Информационная безопасность

СОДЕРЖАНИЕ

Введение…………………………………………………………………………...3

1. Основные  понятия ……..………………………………………………………4

2. Недостатки существующих стандартов и рекомендаций …………………...6

3. Наиболее распространенные угрозы …………………………………………7

4. Политика  безопасности ………………………………………………………10

Заключение  ………………………………………………………………………15

Список использованной литературы …………………………………………..16 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение

     Говоря  об информационной безопасности, в  настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

     Вследствие  этого настоящая работа посвящена  именно проблеме обеспечения информационной безопасности именно в компьютерной среде. Если говорить о безопасности информации, сохраняющейся на "традиционных" носителях (бумага, фотоотпечатки и  т.п.), то ее сохранность достигается  соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения  в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и  техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более  широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

     Если  говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют.  
 
 
 
 

1. Основные понятия

     Прежде  всего, понятие информационной безопасности - это защищенность информации и  поддерживающей инфраструктуры от случайных  или преднамеренных воздействий  естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

     Проблема  обеспечения безопасности носит  комплексный характер, для ее решения  необходимо сочетание законодательных, организационных и программно-технических  мер. К сожалению, законодательная  база еще отстает от потребностей практики. Имеющиеся в России законы и указы носят в основном запретительный характер. В то же время следует  учитывать, что в нашей стране доминирует зарубежное аппаратно-программное  обеспечение. В условиях ограничений  на импорт и отсутствия межгосударственных соглашений о взаимном признании  сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются  по существу в безвыходном положении - у них нет возможности заказать и получить "под ключ" современную  систему, имеющую сертификат безопасности.

     Так сложилось, что в России интерес  к вопросам информационной безопасности исходит в основном от банковских кругов. Это и хорошо, и плохо. Хорошо потому, что интерес есть. Плохо потому, что компьютеры стоят  не только в банках, а банковскую информацию никак не отнесешь к самой  ценной.

     Общество  в целом зависит от компьютеров, поэтому сегодня проблема информационной безопасности - это проблема всего  общества. В других странах это  поняли довольно давно. Так, в США  в 1987 году был принят закон о компьютерной безопасности - Computer Security Act, вступивший в силу в сентябре 1988 года. Этот закон предусматривает комплекс мер по обучению пользователей, имеющих дело с критичной информацией, по подготовке разъяснительных руководств и т.д., без чего сознательное поддержание режима безопасности просто невозможно. И данный закон действительно выполняется.

     Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен обеспечить управленческий уровень, - это выработать политику обеспечения информационной безопасности, определяющую общему направлению работ.

     Применительно к персоналу, работающему с информационными  системами, используются организационные  и программно-технические меры обеспечения  информационной безопасности. Сюда следует  отнести методики подбора персонала, его обучения, обеспечения дисциплины, а также средства "защиты от дурака". Важным элементом являются также меры по физической защите помещений и оборудования.

     Для поддержания режима информационной безопасности особенно важны программно-технические  меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов  и т.п. Напомним названия ключевых механизмов обеспечения информационной безопасности:

     - идентификация и аутентификация;

     - управление доступом;

     - протоколирование и аудит; 

     - криптография;

     - экранирование.  
 
 
 
 

2. Недостатки существующих  стандартов и рекомендаций

     Стандарты и рекомендации образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности. В то же время этот базис ориентирован, в первую очередь, на производителей и "оценщиков" систем и в гораздо  меньшей степени - на потребителей.

     Стандарты и рекомендации статичны, причем статичны, по крайней мере, в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и  их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько  с компьютерами, сколько с людьми.

     Иными словами, стандарты и рекомендации не дают ответов на два главных  и весьма актуальных с практической точки зрения вопроса:

     - как приобретать и комплектовать  информационную систему масштаба  предприятия, чтобы ее можно  было сделать безопасной?

     - как практически сформировать  режим безопасности и поддерживать  его в условиях постоянно меняющегося  окружения и структуры самой  системы? 

     Таким образом, стандарты и рекомендации являются лишь отправной точкой на длинном и сложном пути защиты информационных систем организаций. С  практической точки зрения интерес  представляют по возможности простые  рекомендации, следование которым дает пусть не оптимальное, но достаточно хорошее решение задачи обеспечения  информационной безопасности. 
 
 
 
 

3. Наиболее распространенные  угрозы

     Прежде  чем переходить к рассмотрению средств  обеспечения информационной безопасности, рассмотрим самые распространенные угрозы, которым подвержены современные  компьютерные системы. Знание возможных  угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения  безопасности.

     Само  понятие "угроза" в разных ситуациях  зачастую трактуется по-разному. Например, для подчеркнуто открытой организации  может просто не существовать угроз  конфиденциальности - вся информация считается общедоступной; однако в  большинстве случаев нелегальный  доступ считается серьезной опасностью. В общем случае проблему информационной безопасности следует рассматривать  и с учетом опасности нелегального доступа.

     Самыми  частыми и самыми опасными, с точки  зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных  администраторов и других лиц, обслуживающих  информационные системы. Иногда такие  ошибки являются угрозами: неправильно  введенные данные, ошибка в программе, а иногда они создают слабости, которыми могут воспользоваться  злоумышленники - таковы обычно ошибки администрирования. Согласно исследованиям, 65% потерь информации - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и невнимательностью. Очевидно, самым радикальным способом борьбы с непреднамеренными ошибками является максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

     На  втором месте по размерам ущерба располагаются  кражи и подлоги. Согласно имеющимся  данным, в 1992 году в результате подобных противоправных действий с использованием ПК американским организациям был нанесен  суммарный ущерб в размере 882 млн. долл. Можно предположить, что подлинный ущерб намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз свидетельствует о том, что внутренняя угроза гораздо опаснее внешней.

     Весьма  опасны так называемые "обиженные  сотрудники" - действующие и бывшие. Как правило, их действиями руководит  желание нанести вред организации-обидчику, например:

     - повредить оборудование;

     - встроить логическую бомбу, которая  со временем разрушит программы  и/или данные;

     - ввести неверные данные;

     - удалить данные;

     - изменить данные.

     "Обиженные  сотрудники", даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

     Угрозы, исходящие от окружающей среды, к  сожалению, отличаются большим разнообразием. В первую очередь, следует выделить нарушения инфраструктуры: аварии электропитания, временное отсутствие связи, перебои  с водоснабжением, гражданские беспорядки и т.п. Опасны, разумеется, стихийные  бедствия и техногенные катастрофы. Принято считать, что на долю огня, воды и аналогичных "врагов", среди  которых самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.

     Много говорят и пишут о хакерах, но исходящая от них угроза зачастую преувеличивается. Верно, что почти  каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения; верно, что иногда такие попытки оказываются удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров по сравнению с другими угрозами представляется не столь уж значительным. Скорее всего, больше пугает фактор непредсказуемости действий людей такого сорта. Представьте себе, что в любой момент к вам в квартиру могут забраться посторонние люди. Даже если они не имеют злого умысла, а зашли просто так, посмотреть, нет ли чего интересного, - приятного в этом мало.

     Много говорят и пишут и о программных  вирусах. Причем в последнее время  говорят уже о вирусах, воздействующих не только на программы и данные, но и на пользователей. Так, в свое время появилось сообщение о  жутком вирусе 666, который, выводя каждую секунду на монитор некий 25-й кадр, вызывает у пользователей кровоизлияние  в мозг и смерть (впоследствии это  сообщение не подтвердилось).

     Однако, говоря о "вирусной" угрозе, обратим  внимание на следующий факт. Как  показали проведенные в США исследования, несмотря на экспоненциальный рост числа  известных вирусов, аналогичного роста  количества инцидентов, вызванных вирусами, не зарегистрировано. Соблюдение несложных  правил компьютерной гигиены сводит риск заражения практически к  нулю. Там где работают, а не играют в компьютерные игры (именно это  явление приводит к использованию  непроверенных на наличие вирусов  программ), число зараженных компьютеров  составляет лишь доли процента.