Основы информационной безопасности

                                      СОДЕРЖАНИЕ

ВВЕДЕНИЕ…………………………………………………………………….2

1. Основы информационной безопасности…………………………………..3

2. Нормативные документы в области информационной безопасности…...5

3. Исторические аспекты возникновения и развития информационной безопасности……………………………………………………………………7

4. Программно-технические способы и средства обеспечения информационной безопасности……………………………………………….10

ЗАКЛЮЧЕНИЕ…………………………………………………………………12

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ…………………………….16

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                                   ВВЕДЕНИЕ

Я выбрала тему «Основы  информационной безопасности». Мне  эта тема показалась очень актуальной и интересной. В современности  информационная безопасность, на мой  взгляд, самое главное, для отношений  в обществе. Общественность, как  и бизнес, должна, помимо раскрытия  и донесения нужной информации, еще  и обезопасить ту информацию, которая  имеет особый вес и секретность. Но, много информации скрывается государством за «шторами секретности». Хотелось слышать  всегда бы ту информацию, которая может  быть и горькая, но правильная и не ложная. Но, безопасность, она на то и безопасность, чтоб уберечь и  сохранить одну волну и не затронуть  те темы, которые не являются достоверными. Существует много законов и правил подачи информации и термины безопасности. О них, о правилах, основах и  законах информационной безопасности я хочу написать в своей контрольной  работе. Просмотрев журналы, прочитав несколько учебников и газет  о политике, обществе и информации сложилось много выводов и  конечно, как и в любой науке  – вопросов. О глубоком анализе  писать рано, недостаточно опыта, но есть анализ того, что на самом деле касается жизненных ситуаций, и, конечно связей с обществом и информацией. Термин – «информационная безопасность»  имеет много характеристик. Это  и состояние защищённости информационной среды, и защита информации, представляющая собой деятельность по предотвращению утечки защищаемой информации, процесс, направленный на достижение этого состояния. Информационная безопасность организации  – это состояние защищённости информационной среды организации, обеспечивающее её формирование, использование  и развитие.

 

 

 

 

 

 

 

 

 

1. Основы информационной безопасности.

Государство – это определенная организация политической, государственной  власти в обществе, организация, не совпадающая с самим обществом. Но в обществе кроме государства  существуют и другие организации. Общество – это исторически развивающаяся  совокупность отношений между людьми, складывающаяся в процессе их жизнедеятельности. Информация – результат взаимодействия источника, среды передачи и приёмника  информации. В большинстве случаев, информацией не является статическое  восприятие. Как информация воспринимается объектом потребления, изменение состояния  источника информации или среда  её передачи – все это имеет  значение при ее получении. В узком  смысле слова, информацией можно  считать результат сравнения  одного с другим (дифференцирование). Основная функция приёмника данных – фильтрация, игнорирование шума и выявление нового в бесконечном  потоке обычного. Информация необходима для объектов, потребляющих её –  как средство обеспечения их существования, позволяет реагировать на изменения  в окружающем мире. Информация делится  на множество типов: достоверная; непротиворечивая; ложная; неправдоподобная. А так  же существует и своя охрана информации, называемая информационная безопасность. Тип информации определяет её потребитель, используя различные среды передачи и источники информации. Информационная безопасность государства – это  состояние сохранности информационных ресурсов государства и защиты, законных прав личности и общества в информационной сфере. В современном социуме, информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком – мир  техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Информационную безопасность можно представить  двумя частями: информационно-техническая  безопасность и информационно-психологическая (психофизическая) безопасность. Безопасность информации – это состояние защищенности информации (ее данных), при которой  обеспечены её конфиденциальность, доступность  и целостность. Конфиденциальность информации – это принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность  документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы  или их копии каким бы то ни было третьим лицам, либо разглашать устно, содержащиеся в них сведения без согласия собственника экономического субъекта. За исключением случаев, предусмотренных законодательными актами. Доступность информации – состояние информации (ресурсов автоматизированной информационной системы), при которой субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.

Примечание. К правам доступа  относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов. Целостность  информации – является одним из трех основных критериев информационной безопасности объекта. Обеспечение  достоверности и полноты информации и методов ее обработки. Не всегда обязательные категории модели безопасности: невозможность отказа от авторства; подотчётность – обеспечение  идентификации субъекта доступа  и регистрации его действий; достоверность  – свойство соответствия предусмотренному поведению или результату; аутентичность  или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны  заявленным. В Государственном стандарте РФ приводится следующая рекомендация использования терминов «безопасность» и «безопасный»: «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Не следует, употреблять эти слова в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения  информационной безопасности данного  объекта (СОИБ). Для построения и  эффективной эксплуатации СОИБ необходимо: выявить требования защиты информации, специфические для данного объекта  защиты; учесть требования национального  и международного Законодательства; использовать наработанные практики (стандарты, методологии) построения подобных СОИБ; определить подразделения, ответственные  за реализацию и поддержку СОИБ; распределить между подразделениями  области ответственности в осуществлении  требований СОИБ. На базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие политику информационной безопасности объекта защиты; реализовать требования политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации; реализовать Систему менеджмента (управления) информационной безопасности (СМИБ); используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости, пересмотр и корректировку СОИБ и СМИБ. Как видно, из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ, корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

 

 

2. Нормативные документы в области информационной безопасности.

В Российской Федерации к  нормативно-правовым актам в области  информационной безопасности относятся: акты федерального законодательства, международные договоры РФ; конституция  РФ; законы федерального уровня (включая  федеральные конституционные законы, кодексы); указы Президента РФ; постановления  правительства РФ; нормативные правовые акты федеральных министерств и  ведомств; нормативные правовые акты субъектов РФ, органов местного самоуправления. Международные стандарты информационной безопасности – государственные (национальные) стандарты РФ; рекомендации по стандартизации; методические указания.

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов  власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области  защиты информации:

-комитет государственной  думы по безопасности;

– совет безопасности России;

– федеральная служба по техническому и экспортному контролю (ФСТЭК);

– федеральная служба безопасности России (ФСБ России);

-министерство внутренних  дел Российской Федерации (МВД  России); федеральная служба надзора  в сфере информационных технологий  и массовых коммуникаций (Роскомнадзор). Службы, организующие защиту информации на уровне предприятия: служба экономической безопасности; служба безопасности персонала (Режимный отдел); отдел кадров; служба информационной безопасности. Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации, её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию. Для построения политики информационной безопасности, обязательно требуется рассматривать следующие направления защиты информационной системы:

– Защита объектов информационной системы;

– Защита процессов, процедур и программ обработки информации;

– Защита каналов связи;

– Подавление побочных электромагнитных излучений;

– Управление системой защиты.

По каждому из перечисленных  выше направлений, политика информационной безопасности должна описывать следующие  этапы создания средств защиты информации:

– Определение информационных и технических ресурсов, подлежащих защите;

– Выявление полного множества  потенциально возможных угроз и  каналов утечки информации;

– Проведение оценки уязвимости и рисков информации при имеющемся  множестве угроз и каналов  утечки;

– Определение требований к системе защиты;

– Осуществление выбора средств защиты информации и их характеристик;

– Внедрение и организация  использования выбранных мер, способов и средств защиты;

– Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют  по уровням описания (детализации) процесса защиты. Документы верхнего уровня политики информационной безопасности отражают позицию организации к  деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и  стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика  ИБ», «Технический стандарт ИБ» и  т.п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться  и в двух редакциях – для  внешнего и внутреннего использования. Согласно ГОСТ Р ИСО/МЭК 17799–2005, на верхнем уровне политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса». К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организации информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: безопасность данных, безопасность коммуникаций. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны. В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

 

 

 

3. Исторические аспекты возникновения и развития информационной безопасности

Информационная безопасность возникла с появлением средств информационных коммуникаций между людьми, а также  с осознанием человека о наличии  сообществ интересов, которым может  быть нанесен ущерб путём воздействия  на них. Средства информационных коммуникаций обусловили наличие и развитие средств, которые обеспечили информационный обмен между всеми элементами социума. Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов.

Первый этап

Первый этап – до 1816 года. Характеризуется он использованием естественно возникавших средств  информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или  сообщества, к которому он принадлежал, жизненное значение.

Второй этап

Второй этап, начиная с 1816 года, связан с началом использования  искусственно создаваемых технических  средств электрики и радиосвязи. Для обеспечения скрытности и  помехозащищенности радиосвязи необходимо было использовать опыт первого периода  информационной безопасности на более  высоком технологическом уровне, а именно применение помехоустойчивого  кодирования сообщения (сигнала) с  последующим декодированием принятого  сообщения (сигнала).

Третий этап

Третий этап – начиная  с 1935 года, связан с появлением радиолокационных и гидроакустических средств. Основным способом обеспечения информационной безопасности в этот период было сочетание  организационных и технических  мер, направленных на повышение защищенности радиолокационных средств от воздействия  на их приемные устройства активными  маскирующими и пассивными имитирующими радиоэлектронными помехами.

Четвертый этап

Четвертый этап – начиная  с 1946 года, связан с изобретением и  внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами  ограничения физического доступа  к оборудованию средств добывания, переработки и передачи информации.

Пятый этап

Пятый этап – начиная  с 1965 года, обусловлен созданием и  развитием локальных информационно-коммуникационных сетей. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств  добывания, переработки и передачи информации, объединённых в локальную  сеть путём администрирования и  управления доступом к сетевым ресурсам.

Шестой этап

Шестой этап – начиная  с 1973 года – связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей – хакеров, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности – важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право – новая отрасль международной правовой системы.