Добавлен: 08.07.2023
Просмотров: 97
Скачиваний: 4
1.Введение.
Информационная безопасность играет сегодня огромную роль в сфере технологий, где цифровая информация является потоком данных одновременно со всех точек земного шара. Каждую секунду появляется новая информация, которую постоянно обрабатывают и продают. Секретная, или же конфиденциальная информация, имеет большую ценность и, к сожалению, является основной целью злоумышленников.
В наше время удобнее и мобильнее хранить информацию на электронных носителях. Но такая информация уязвима из-за большого объема, многоточечности, анонимности доступа и т.п. Поэтому обеспечение защиты информации, хранимой в компьютерной среде, становится проблематично, нежели чем, сохранение тайны на традиционных (бумага, фото) носителях. Т.к. ее сохранность достигается исключительно соблюдением мер физической защиты.
Сейчас любой пользователь ПК в мире так или иначе должен быть осведомлен в вопросах борьбы с вирусами, а также личностями стоящими за их, собственно, созданием и распространением.
Причём последние зачастую осуществляют задуманное руками своих жертв. А потому «технические» и «физические» методы защиты информации должны совмещаться с образованием пользователей в области компьютерных технологий и в частности компьютерной безопасности.
К сожалению проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.
Сейчас существуют правовые меры обеспечения информационной безопасности - это регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.
Политика государства в области информационной безопасности.
Синхронизация сетей вызвала резонанс в вопросе защиты секретной информации, при том что ранее было легко скопировать информацию в цифровом виде.
В 1967 под патронажем Национального Комитета Стандартов была учреждена Инициативная Группа исследователей по вопросам компьютерной безопасности, в которую вошли представители университетов, компаний по производству компьютеров, научно-исследовательских центров и других организаций.
В последствии появилась «радужная серия» - это ряд стандартов и требований предъявляемых к оборудованию, программному обеспечению и персоналу так называемых систем автоматической обработки данных — компьютерных сетей, принадлежавших гос. структурам США: NASA, Министерство Обороны, Национальный комитет стандартов, Министерство Труда, Отдел по охране окружающей среды, Министерство по контролю за вооружением, Национальное научное общество, Федеральная резервная система и наконец Центр Объединенного Командования ВС и тд. Так же создан Национальный Центр Компьютерной Безопасности, занимавшийся этими вопросами.
В 1981 был создан подобный центр при Министерстве Обороны, разработавший и внедривший «радужную серию» в 1985 году. Наиболее значимым для истории в силу своей общности и направленности не только на сугубо внутренние цели, но и на некую оценку качества коммерческих продуктов так или иначе обрабатывающих и хранящих конфиденциально важную информацию, стал стандарт «Критерии оценки доверенных компьютерных систем», названный Оранжевой книгой в силу цвета обложки (кстати говоря, оранжевую обложку имеет не только этот мировой стандарт — по меньшей мере спецификации на лазерный аудиодиск и на шейдерную модель OpenGL называют оранжевыми книгами). Её целью были максимальная гибкость и универсальность оценки безопасности.
Системы безопасности появились, чтобы защитить её от шпионом и от других взломов.
Информационная безопасность – это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Национальными интересами Российской Федерации являются:
- Развитие информационных средств
- Достоверность передаваемой информации
- Информационное обслуживание руководства
- Защита баз данных
- Сохранность инфраструктуры
- Защита прав человека в информационной сфере
- Защита прав на частную информацию
В информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности на основе этих национальных интересов.
Государственная политика Российской Федерации в области информационной безопасности. Основные принципы:
- Юридическая ответственность за сохранность информации
- Федеральная программа ИБ
- Нормативно-правовая база
- Предоставление гражданам доступа к мировым информационным системам
- Регламентация доступа к информации
- Контроль за разработкой и использованием средств защиты информации
Государство в процессе реализации функций по обеспечению информационной безопасности Российской Федерации организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности Российской Федерации.
Поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации.
Осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации.
Способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям.
Организует разработку федеральной программы обеспечения информационной безопасности Российской Федерации, объединяющей усилия государственных и негосударственных организаций в данной области.
Любая информационная система потенциально уязвима. Внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:
необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки.
Основные проблемы:
необходимость обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
необходимость защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).
Проблемы в значительной степени решаются посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД). Для достижения поставленной цели в необходимо рассмотреть исходные данные и факторы, определяющие технологическую безопасность. Это показатели, характеризующие технологическую безопасность информационных систем, требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС, ресурсы, необходимые для обеспечения технологической безопасности ИС.
Далее необходимо выработать стратегию направленную на уменьшение факторов способных вызвать те или иные нежелательные последствия.
Проблема информационной безопасности заключается в том, что любую систему можно взломать.
3.1. Борьба с терроризмом.
Терроризм - совокупность противоправных действий, связанных с покушениями на жизнь людей, угрозами расправ, деструктивными действиями в отношении материальных объектов, искажением объективной информации или рядом других действий, способствующих нагнетанию страха и напряженности в обществе с целью получения преимуществ при решении политических, экономических или социальных проблем.
Направления противоправных, злоумышленных действий в сетевой среде с целью проведения террористических актов:
- Разрушение инфраструктуры сети корпоративного, национального или транснационального масштаба посредством вывода из строя системы управления ею или отдельных подсистем.
- Несанкционированный (неправомерный) доступ к сетевой информации, охраняемой законом и носящей высокий уровень секретности, нарушение ее целостности, конструктивной управляемости и защищенности.
Следует отличать террористические действия от действий террористов с использованием сетевых ресурсов (в том числе собственных в Интернет) в целях пропаганды своих взглядов, нагнетания обстановки страха, напряженности и т. д.
Ущерб от террористических действий на сетевой среде связан:
- с человеческими жертвами или материальными потерями, вызванными деструктивным использованием элементов сетевой инфраструктуры;
- с возможными потерями (в том числе гибелью людей) от несанкционированного использования информации с высоким уровнем секретности или сетевой инфраструктуры управления в жизненно важных (критических) для государства сферах деятельности;
- с затратами на восстановление управляемости сети, вызванными действиями по ее разрушению или повреждению;
- с моральным ущербом как владельца сетевой инфраструктуры, так и собственного информационного ресурса;
Подход к предотвращению и реагированию на действия в случае террористического характера отличается от других противоправных действий в сетях общего пользования связано с более высоким уровнем требований к безопасности систем, обусловленных их назначением, целями и средой безопасности.
Антитеррористическая информационная безопасность - совокупность механизмов, инструментальных средств, методов, мер и мероприятий, позволяющих предотвратить, обнаружить, а в случае обнаружения, - оперативно реагировать на действия, способные привести:
- к разрушению инфраструктуры сети посредством вывода из строя системы управления ею или отдельных ее элементов;
- к несанкционированному доступу к информации, охраняемой законом и носящей высокий уровень секретности, нарушению ее целостности, конструктивной управляемости и защищенности.
Основа антитеррористических действий с использованием сетевой среды - традиционная информационная безопасность, ее методология, модели, механизмы и инструментальные средства. Разработка, построение и сопровождение систем информационной безопасности для отдельных продуктов, изделий и комплексов на сетевой среде, особенно на сетях пакетной коммутации и Интернет, - сложная, многоплановая задача.
Антитеррористическая информационная безопасность является важным пунктом в информационной безопасности и ему уделяется особое значение.
3.2. Угрозы и их показатели.
Угроза безопасности информации – это совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.
По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные (несанкционированный доступ к информационным ресурсам, незаконное копирование данных в информационных системах, хищение информации из библиотек, архивов, банков и баз данных), программные (использование ошибок и "дыр" в ПО, компьютерные вирусы и вредоносные программы, установка "закладных" устройств), физические (уничтожение или разрушение средств обработки информации и связи, хищение носителей информации), радиоэлектронные (внедрение электронных устройств перехвата информации в технические средства и помещения) и организационно-правовые (закупки несовершенных или устаревших информационных технологий и средств информатизации, нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере).