система защиты должна обеспечивать соблюдение установленных правил разграничения доступа;

- система защиты  должна позволять проводить учет  и расследование случаев нарушения  безопасности информации в АС;

- применение системы защиты не должно ухудшать экологическую обстановку, не быть сложной для пользователя, не вызывать психологического противодействия и желания обойтись без нее.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

31.Защита информации: понятие, сущность. Программно-технические методы защиты информации. Криптографическая защита информации

Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных  и непреднамеренных воздействий  на защищаемую информацию. Система мер, направленных на достижение безопасного защищенного документооборота с целью сохранения государственных и коммерческих секретов. Для достижения результата реализуются режимные требования, применяются сложные, как правило электронные, устройства; для защиты информации в компьютерах и сетях используются программно-технические решения, в том числе с применением криптографии.

Программно-технические  методы и средства защиты информации являются технической основой системы защиты информации фирмы. Применение таких средств осуществляется в соответствии с принятой политикой информационной безопасности фирмы.

Программно-технические  методы и средства следует использовать в СЗИ направлениям:

Защита объектов корпоративных систем;

Защита процессов, процедур и программ обработки информации;

Защита каналов  связи;

Подавление побочных электромагнитных излучений;

Управление системой защиты.

Для того, чтобы сформировать оптимальный комплекс (набор) программно-технических методов и средств защиты информации, необходимо пройти следующие этапы:

Определение информационных и технических ресурсов, подлежащих защите;

Выявление полного  множества потенциально возможных  угроз и каналов утечки информации;

Проведение оценки уязвимости и рисков ин формации при имеющемся множестве угроз и каналов утечки;

Определение требований к системе защиты;

Осуществление выбора средств защиты информации и их характеристик;

Внедрение и  организация использования выбранных мер, способов и средств защиты;

Осуществление контроля целостности и управление системой защиты.

Совокупность  защитных методов и средств включает в себя программные методы, аппаратные средства, защитные преобразования, а  также организационные мероприятия. Сущность аппаратной или схемной защиты состоит в том, что в устройствах и технических средствах обработки информации предусматривается наличие специальных технических решений, обеспечивающих защиту и контроль информации, например экранирующие устройства, локализующие электромагнитные излучения или схемы проверки информации на четность, осуществляющей контроль за правильностью передачи информации между различными устройствами ИС.

Программные методы защиты — это совокупность алгоритмов и программ, обеспечивающих разграничение доступа и исключение несанкционированного использования информации.

Сущность методов  защитных преобразований состоит в том, что информация, хранимая в системе и передаваемая по каналам связи, представляется в некотором коде, исключающем возможность ее непосредственного использования.

Организационные мероприятия по защите включают в себя совокупность действий по подбору и проверке персонала, участвующего в подготовке и эксплуатации программ и информации, строгое регламентирование процесса разработки и функционирования ИС.

Лишь комплексное использование различных защитных мероприятий может обеспечить надежную защиту, так как каждый прием или метод имеет свои слабые и сильные стороны.

Криптографические методы защиты информации - это специальные  методы шифрования, кодирования или  иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.

Современная криптография включает в себя четыре крупных раздела:

Симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. (Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом, дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный);

Криптосистемы с открытым ключом. В системах с  открытым ключом используются два ключа - открытый и закрытый, которые математически  связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.( Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов.);

Электронная подпись. Системой электронной подписи. называется присоединяемое к тексту его криптографическое  преобразование, которое позволяет  при получении текста другим пользователем  проверить авторство и подлинность  сообщения.

Управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

Основные направления  использования криптографических  методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

32.Организационно-правовые методы обеспечения информационной безопасности. Роль стандартов в обеспечении информационной

Организационно-правовое обеспечение информационной безопасности представляет собой совокупность управленческих решений, законов, нормативов, регламентирующих как общую организацию работ  по обеспечению информационной безопасности, так и создание и функционирование систем защиты информации на конкретных объектах. Основными функциями организационно-правового обеспечения в рамках рассматриваемого вопроса являются:

- разработка  основных принципов отнесения  сведений, имеющих конфиденциальный характер, к защищаемой информации;

- определение  системы органов и должностных  лиц, ответственных за обеспечение  информационной безопасности в  стране и порядка регулирования  деятельности предприятия и организации  в этой области; 

- формирование комплекса нормативных правовых, руководящих и методических материалов (документов), регламентирующих вопросы обеспечения информационной безопасности как в стране в целом, так и на конкретном объекте;

- определение  мер ответственности за нарушение правил защиты информации;

- определение  порядка разрешения спорных и  конфликтных ситуаций по вопросам  защиты информации и информационной  безопасности;

- совершенствование  регулирования экономических и  налоговых отношений в информационной  сфере с учетом обеспечения эффективного противодействия киберпреступности и защиты информации;

- формирование  механизмов экономического и  налогового стимулирования научно-технического  прогресса в сфере обеспечения  информационной безопасности и  защиты информации.

Основными принципами формирования организационно-правового обеспечения защиты информации являются:

- обязательность  соблюдения норм и правил защиты  информации всеми лицами, имеющими  отношение к защищаемой и конфиденциальной  информации;

- нормативное  правовое закрепление всех мер ответственности за нарушение порядка и правил защиты информации;

- придание юридической  силы всем технико-математическим  решениям в области организационно-правового  обеспечения защиты информации;

- процессуальное  оформление процедур разрешения ситуаций, складывающихся при обеспечении информационной безопасности и защите информации.

Следует отметить, что законодательные основы любого государства в области информационной безопасности являются необходимой  мерой, удовлетворяющей первейшую потребность в защите информации при развитии социально-экономических, политических, военных направлений функционирования этого государства. Особое внимание со стороны западных стран к формированию и развитию такой основы вызвано всевозрастающими затратами на борьбу с преступностью в информационной сфере.

Созданием законодательной  базы в области информационной безопасности каждое государство стремится защитить свои информационные ресурсы. Информационные ресурсы государства в самом  первом приближении могут быть разделены на три большие группы: