Файл: Назначение и структура системы защиты информации коммерческого предприятия (Теоретические основы защиты информации).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 29.06.2023

Просмотров: 52

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

ВВЕДЕНИЕ

21 век, безусловно, является веком, в котором господствует информация. Информация сегодня – это не просто сведения, а ценный ресурс, обладание которым открывает многие пути. И поэтому защита информации сейчас одно из неотъемлемых условий успеха любого предприятия. С достаточно резким развитием компьютерной и сетевой техники одновременно появилась и проблема, состоящая в актуальной, адекватной ситуации защите информации. И с каждым днем эта проблема становится все серьезнее. Мы видим, как увеличивается число кибер-преступлений – преступлений, совершенных в сетевом информационном пространстве. Корпорации и крупные предприятия ежегодно несут неисчислимые убытки, что является следствием деятельности кибер-преступников, совершающих хищения, деформацию и компрометацию конфиденциальной, стратегически важной для предприятия информации.

Одной из основных причин увеличения преступлений данного рода является постепенный переход с традиционных форм хранения информации (на бумаге) к современным (в памяти компьютера и в сети). При этом защита информации зачастую бывает недостаточна для того уровня конфиденциальности, который присваивается данным. И становится очевидно, что в подобных условиях перед любым современным предприятием стоит вопрос о комплексном, грамотном подходе к обеспечению защиты информации. Нередки случаи, когда руководители не обладают достаточными знаниями для формирования соответствующей системы защиты информации, или уделяют данной проблеме недостаточно внимания по каким-либо причинам. Это приводит к неприятным, а порой и губительным для бюджета и структуры предприятия последствиям. Так, для того чтобы определить наиболее целесообразные системы защиты информации коммерческого предприятия, необходимо достигнуть цели – изучение назначения и структуры системы защиты информации коммерческого предприятия.

Для достижения данной цели необходимо выполнить следующие задачи:

  • рассмотреть понятие защиты информации;
  • охарактеризовать системы защиты информации. Привести особенности защиты информации в коммерческом предприятии;
  • проанализировать назначение систем защиты информации;
  • изучить структуру систем защиты информации;
  • подвести итоги по выполненной работе.

Объектом работы выступают системы защиты информации коммерческого предприятия, а предметом – их назначение и структура.

Методологической основой исследования выступают теоретические и практические положения трудов таких исследователей проблемы, как Бирюков А., Емельянова Н., Мельников В., Шаньгин В. и др.


Структура работы включает две главы – по два параграфа каждая. Также включены такие элементы, как список использованной литературы, введение и заключение.

Глава 1. Теоретические основы защиты информации

Понятие защиты информации

Для детального рассмотрения исследуемой проблемы целесообразно рассмотреть в аналогии такие два понятия, как «безопасность информации» и «защита информации».

Понятие «безопасность информации» условно можно разделить на два аспекта:

  • безопасность содержательной части (смысла) информации представляется как отсутствие в ней побуждения человека к негативным действиям, умышленно заложенных механизмов негативного воздействия на человеческую психику или негативного воздействия на иной блок информации (например, информация, содержащаяся в программе для ЭВМ, именуемой компьютерным вирусом)[1];
  • защищенность информации от внешних воздействий (попыток неправомерного копирования, распространения, модификации (изменения смысла) либо уничтожения[2].

Таким образом, защита информации входит составной частью в понятие «безопасность информации».

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа;
  • реализацию права на доступ к информации[3].

Следует отметить, что в целом проблема информационной безопасности включает, наряду с задачами обеспечения защищенности информации и информационных систем, еще два аспекта: защиту от воздействия вредоносной информации, обеспечение принятия обоснованных решений с максимальным использованием доступной информации.

Обеспечение информационной безопасности призвано решать следующие основные задачи:

  • выявление, оценка и предотвращение угроз информационным системам и информационным ресурсам;
  • защита прав юридических и физических лиц на интеллектуальную собственность, а также сбор, накопление и использование информации;
  • защита государственной, служебной, коммерческой, личной и других видов тайны.

Угрозы информационным системам и информационным ресурсам можно условно разделить на четыре основные группы:


  • программные. Заключаются во внедрении в целевую систему вирусов, уничтожение и модификацию информации в информационной системе;
  • технические, в т.ч. радиоэлектронные. Представляют собой некий «перехват» данных на их пути в линии связи. Также возможно радиоэлектронное воздействие на линии связи с целью подавления сигнала;
  • физические. Предполагают уничтожение или значительную порчу носителя, средств обработки и хранения информации. К этой группе также относится хищение носителей и ключей доступа;
  • информационные. Подобные угрозы подразумевают нарушения регламентов в процессе информационного обмена. Сюда же относятся незаконный сбор, хранение, передачу и использование данных, несанкционированное проникновение к данным, копирование и размножение конфиденциальной информации и др.[4].

Перечисленные угрозы реальны, но также реально возможно им противостоять. Основой такого противостояния, в первую очередь, являются действия по разработке и внедрению специализированных, проверенных высокоэффективных систем защиты информации. Кроме того, необходимо учитывать, что при принятии решения об использовании той или иной системе защиты информации, следует применять системный подход по нескольким причинам:

Во–первых, для эффективной защиты информационных ресурсов требуется реализация целого ряда разнородных мер, которые можно разделить на три группы: юридические, организационно-экономические и технологические. Все они базируются на следующих принципах:

  • нормативно–правовая база информационных отношений в обществе четко регламентирует механизмы обеспечения прав граждан свободно искать, получать, производить и распространять информацию любым законным способом;
  • интересы обладателей информации охраняются законом;
  • засекречивание (закрытие) информации является исключением из общего правила на доступ к информации;
  • ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируются;
  • специальной заботой государства является развитие сферы информационных услуг, оказываемых населению и специалистам на основе современных компьютерных сетей, системы общедоступных баз и банков данных, содержащих справочную информацию социально–экономического, культурного и бытового назначения, право доступа к которым гарантируется и регламентируется законодательством[5].

Во–вторых, разработкой мер защиты применительно к каждой из четырех групп должны заниматься специалисты из соответствующих областей знаний. Естественно, что каждый из указанных специалистов по–своему решает задачу обеспечения информационной безопасности и применяет свои способы и методы для достижения заданных целей. При этом каждый из них в своем конкретном случае находит свои наиболее эффективные решения. Однако на практике совокупность таких частных решений не дает в сумме положительного результата – система безопасности в целом работает неэффективно[6].


Применение в этих условиях системного подхода позволяет определить взаимные связи между соответствующими определениями, принципами, способами и механизмами защиты. Причем понятие системности в данном случае заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла информационной системы.

С точки зрения общей теории систем можно выделить три класса задач:

  • задача анализа – определение характеристик системы при заданной ее структуре;
  • задача синтеза – получение структуры системы, оптимальной по какому–либо критерию (или их совокупности);
  • задача управления – поиск оптимальных управляющих воздействий на элементы системы в процессе ее функционирования[7].

Применение системного подхода на этапе создания системы защиты информации подразумевает решение соответствующей задачи синтеза. Такой подход (например, применительно к техническим системам) позволяет получить оптимальное по определенному критерию (или их совокупности) решение: структуру, алгоритмы функционирования.

При оценке качества функционирования синтезированной средствами защиты информации, целесообразно производить оценку ее эффективности. В настоящее время в отечественной и зарубежной практике преимущественно используются два способа оценки:

  • определение соответствия техническому заданию на создание системы защиты реализованных функций и задач защиты, эксплуатационных характеристик и требований;
  • анализ функциональной надежности системы защиты.

Первый способ является наиболее простым и выполняется на этапе приемо–сдаточных испытаний.

Суть второго заключается в следующем. Для обоснования выбора средств защиты в целях эффективного обеспечения защиты вводится классификация их свойств. Каждому классу соответствует определенная совокупность обязательных функций. В России классификация систем защиты определяется руководящим документом Гостехкомиссии «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». В соответствии с этим документом устанавливается семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. Самый низкий класс – седьмой, самый высокий – первый.

По уровню защиты такие классы принято разделять на четыре уровня:


  • первая группа содержит только один седьмой класс;
  • вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
  • третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
  • четвертая группа характеризуется верифицированной защитой и содержит только первый класс[8]. Указанные способы используют, по своей сути, системотехнические методики оценки.

Наряду с упомянутыми способами существует ряд методик и моделей, с помощью которых производится анализ эффективности систем защиты информации. Для оценки в моделях используются показатели, характеризующие уязвимость информации, обрабатываемой в информационной системе, либо некоторые величины, входящие в выражения показателей качества информации. Таким образом, построение высокоэффективных систем защиты информации возможно на основе системного подхода путем решения соответствующей задачи синтеза. Задача синтеза сводится к оптимальному обоснованию качественных и количественных требований к средствам защиты информации.

В последнее время формируется устойчивое мнение, что информация, существующая в форме знаний, должна быть общедоступна, потребность в ее получении у подавляющего большинства индивидов столь же велика, как и потребность в жизни или свободе. И если право жить как первичное, фундаментальное ничем ограничить нельзя, ограничение права на свободу жестко регламентируется законом, то не менее жестко необходимо определять условия, при которых может быть ограничено право человека в доступе к необходимой ему информации.

В Российской Федерации в период 90–х гг. был предпринят ряд существенных мер, направленных на обеспечение свободы массовой информации, которые нашли отражение в Законе о средствах массовой информации (СМИ), Федеральном законе от 13 января 1995 г. № 7–ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации».

То субъективное право, на котором мы заостряем внимание, касается права человека свободно искать и получать информацию. И лишь к отдельным категориям информации, точно определенным нормативными правовыми актами, доступ может быть временно ограничен. Основанием в таком ограничении является защита охраняемых законом интересов личности, общества и государства. На протяжении значительной части прошлого века деятельность средств массовой информации в России осуществлялась в условиях действия цензуры, которая практически обеспечивала информационную безопасность этой деятельности.