Файл: ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.pdf

ГЛАВА 2. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

2.1 Организационные средства защиты

Организационные средства защиты информации включают в себя следующие группы (рис. 5).

Рис. 5. Организационные средства защиты информации (авторская схема).

Организационно-технические средства включают в себя:

- подготовка и надлежащее оборудование помещений, где размещаются компьютеры;

- прокладка кабеля с учетом стандартов;

- установка компьютерной техники.

Организационно-правовые средства включают в себя:

- законы и подзаконные нормативно-правовые акты;

- внутренние нормативы организации;

- решения руководства.

Организационные средства имеют свои преимущества и недостатки. К сильным сторонам относятся:

- одновременное решение различных проблем и вопросов;

- простота исполнения;

- быстрое реагирование на нарушения в сети;

- широкие возможности развития.

К слабым сторонам можно отнести:

- повышенную зависимость от субъективных факторов;

- особенности работы на предприятии.

Выделяют следующие организационные мероприятия [4, с. 101]:

К организационным мероприятиям можно отнести следующие:

- четкая структура персонала, а также разделение помещений для работы разных структурных подразделений предприятия;

- ограничение или запрет доступа посторонних лиц в специальные помещения;

- охрана или сигнализация помещений;

- четкое ограничение списка лиц, имеющих право доступа к компьютерам и иному оборудованию;

- промежуточные меры защиты информации (пароли, специальные программы).

2.2 Технические средства защиты

Технические или аппаратные средства понимаются как «устройства различного типа, решающие аппаратными средствами задачи защиты информации» [4, с. 103]. К техническим средствам можно отнести:

- механические,

- электронные,

- электромеханические и др.

К аппаратным средствам защиты можно отнести соответствующие устройства:

- электронные,

- электронно-оптические,

- электронно-механические.

Например, наиболее широко употребляются:

- регистры для реквизитов защиты (разных идентифицирующих кодов, паролей, грифов секретности и т.д.);

- устройства определения индивидуальных качеств человека для его идентификации (отпечатков пальцев, голоса и пр.);

- схемы периодической проверки адреса данных путем прерывания передачи;

- инструменты для шифрования информации (более подробно это будет рассмотрено в третьей главе настоящей работы).

Помимо этого для внешней защиты информационной системы используются такие средства как:

1. системы цифрового видеонаблюдения (камеры наружного и внутреннего наблюдения);
2. системы пожарной сигнализации;
3. системы охранной сигнализации;
4. системы управления доступом;
5. различные контрольные системы.

Утечка информации охраняется посредством использования следующих средств:

- применение экранированного кабеля и экранированных конструкций при его прокладке;

- оборудование экранированных помещений;

- применение высококачественных фильтров связи;

- создание зон контроля;

- установка и использование активных систем зашумления.

2.3 Программные средства защиты

Программные средства это различные программы, используемые в следующих целях [4, с. 107]:

- контроля доступа,

- идентификации пользователей,

- шифрования и кодирования информации,

- удаления промежуточной рабочей информации,

- контроля системы защиты в тестовом режиме и др.

Программные средства обладают преимуществами:

- универсальностью,

- надежностью,

- гибкостью,

- простотой установки и использования,

- возможностью к модификации.

Наряду с преимуществами есть и свои недостатки, а именно:

- ограниченная функциональность сети,

- высокий уровень реакции на случайные или преднамеренные изменения,

- зависимость от типов и видов компьютеров.

Авторами выделяются такие виды программных средств (рис. 6).

Рассмотрим их более подробно.

1. Встроенные средства просты в эксплуатации и удобны.
2. Специализированные средства имеют большие возможности по сравнению с встроенными.
3. Межсетевые экраны это промежуточные серверы, предназначенные для фильтрации трафика разных уровней. Сетевые экраны, носящие название фильтров, делают локальную сеть невидимой и не пропускают вредные пакеты, не соответствующие той или иной конфигурации.

Рис. 6. Виды программных средств (авторская схема).

1. Прокси-серверы – это специальные серверы-посредники, ограничивающие и полностью запрещающие несоответствующую маршрутизацию в сети. Однако, данные метод не обеспечивает защиту на более высоких уровнях.
2. VPN - виртуальная частная сеть. Её предназначение в том, чтобы передать секретную информацию через те сети, где возможна их прослушка.

ГЛАВА 3. МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ

3.1 Методы защиты информационных ресурсов

Наиболее распространены два основных метода защиты информации:

1. Криптография (общий метод).
2. Стенография (специальный метод).
3. Криптография при переводе с греческого означает «тайну написанного». В настоящее время криптография понимается как «искусство преобразования сообщений, делающее их безопасными» [11, с. 119].

Криптография включает в себя три механизма (рис. 7).

Рис. 7. Механизмы криптографии (авторская схема).

Данные механизмы имеют следующее назначение:

1. Шифрование симметричными ключами подразумевает шифровку с применением секретного ключа и алгоритма его расшифровки.
2. Шифрование асимметричными ключами основано на использовании двух ключей вместо одного.
3. При хэшировании из «сообщения переменной длины может быть создан дайджест фиксированной длины, как правило, меньшего размера, чем исходное сообщение» [11, с. 121].
4. Стеганография использовалась изначально для засекречивания связи. При переводе с греческого слово переводится как «закрытая запись». Отличие стенографии от криптографии заключается в том, что она скрывает не содержание сообщения, шифруя его, а само сообщение.

Помимо вышеприведенных двух методов используются следующие:

- Скрывающие тексты. Здесь используются двоичные символы, пробелы и пр.

- Словарь слов, применяемых по их грамматическим значениямс закрепленным кодом.

- Использование изображений.

- Использование аудио- и видеоинформации.

3.2 Правовые основы защиты информации

Правовые основы защиты информации базируются на законодательстве и включают в себя четыре уровня обеспечении безопасности [1]:

1. Первый уровень правовой защиты основан на законодательных актах, применимых на территории РФ и за её пределами. Сюда можно отнести:

- международные конвенции по направлениям охраны информационной и промышленной собственности, авторском и патентном праве, защиты информации в сети Интернет;

- Конституция РФ (статья 23 Конституции провозглашает право граждан на такие действия частной жизни как ведение личной переписки, тайну сообщений и пр.);

- Гражданский кодекс РФ (статья 139 ГК РФ устанавливает ответственность за нарушение коммерческой и служебной тайны, иные незаконные действия в области информации);

- Уголовный кодекс РФ (статья 273 устанавливает ответственность за нарушение эксплуатации оборудования, за злонамеренное распространение вредоносных программ);

- Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (статья 10 определяет понятие государственной тайны и конфиденциальной информации, статья 21 определяет порядок защиты информации);

- Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (статья 5 перечисляет сведения, составляющие государственную тайну, статья 8 степень секретности информации, статья 20 перечисляет органы по защите государственной тайны, статья 28 сертификацию средств защиты информации);

- ФЗ «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ;

- ФЗ «О связи» от 16.02.95 № 15-ФЗ и другие законные акты.

2. Второй уровень правовой защиты включает в себя подзаконные акты (указы Президента, постановления Правительства, постановления Арбитражного Суда и т.д.).

3. Третий уровень защиты информации основан на ГОСТах, стандартах, нормативах.

4. Четвертый уровень защиты связан с использованием локальных нормативных актов, положений, инструкций и т.д.

3.3 Информационная безопасность в сети Интернет

Интернет является на настоящий момент основным средством общения, работы, передачи огромного количества информации.

Всемирная сеть растёт огромными темпами, вбирает в себя обширное количество сайтов, организует функционирование множества ресурсов.

Однако, велик процент и нарушений, связанных с пользованием Интернетом. Одной из причин выступает недостаточная грамотность пользователей в области защиты своей информации.

В рамках отдельно взятой организации данную проблему можно решить, помимо всех вышеперечисленных средств и методов обеспечения безопасности, путём составления документа, прописывающего следующие положения:

1. порядок ведении работы с документами и информацией организации;
2. лица, имеющие доступ к информации;
3. порядок копирования и передачи данных;
4. режим работы на компьютерном оборудовании;
5. наличие необходимой документации;
6. надлежащее оборудованеи помещений;
7. наличие журналов и инструкции по их ведению.

Помимо этого каждая организация должна следить за изменениями в законодательстве, публикациями в СМИ, принимать участие в различных мероприятиях, посвящённых охране информации.

ЗАКЛЮЧЕНИЕ

В настоящей работе была рассмотрена проблема предотвращения информационной безопасности.

Работа состоит из трех глав, в каждой из которых рассмотрены вопросы, касающиеся защиты информации.

В первой главе рассмотрены теоретические вопросы понятия информационной безопасности, ее терминологии и классификация.

В первом разделе рассмотрены цели безопасности и угрозы (атаки), которые могут ей угрожать.

Второй раздел посвящен проблемам понятия безопасности, а также здесь приведена модель безопасности.

Третий раздел содержит две классификации информационных угроз.

Вторая глава работы посвящена рассмотрению организационных, технических и программных средств защиты информации (разделы 1, 2 и 3 соответственно).

В третьей главе рассмотрены методы защиты информации (первый раздел), отдельно изучены методы правовой защиты информации (второй раздел) и рассмотрены вопросы пользования всемирной сетью Интернет.

По итогам работы необходимо сделать вывод о необходимости предварительного принятия мер по охране информации, используемой как в коммерческой деятельности, так и в личных целях, чтобы обеспечить бесперебойное пользование данными и сохранением секретных сведений, составляющих право каждого юридического и физического лица.

СПИСОК ЛИТЕРАТУРЫ

1. Ассоциация «РусКрипто»: Информационная безопасность [Электронный ресурс]: материалы конференций. - Режим доступа: http://www.ruscrypto.ru/events/infosecurity/
2. Баймакова И.А., Новиков А.В., Рогачев А.И., Хыдыров А.Х. Обеспечение защиты персональных данных. Методическое пособие. М. Книжный мир, 2016. – 354 с.
3. Галатенко В.А. Основы информационной безопасности. Интернет-университет информационных технологий. ИНТУИТ.ру, 2016.
4. Гафнер В.В. Информационная безопасность. Ростов н/Д.: Феникс, 2015. – 324 с.
5. Информационная безопасность: Виды угроз [Электронный ресурс]: статья. - Электрон, дан. - Режим доступа: http://www.infosecurity.ru/site/threats.shtml.
6. Лейбин В.М. Глобалистика, информатизация, системные исследования. Том 2. Информатизация, системные исследования. Спб.: Ленанд, 2016. – 200 с.
7. Лопатин В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. М.: 2015. - 428 с.
8. Справочная правовая база «Консультант плюс» [Электронный ресурс]: нормативно-правовые документы. - Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=40541.
9. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. Москва: ДМК Пресс, 2015.- 544 с.
10. Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. М.: Книжный мир, 2014. - 352 с.
11. Ярочкин В.И. Информационная безопасность. Учебник для вузов. М.: Академический проект, Мир, 2016. – 544 с.