Загрузил Алина Константиновна Строкина

Понятие информационной безопасности. Место информационной безопасности в системе национальной безопасности РФ

реклама
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ
ФЕДЕРАЦИИ
Федеральное государственное автономное образовательное учреждение высшего
образования «Новосибирский национальный исследовательский государственный
университет» (Новосибирский государственный университет, НГУ)
Гуманитарный институт
Направление История
Студент 18801 группы
Строкина Алина Константиновна
Реферат
по БЖД и ГО
Понятие информационной безопасности. Место информационной
безопасности в системе национальной безопасности РФ
Проверяющий: Ивченко Александр
Александрович
Новосибирск
2020
Содержание
Введение…………………………………………………………..………3
Основы информационной безопасности………………………………..4
1.1.
Контроль информационной безопасности…………….….4
1.2.
Угрозы информационной безопасности…………………..5
1.3.
Меры информационной защиты................................……..6
Информационная безопасность РФ……………………………………..7
2.1. Угрозы информационной безопасности РФ………………..8
2.2. Направления информационной безопасности РФ………..10
2.3. Информационная безопасность в системе национальной
безопасности РФ ……………………………………………………….12
Заключение…………………………………………………………..….15
Список литературы…………………………………………….……….16
2
Введение
В связи с развитием информационных технологий и компьютеризацией
экономики одним из важнейших вопросов становится обеспечение
информационной безопасности.
Информация – это один из самых ценных и важных активов любого
предприятия и должна быть надлежащим образом защищена.
Появление любых новых технологий, как правило, имеет как
положительные, так и отрицательные стороны. Тому множество примеров.
Атомные и химические технологи, решая проблемы энергетики и
производства новых материалов, породили экологические проблемы.
Интенсивное развитие транспорта обеспечило быструю и удобную доставку
людей, сырья, материалов и товаров в нужных направлениях, но и
материальный ущерб и человеческие жертвы при транспортных катастрофах
возросли.
Информационные технологии, также не являются исключением из этого
правила, и поэтому следует заранее позаботиться о безопасности.
От степени безопасности информационных технологий в настоящее время
зависит благополучие, а порой и жизнь многих людей. Такова плата за
усложнение и повсеместное распространение автоматизированных систем
обработки информации.
3
Основы информационной безопасности
Начнем с главных терминов этой темы и общих слов об информационной
безопасности.
Информационная безопасность – это сохранение и защита информации, а
также ее важнейших элементов, в том числе системы и оборудование,
предназначенные для использования, сбережения и передачи этой
информации. Другими словами, это набор технологий, стандартов и методов
управления, которые необходимы для обеспечения информационной
безопасности.
Цель обеспечения информационной безопасности – защитить
информационные данные и поддерживающую инфраструктуру от случайного
или преднамеренного вмешательства, что может стать причиной потери
данных или их несанкционированного изменения.
Для успешного внедрения систем информационной безопасности на
предприятии необходимо придерживаться трех главных принципов:
1. Конфиденциальность. Это значит ввести в действие контроль, чтобы
гарантировать достаточный уровень безопасности с данными, активами
и информацией на разных этапах операций для предотвращения
нежелательного или несанкционированного раскрытия.
2. Целостность. Целостность имеет дело с элементами управления,
которые связаны с обеспечением того, чтобы информация была
внутренне и внешне последовательной. Целостность также гарантирует
предотвращение искажения информации.
3. Доступность. Доступность обеспечивает надежный и эффективный
доступ к информации уполномоченных лиц. Сетевая среда должна
вести себя предсказуемым образом с целью получить доступ к
информации и данным, когда это необходимо.
Контроль информационной безопасности
Нужно понимать, что лишь системный и комплексный подход к защите
может обеспечить информационную безопасность. В системе
информационной безопасности нужно учитывать все актуальные и
вероятные угрозы и уязвимости. Для этого необходим непрерывный
контроль в реальном времени. Контроль должен производиться 24/7 и
4
охватывать весь жизненный цикл информации – от момента, когда она
поступает в организацию, и до ее уничтожения или потери актуальности.
Выделяют следующие виды контроля:
1. Административный. Административный вид контроля состоит из
утвержденных процедур, стандартов и принципов. Законы и
нормативные акты, созданные государственными органами, также
являются одним из видов административного контроля. Другие
примеры административного контроля включают политику
корпоративной безопасности, паролей, найма и дисциплинарные меры.
2. Логический. Логические средства управления (еще называемые
техническими средствами контроля) базируются на защите доступа к
информационным системам, программном обеспечении, паролях,
брандмауэрах, информации для мониторинга и контроле доступа к
системам информации.
3. Физический. Это контроль среды рабочего места и вычислительных
средств (отопление и кондиционирование воздуха, дымовые и
пожарные сигнализации, противопожарные системы, камеры,
баррикады, ограждения, замки, двери и др.).
Угрозы информационной безопасности
Угрозы информационной безопасности можно разделить на следующие:
1. Естественные (катаклизмы, независящие от человека: пожары,
ураганы, наводнение, удары молнии и т.д.).
2. Искусственные, которые также делятся на:
- непреднамеренные (совершаются людьми по неосторожности или
незнанию);
- преднамеренные (хакерские атаки, противоправные действия конкурентов,
месть сотрудников и пр.).
3. Внутренние (источники угрозы, которые находятся внутри системы).
4. Внешние (источники угроз за пределами системы).
Так как угрозы могут по-разному воздействовать на информационную
систему, их делят на пассивные (те, которые не изменяют структуру и
содержание информации) и активные (те, которые меняют структуру и
содержание системы, например, применение специальных программ).
5
Наиболее опасны преднамеренные угрозы, которые все чаще пополняются
новыми разновидностями, что связано, в первую очередь, с
компьютеризацией экономики и распространением электронных транзакций.
Злоумышленники не стоят на месте, а ищут новые пути получить
конфиденциальные данные. Поэтому необходимо уделять больше внимания
информационной безопасности.
Целью несанкционированного проникновения извне в сеть предприятия
может быть нанесение вреда (уничтожения данных), кража
конфиденциальной информации и использование ее в незаконных целях,
использование сетевой инфраструктуры для организации атак на узлы
третьих фирм, кража средств со счетов и т.п.
Меры информационной защиты
С целью защиты информации каждый должен знать и осуществлять
следующие меры:
1. Контроль доступа как к информации в компьютере, так и к прикладным
программам. Надо иметь гарантии того, что только авторизованные
пользователи имеют доступ к информации и приложениям.
Нужно использовать уникальные пароли для каждого пользователя, которые
не являются комбинациями личных данных пользователей, для
аутентификации личности пользователя.
2. Процедуры авторизации. Администратор должен разработать процедуры
авторизации, которые определяют, кто из пользователей должен иметь
доступ к той или иной информации и приложениям.
3. Защита файлов. Разрабатываются процедуры по ограничению доступа к
файлам с иными:
- используются внешние и внутренние метки файлов для указания типа
информации, который они содержат, и требуемого уровня безопасности;
- ограничивается доступ в помещения, в которых хранятся файлы данных,
такие, как архивы и библиотеки данных;
- используются организационные меры и программно-аппаратные средства
для ограничения доступа к файлам только авторизованных пользователей;
4. Защита целостности информации. Вводимая информация должна быть
авторизована, полна, точна и должна подвергаться проверкам на ошибки.
6
5. Защита системных программ. Если программное обеспечение используется
совместно, необходимо защищать его от скрытой модификации.
6. Становление мер защиты более адекватными с помощью привлечения
организаций, занимающихся тестированием информационной безопасности.
7. Рассмотрение вопроса о коммуникационной безопасности. Данные,
передаваемые по незащищенным линиям, могут быть перехвачены.
Информационная безопасность РФ
Современный мир полон острых противоречий политического,
экономического, социального и исторического характера. В этой ситуации
особенно сложно приходится России, так как она имеет уникальные
географическое положение, природные ресурсы, многонациональное
население, разнообразные культурные и научные достижения. Поэтому для
нашей страны очень важно обеспечение национальной безопасности, без
которой невозможно ее развитие.
Наряду с политической, экономической, военной, социальной и
экологической безопасностью составной частью национальной безопасности
Российской Федерации является информационная безопасность.
Под информационной безопасностью Российской Федерации понимается
состояние защищенности национальных интересов Российской Федерации в
информационной сфере, определяющихся совокупностью сбалансированных
интересов личности, общества и государства.
Информационная сфера представляет собой совокупность информационных
ресурсов и информационной инфраструктуры объекта защиты.
Совокупность хранимой, обрабатываемой и передаваемой информации,
используемой для обеспечения процессов управления, называют
информационным ресурсом.
К информационным ресурсам относятся:
- информационные ресурсы предприятий оборонного комплекса, содержащие
сведения об основных направлениях развития вооружения, о научнотехническом и производственном потенциале, об объемах поставок и запасах
стратегических видов сырья и материалов;
- информационное обеспечение систем управления и связи;
7
- информация о фундаментальных и прикладных НИР, имеющих
государственное значение и др.
Под угрозой безопасности информации понимается совокупность условий и
факторов, создающих потенциальную или реально существующую
опасность, связанную с утечкой информации и (или) несанкционированными
и (или) непреднамеренными воздействиями на нее. Угрозы информационной
безопасности Российской Федерации подразделяются на внешние и
внутренние.
Угрозы информационной безопасности РФ
Внешними угрозами, представляющими наибольшую опасность для объектов
обеспечения, являются:
- все виды разведывательной деятельности зарубежных государств;
- информационно-технические воздействия (в том числе радиоэлектронная
борьба, проникновение в компьютерные сети);
- диверсионно-подрывная деятельность специальных служб иностранных
государств, осуществляемая методами информационно-психологического
воздействия;
- деятельность иностранных политических, экономических и военных
структур, направленная против интересов Российской Федерации в сфере
обороны.
К внутренним угрозам, которые будут представлять особую опасность в
условиях обострения военно-политической обстановки, относятся:
- нарушение установленного регламента сбора, обработки, хранения
и передачи информации, находящейся в штабах и учреждениях силовых
структур Российской Федерации, на предприятиях оборонного комплекса;
- преднамеренные действия, а также ошибки персонала информационных и
телекоммуникационных систем специального назначения;
- ненадежное функционирование информационных и
телекоммуникационных систем специального назначения;
8
- возможная информационно-пропагандистская деятельность, подрывающая
престиж силовых структур Российской Федерации и их боеготовность;
- нерешенность вопросов защиты интеллектуальной собственности
предприятий оборонного комплекса, приводящая к утечке за рубеж.
К угрозам безопасности уже развернутых и создаваемых информационных и
телекоммуникационных средств и систем относятся:
- противоправные сбор и использование информации;
- нарушения технологии обработки информации;
- внедрение в аппаратные и программные изделия компонентов,
реализующих функции, не предусмотренные документацией на эти изделия;
- разработка и распространение программ, нарушающих нормальное
функционирование информационных и информационнотелекоммуникационных систем, в том числе систем защиты информации;
- уничтожение, повреждение, радиоэлектронное подавление или разрушение
средств и систем обработки информации, телекоммуникации и связи;
- воздействие на парольно-ключевые системы защиты автоматизированных
систем обработки и передачи информации;
- компрометация ключей и средств криптографической защиты информации;
- утечка информации по техническим каналам;
- внедрение электронных устройств, предназначенных для перехвата
информации, в технические средства обработки, хранения и передачи
информации по каналам связи, а также в служебные помещения органов
государственной власти, предприятий, учреждений и организаций.
- уничтожение, повреждение, разрушение или хищение машинных и других
носителей информации;
- перехват информации в сетях передачи данных и на линиях связи,
дешифрование этой информации и навязывание ложной информации;
9
- несанкционированный доступ к информации, находящейся в банках
и базах данных;
- нарушение законных ограничений на распространение информации.
Основные направления информационной безопасности РФ
- систематическое выявление угроз и их источников, структуризация целей
обеспечения информационной безопасности и определение соответствующих
практических задач;
- проведение сертификации общего и специального программного
обеспечения, пакетов прикладных программ и средств защиты информации в
существующих и создаваемых автоматизированных системах управления и
связи, имеющих в своем составе элементы вычислительной техники;
- постоянное совершенствование средств защиты информации, развитие
защищенных систем связи и управления, повышение надежности
специального программного обеспечения;
- совершенствование структуры функциональных органов системы,
координация их взаимодействия.
Оценка состояния информационной безопасности базируется на анализе
источников угроз (потенциальной возможности нарушения защиты).
Деятельность, направленную на предотвращение утечки защищаемой
информации, несанкционированных и непреднамеренных воздействий
на нее, называют защитой информации. Объектом защиты является
информация или носитель информации, или информационный процесс,
которые нужно защищать.
Защита информации организуется по трем направлениям: от утечки,
от несанкционированного воздействия и от непреднамеренного воздействия.
Первое направление – защита информации от утечки – деятельность,
направленная на предотвращение неконтролируемого распространения
защищаемой информации в результате ее разглашения,
несанкционированного доступа к информации и получения защищаемой
информации разведками.
10
Защита информации от разглашения направлена на предотвращение
несанкционированного доведения ее до потребителя, не имеющего права
доступа к этой информации.
Защита информации от несанкционированного доступа направлена на
предотвращение получения информации заинтересованным субъектом
с нарушением установленных правовыми документами или собственником,
владельцем информации прав или правил доступа к защищаемой
информации. Заинтересованным субъектом, осуществляющим
несанкционированный доступ к защищаемой информации, может быть:
государство; юридическое лицо; группа физических лиц, в том числе
общественная организация; отдельное физическое лицо.
Защита информации от технической разведки направлена на предотвращение
получения информации разведкой с помощью технических средств.
Второе направление – защита информации от несанкционированного
воздействия – деятельность, направленная на предотвращение воздействия на
защищаемую информацию с нарушением установленных прав и (или) правил
на изменение информации, приводящего к ее искажению, уничтожению,
блокированию доступа к информации, а также к утрате, уничтожению или
сбою функционирования носителя информации.
Третье направление – защита информации от непреднамеренного
воздействия – деятельность, направленная на предотвращение воздействия на
защищаемую информацию ошибок ее пользователя, сбоя технических и
программных средств информационных систем, природных явлений или
иных мероприятий, приводящих к искажению, уничтожению, копированию,
блокированию доступа к информации, а также к утрате уничтожению или
сбою функционирования носителя информации.
Таким образом, организовать защиту информации – значит создать систему
защиты информации, а также разработать мероприятия по защите и
контролю эффективности защиты информации.
11
Место информационной безопасности в системе национальной
безопасности РФ
Совокупность официальных взглядов на цели, задачи, принципы и основные
направления обеспечения информационной безопасности Российской
Федерации представлена в Доктрине информационной безопасности РФ.
Тенденция увеличения степени открытости государства перед обществом
диктует необходимость максимально возможного сокращения числа
сведений, относимых к государственной тайне, открытости общего перечня
относимых к ней категорий сведений, механизмов засекречивания и условий
рассекречивания. Обязанность государства — взять на себя формирование
взвешенного механизма защиты различных видов информации и
установления рамок действия институтов тайн. Такие требования исходят, с
одной стороны, из потребности современного общества быть более
открытым и доступным, а, с другой — диктуются необходимостью
обеспечения безопасности личности, общества и государства.
Федеральной службой по техническому и экспортному контролю
разработаны, а приказом Минздравсоцразвития России от 22 апреля 2009 г.
№ 205 утверждены «Квалификационные характеристики должностей
руководителей и специалистов по обеспечению безопасности информации в
ключевых системах информационной инфраструктуры, противодействию
техническим разведкам и технической защите информации», в соответствии
с которыми современный специалист по защите информации должен уметь
определять состав защищаемой информации, степень уязвимости,
рассчитывать ущерб от возможной утраты информации, оценивать
эффективность различных методов и средств защиты, проводить
специальные исследования и сертификацию различных технических средств
обработки и защиты информации, уметь проектировать и внедрять системы
защиты информации, знать и использовать зарубежный опыт.
На основе анализа положений, содержащихся в доктринальных и
нормативных правовых документах, можно выделить следующие жизненно
важные интересы в информационной сфере:
1. для личности:
- соблюдение и реализация конституционных прав и свобод человека и
гражданина на поиск, получение, передачу, производство и распространение
объективной информации;
12
- реализация права граждан на неприкосновенность частной жизни, защита
информации, обеспечивающей личную безопасность;
- использование информации в интересах не запрещенной законом
деятельности, физического, духовного и интеллектуального развития;
- защита права на объекты интеллектуальной собственности;
- обеспечение права граждан на защиту своего здоровья от неосознаваемой
человеком вредной информации;
2. для общества:
- обеспечение интересов личности в информационной сфере;
- построение правового социального государства;
- упрочение демократии, построение информационного общества;
- духовное обновление общества, сохранение его нравственных ценностей,
утверждение в обществе идеалов высокой нравственности, патриотизма и
гуманизма, развитие многовековых духовных традиций Отечества,
пропаганда национального культурного наследия, норм морали и
общественной нравственности;
- достижение и поддержание общественного согласия;
- предотвращение манипулирования массовым сознанием;
- приоритетное развитие современных телекоммуникационных технологий,
сохранение и развитие отечественного научного и производственного
потенциала;
3. для государства:
- создание условий для реализации интересов личности и общества в
информационной сфере и их защита;
- формирование институтов общественного контроля за органами
государственной власти;
- безусловное обеспечение законности и правопорядка;
- создание условий для гармоничного развития российской информационной
инфраструктуры;
13
- формирование системы подготовки, принятия и реализации решений
органами государственной власти, обеспечивающей баланс интересов
личности, общества и государства;
- защита государственных информационных систем и государственных
информационных ресурсов, в том числе государственной тайны;
- защита единого информационного пространства страны;
- развитие равноправного и взаимовыгодного международного
сотрудничества.
Укрепление информационной безопасности названо в Концепции
национальной безопасности РФ в числе самых важных долгосрочных задач.
Роль информационной безопасности и ее место в системе национальной
безопасности страны определяются также тем, что государственная
информационная политика тесно взаимодействует с государственной
политикой обеспечения национальной безопасности страны через систему
информационной безопасности, где последняя выступает важным
связующим звеном всех основных компонентов государственной политики в
единое целое.
14
Заключение
За последние годы в Российской Федерации реализован комплекс мер по
совершенствованию обеспечения ее информационной безопасности.
Начато формирование базы правового обеспечения информационной
безопасности. Приняты федеральные законы «Об информации,
информатизации и защите информации», «Об участии в международном
информационном обмене», ряд других законов, развернута работа по
созданию механизмов их реализации.
Успешному решению вопросов обеспечения информационной безопасности
Российской Федерации способствуют государственная система защиты
информации, системы сертификации средств защиты информации.
Современные условия политического и социально-экономического развития
страны вызывают обострение противоречий между потребностями общества
в расширении свободного обмена информацией и необходимостью
сохранения отдельных регламентированных ограничений на ее
распространение.
Противоречивость и неразвитость правового регулирования общественных
отношений в информационной сфере приводят к серьезным негативным
последствиям.
Отставание отечественных информационных технологий вынуждает
федеральные органы государственной власти, органы государственной
власти субъектов Российской Федерации и органы местного самоуправления
при создании информационных систем идти по пути закупок импортной
техники и привлечения иностранных фирм, из-за чего повышается
вероятность несанкционированного доступа к обрабатываемой информации
и возрастает зависимость России от иностранных производителей
компьютерной и телекоммуникационной техники, а также программного
обеспечения. В остальном же цели и задачи в данном направлении
поставлены верно, но то же «пиратство» у нас фактически остается
безнаказанным.
15
Список литературы:
1. Фатьянов А.А. Правовое обеспечение безопасности информации в
Российской Федерации. М.: Издат. группа "Юрист", 2001.
2. Лопатин В.Н. Информационная безопасность России: Человек.
Общество. Государство. СПб.: Фонд "университет", 2000.
16
Скачать