Файл: Международные стандарты в сфере безопасности сетей.pdf

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 08.07.2023

Просмотров: 90

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

 1.Введение.

Информационная безопасность играет сегодня огромную роль в сфере технологий, где цифровая информация является потоком данных одновременно со всех точек земного шара. Каждую секунду появляется новая информация, которую постоянно обрабатывают и продают. Секретная, или же конфиденциальная информация, имеет большую ценность и, к сожалению, является основной целью злоумышленников.

В наше время удобнее и мобильнее хранить информацию на электронных носителях. Но такая информация уязвима из-за большого объема, многоточечности, анонимности доступа и т.п. Поэтому обеспечение защиты информации, хранимой в компьютерной среде, становится проблематично, нежели чем, сохранение тайны на традиционных (бумага, фото) носителях. Т.к. ее сохранность достигается исключительно соблюдением мер физической защиты.

Сейчас любой пользователь ПК в мире так или иначе должен быть осведомлен в вопросах борьбы с вирусами, а также личностями стоящими за их, собственно, созданием и распространением.

Причём последние зачастую осуществляют задуманное руками своих жертв. А потому «технические» и «физические» методы защиты информации должны совмещаться с образованием пользователей в области компьютерных технологий и в частности компьютерной безопасности.

К сожалению проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.

Сейчас существуют правовые меры обеспечения информационной безопасности - это регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.

Политика государства в области информационной безопасности.

    1. История.

Синхронизация сетей вызвала резонанс в вопросе защиты секретной информации, при том что ранее было легко скопировать информацию в цифровом виде.

В 1967 под патронажем Национального Комитета Стандартов была учреждена Инициативная Группа исследователей по вопросам компьютерной безопасности, в которую вошли представители университетов, компаний по производству компьютеров, научно-исследовательских центров и других организаций.


В последствии появилась «радужная серия» - это ряд стандартов и требований предъявляемых к оборудованию, программному обеспечению и персоналу так называемых систем автоматической обработки данных — компьютерных сетей, принадлежавших гос. структурам США: NASA, Министерство Обороны, Национальный комитет стандартов, Министерство Труда, Отдел по охране окружающей среды, Министерство по контролю за вооружением, Национальное научное общество, Федеральная резервная система и наконец Центр Объединенного Командования ВС и тд. Так же создан Национальный Центр Компьютерной Безопасности, занимавшийся этими вопросами.

В 1981 был создан подобный центр при Министерстве Обороны, разработавший и внедривший «радужную серию» в 1985 году. Наиболее значимым для истории в силу своей общности и направленности не только на сугубо внутренние цели, но и на некую оценку качества коммерческих продуктов так или иначе обрабатывающих и хранящих конфиденциально важную информацию, стал стандарт «Критерии оценки доверенных компьютерных систем», названный Оранжевой книгой в силу цвета обложки (кстати говоря, оранжевую обложку имеет не только этот мировой стандарт — по меньшей мере спецификации на лазерный аудиодиск и на шейдерную модель OpenGL называют оранжевыми книгами). Её целью были максимальная гибкость и универсальность оценки безопасности.

Системы безопасности появились, чтобы защитить её от шпионом и от других взломов.

Информационная безопасность это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Национальными интересами Российской Федерации являются:

  • Развитие информационных средств
  • Достоверность передаваемой информации
  • Информационное обслуживание руководства
  • Защита баз данных
  • Сохранность инфраструктуры
  • Защита прав человека в информационной сфере
  • Защита прав на частную информацию

В информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности на основе этих национальных интересов.

Государственная политика Российской Федерации в области информационной безопасности. Основные принципы:

  • Юридическая ответственность за сохранность информации
  • Федеральная программа ИБ
  • Нормативно-правовая база
  • Предоставление гражданам доступа к мировым информационным системам
  • Регламентация доступа к информации
  • Контроль за разработкой и использованием средств защиты информации

Государство в процессе реализации функций по обеспечению информационной безопасности Российской Федерации организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации.

Поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации.

Осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации.

Способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям.

Организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области.

  1. Проблемы информационной безопасности.

Любая информационная система потенциально уязвима. Внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:

необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки.

Основные проблемы:

необходимость обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);

необходимость защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).

Проблемы в значительной степени решаются посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для достижения поставленной цели в необходимо рассмотреть исходные данные и факторы, определяющие технологическую безопасность. Это показатели, характеризующие технологическую безопасность информационных систем, требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС, ресурсы, необходимые для обеспечения технологической безопасности ИС.


Далее необходимо выработать стратегию направленную на уменьшение факторов способных вызвать те или иные нежелательные последствия.

Проблема информационной безопасности заключается в том, что любую систему можно взломать.

3.1. Борьба с терроризмом.

Терроризм - совокупность противоправных действий, связанных с покушениями на жизнь людей, угрозами расправ, деструктивными действиями в отношении материальных объектов, искажением объективной информации или рядом других действий, способствующих нагнетанию страха и напряженности в обществе с целью получения преимуществ при решении политических, экономических или социальных проблем.

Направления противоправных, злоумышленных действий в сетевой среде с целью проведения террористических актов:

  • Разрушение инфраструктуры сети корпоративного, национального или транснационального масштаба посредством вывода из строя системы управления ею или отдельных подсистем.
  • Несанкционированный (неправомерный) доступ к сетевой информации, охраняемой законом и носящей высокий уровень секретности, нарушение ее целостности, конструктивной управляемости и защищенности.

Следует отличать террористические действия от действий террористов с использованием сетевых ресурсов (в том числе собственных в Интернет) в целях пропаганды своих взглядов, нагнетания обстановки страха, напряженности и т. д.

Ущерб от террористических действий на сетевой среде связан:

  • с человеческими жертвами или материальными потерями, вызванными деструктивным использованием элементов сетевой инфраструктуры;
  • с возможными потерями (в том числе гибелью людей) от несанкционированного использования информации с высоким уровнем секретности или сетевой инфраструктуры управления в жизненно важных (критических) для государства сферах деятельности;
  • с затратами на восстановление управляемости сети, вызванными действиями по ее разрушению или повреждению;
  • с моральным ущербом как владельца сетевой инфраструктуры, так и собственного информационного ресурса;

Подход к предотвращению и реагированию на действия в случае террористического характера отличается от других противоправных действий в сетях общего пользования связано с более высоким уровнем требований к безопасности систем, обусловленных их назначением, целями и средой безопасности.

Антитеррористическая информационная безопасность - совокупность механизмов, инструментальных средств, методов, мер и мероприятий, позволяющих предотвратить, обнаружить, а в случае обнаружения, - оперативно реагировать на действия, способные привести:

  • к разрушению инфраструктуры сети посредством вывода из строя системы управления ею или отдельных ее элементов;
  • к несанкционированному доступу к информации, охраняемой законом и носящей высокий уровень секретности, нарушению ее целостности, конструктивной управляемости и защищенности.

Основа антитеррористических действий с использованием сетевой среды - традиционная информационная безопасность, ее методология, модели, механизмы и инструментальные средства. Разработка, построение и сопровождение систем информационной безопасности для отдельных продуктов, изделий и комплексов на сетевой среде, особенно на сетях пакетной коммутации и Интернет, - сложная, многоплановая задача.

Антитеррористическая информационная безопасность является важным пунктом в информационной безопасности и ему уделяется особое значение.

3.2. Угрозы и их показатели.

Угроза безопасности информации – это совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные (несанкционированный доступ к информационным ресурсам, незаконное копирование данных в информационных системах, хищение информации из библиотек, архивов, банков и баз данных), программные (использование ошибок и "дыр" в ПО, компьютерные вирусы и вредоносные программы, установка "закладных" устройств), физические (уничтожение или разрушение средств обработки информации и связи, хищение носителей информации), радиоэлектронные (внедрение электронных устройств перехвата информации в технические средства и помещения) и организационно-правовые (закупки несовершенных или устаревших информационных технологий и средств информатизации, нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере).