Файл: Виды и состав угроз информационной безопасности (КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ).pdf
Добавлен: 28.06.2023
Просмотров: 147
Скачиваний: 3
ВВЕДЕНИЕ
Новые информационные технологии бурными темпами внедряются во все сферы деятельности жизни людей. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях (университетские сети, сети военных ведомств, спецслужб и так далее), то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека. Информация, как ресурс, несет в себе значительную ценность, поэтому при нынешней информатизации общества очень важно сохранить целостность и неприкосновенность передаваемой информации.
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:
- перехват информации – целостность информации сохраняется, но её конфиденциальность нарушена;
- модификация информации – исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;
- подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от вашего имени (этот вид обмана принято называть спуфингом) или Web – сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Выборочная и бессистемная реализация мероприятий, направленных на повышение уровня IT-безопасности, не сможет обеспечить необходимого уровня защиты. Чтобы сформировать понимание приоритетности мероприятий по повышению уровня безопасности, необходимо разработать механизм управления рисками IT-безопасности, что позволит направить все усилия на защиту от наиболее опасных угроз и минимизацию затрат.
Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:
- увеличение рисков информационной безопасности в связи с появлением новых и изощренных угроз для информационной безопасности;
- современные темпы и уровни развития средств информационной безопасности значительно отстают от темпов и уровней развития информационных технологий;
- быстрые темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности из-за увеличения обрабатываемой информации;
- резкое расширение сферы пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
- доступность корпоративной информации через мобильные устройства (ноутбук, КПК, смартфон).
- доступность средств персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения.
- значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации.
- стремительное развитие информационных технологий, открыло новые возможности эффективной работы предприятия, однако привело и к появлению новых угроз.
Анализа угроз информационной безопасности позволяет определить, какие мероприятия эффективны для их минимизации и предотвращения, а какие нет.
Целью данной курсовой работы является изучение теоретических основ информационной безопасности, а также рассмотрение видов и состава угроз информационной безопасности.
Для достижения поставленной цели требуется решить следующие основные задачи:
- ознакомиться теоретическими основами информационной безопасности,
- изучить особенности различных видов угроз информационной безопасности,
- проанализировать состав угроз информационной безопасности,
- сделать выводы по работе.
В работе использована учебно-методическая литература и Интернет-ресурсы.
ГЛАВА 1. КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура, основу которой составляют:
- весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;
- значительное число фирм, специализирующихся на решении вопросов защиты информации;
- достаточно четко очерченная система взглядов на эту проблему;
- наличие значительного практического опыта и другое.
Тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту.
Основные понятия теории информационной безопасности
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий. В свою очередь защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности[1].
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа;
- реализацию права на доступ к информации.
Кроме того, защита информации понимается как деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Средство защиты информации - техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации.
Защита информации от утечки - защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации (иностранными) разведками и другими заинтересованными субъектами.
Защита информации от разглашения - защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.
Защита информации от несанкционированного доступа - защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
Система защиты информации - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
Безопасность информации (данных) - состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.
Политика безопасности (информации в организации) - совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности [2].
Опасности - возможные или реальные явления, события и процессы, способные нанести ущерб или уничтожить индивида, социальную группу, народ, общество, государство и человечество в целом, нанести ущерб благополучию, разрушить материальные, духовные или природные ценности, вызвать деградацию, закрыть путь к развитию науки в целом. Опасности родственно понятие «угроза»; угрозы исходят от различного рода источников опасности.
В зависимости от типа угрозы, а также в содержательном плане для международной и национальной безопасности, выделяются следующие сферы (области) ее проявления и обеспечения:
- экологическая безопасность;
- экономическая безопасность;
- военная безопасность;
- ресурсная безопасность;
- информационная безопасность;
- социальная безопасность;
- научно-техническая безопасность;
- энергетическая безопасность;
- ядерная безопасность;
- политическая безопасность;
- инновационная безопасность;
- правовая безопасность;
- культурная безопасность;
- техническая безопасность и др.
Многообразие объектов защиты, множество опасностей и угроз, а также их источников в настоящее время выдвигает на первый план необходимость разработки общетеоретических основ обеспечения безопасности. Постановка любой новой проблемы требует выделения базовых вопросов. Их методологическое осмысление позволяет понять проблему в целом и выйти на ее практическое, прикладное решение.
Основой современной концепции безопасности в условиях глобализации является единство отношений основных социальных субъектов - личность, организация, общество, государство и мировое сообщество в целом.
Методологию безопасности можно сформулировать как учение об основах, принципах, структуре, логической организации системы безопасности, видах и методах деятельности по ее обеспечению.
Особое значение информационная безопасность приобретает в условиях коммерческой деятельности. Информация об изменении политической, социальной, экономической и экологической ситуации, изменения рынков организации, научно-техническая и технологическая информация, конкретные ноу-хау, касающиеся каких-либо аспектов бизнеса, новое в методах организации и управления бизнесом позволяет адекватно реагировать на любые изменения внешней среды бизнеса, эффективно планировать и осуществлять свою хозяйственную деятельность.
Факторы бизнеса, используемые владельцами организации для выполнения целей бизнеса: ресурс капитала, ресурс персонала, ресурс информации и технологии являются корпоративными ресурсами. Эта информация, касающаяся всех сторон деятельности предприятия и организации, в настоящее время наиболее ценный и дорогостоящий ресурс, требующий принятия определенных мер по защите.
Таким образом, в настоящее время сложилась система взглядов на обеспечение информационной безопасности. В то же время злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту, что определяет актуальность оценки угроз информационной безопасности[3].
Составляющие информационной безопасности
Информационная безопасность (ИБ) – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход. Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому не станем его выделять. Поясним понятия доступности, целостности и конфиденциальности. Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.