ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.12.2023
Просмотров: 51
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
информационные системы, обеспечение правового режима документированной информации как объекта собственности.
7. Носитель информации (информационный носитель) – любой материальный объект, используемый человеком для хранения информации. Это может быть, например, камень, дерево, бумага, металл, пластмассы, кремний (и другие виды полупроводников), лента с намагниченным слоем (в бобинах и кассетах), фотоматериал, пластик со специальными свойствами (напр., в оптических дисках) и т. д., и т. п.
8. Средствазащитыинформации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
9. Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Немаловажное значение имеют методы сохранности информации. Обеспечение безопасности в Российской Федерации – ключевая задача для сохранения, сбережения, неиспользования посторонними лицами важной для государства информации. При утечке информации происходит неконтролируемое увеличение потоков данных, использование которых может негативно отразиться на целостности страны.
Существуют два типа защиты: формальные и официальные. Формальные сохраняют информацию без личного участия человека в процессе защиты (программное обеспечение, техсредства). Неформальные регламентируют действия человека (правила, документы, различные мероприятия).
К формальным способам относятся:
К неформальным относятся организационные, законодательные и этические способы:
Методы информационной безопасности едины и используются в решении задач передачи данных, среди которых выделяют три основных:
Сохранность документов во все времена играла ключевую роль. Их передавали зашифрованными каналами связи, скрывали, подкупали курьеров для получения тайных данных соседних государств, перехватывали всевозможными способами. Являясь нормой, подобные методы стали толчком для создания основного способа преобразования информации, который защищает от незаконного завладения и использования – криптографии).
11. В настоящее время существуют следующие виды информационных ресурсов:
1) Средства массовой информации. К ним относятся различного рода новостные и семантические сайты (или электронные версии СМИ). Их отличительной чертой является высокий уровень посещаемости, быстрая смена информации, наличие видеоряда на сайте.
2) Электронные библиотеки. Электронная библиотека - распределенная информационная система, позволяющая надежно сохранять и эффективно использовать разнородные коллекции электронных документов через глобальные сети передачи данных в удобном для конечного пользователя виде.
3) Электронные базы данных. В самом общем смысле база данных - это набор надписей и файлов, специальным образом организованных. Один из типов баз данных - это документы, набранные при помощи текстовых редакторов и сгруппированные по темам. Другой тип - это файлы с электронными таблицами, которые объединены в группы по характеру их использования.
4) Сайты. Корпоративный сайт - это Интернет-ресурс, посвященный какой-то организации, фирме, предприятию. Как правило, он знакомит пользователей с фирмой, направлениями и видами ее деятельности, отражает различные справочные материалы: прайс-листы, условия поставок и оплаты; рекламную информацию: наличие сертификатов качества, участие в выставках, публикации в прессе т.п.; контактную информацию. Примером может служить корпоративный портал ЗАО «Русская Телефонная Компания»
В отличие от корпоративного сайта выделяют персональный и любительский сайт, домашнюю страничку. Они отличаются полнотой представляемой информации и профессионализмом исполнения. Как правило, на сайте можно познакомиться с информацией узкотематической направленности. На сайтах может быть представлено большое количество гиперссылок, которые помогают ориентироваться в нем.
5) Сервисы - это группа сайтов, на которых можно воспользоваться разнообразными сервисными услугами: электронным почтовым ящиком, блогом (а также познакомиться с правилами его ведения), поиском, различными каталогами, словарями, справочниками, прогнозом погоды, телепрограммой, курсами валют и т.д. Например, Яндекс, Рамблер и т.п.
12. В соответствии со ст. 9 Закона об информации к информации с ограниченным доступом относятся следующие виды информации:
13. Конфиденциальная информация - объединяет разнообразные виды доверительных сведений, которые не могут быть обнародованы или переданы в руки третьих лиц ввиду их важности, ценности для правообладателя.
14. К внешним субъектам, способствующим обеспечению информационной безопасности, относятся органы законодательной, исполнительной и судебной власти федерального уровня, исполнительной и судебной власти субъектов Федерации, органов местного управления, правоохранительные органы, функциональные и отраслевые министерства и ведомства, специально создаваемые органы и организации, координирующие и контролирующие информационные вопросы, банки и иные хозяйствующие субъекты, граждане. При этом, конечно, имеется в виду, что государственные служащие не превышают служебные полномочия и соблюдают законы. Предполагается, что работники соответствующих организаций и граждане также являются законопослушными.
К внешним субъектам, противодействующим обеспечению информационной безопасности, относятся недобросовестные конкуренты, теневые экономические структуры и элементы криминальных структур, другие нарушители законодательства (по разным причинам).
К внутренним субъектам, способствующим обеспечению информационной безопасности, относятся сотрудники и структурные подразделения (в том числе, и специальные), непосредственно осуществляющие деятельность по защите информационной и экономической безопасности хозяйствующего субъекта на основании предоставленных им исполнительным органом предприятия полномочий принимать решения о целях, задачах, средствах и методах обеспечения информационной и экономической безопасности и осуществления их. Здесь тоже имеется в виду, что сотрудники не превышают служебные полномочия и соблюдают законы. К этой группе, строго говоря, относятся все лояльные предприятию сотрудники.
К внутренним субъектам, противодействующим обеспечению информационной и экономической безопасности хозяйствующего субъектов, относятся сотрудники, не удовлетворенные социально-экономической политикой работодателя, а также агенты внешних субъектов, противодействующих обеспечению информационной безопасности.
Сотрудник хозяйствующего субъекта является центральным, ключевым звеном всей совокупности субъектов информационной безопасности, так как он, с одной стороны, выполняет функции по обеспечению экономической безопасности организации в общем и информационной безопасности в частности, а с другой стороны, он может стать источником любой угрозы хозяйствующему субъекту, кроме техногенных угроз, природных катаклизмов, и противодействовать системе экономической безопасности.
15. Несанкционированный доступ к информации (НСД) может быть получен разными способами. Прямое хищение документов или взлом операционных систем компьютеров составляют лишь малую часть возможных вариантов. Наиболее уязвимыми считаются электронные средства хранения информации, так как для них могут быть использованы удаленные методы управления и контроля.
Возможные варианты получения незаконного доступа:
Подключение к действующему каналу связи позволяет получать сведения косвенным способом, без непосредственного доступа к базам данных. Наиболее защищенными от вторжения извне считаются оптоволоконные линии, но и к ним можно присоединиться после некоторых подготовительных операций. Целью злоумышленников в этом случае становятся рабочие переговоры сотрудников – например, при проведении следственных мероприятий или при совершении финансовых операций.
Часто для получения нужных сведений злоумышленники используют сотрудников компаний. В ход идут разные способы убеждения и мотивации – от подкупа до более жестких методов (запугивание, шантаж). В группу риска входят сотрудники, у которых возник конфликт с коллегами или с администрацией компании. Эти работники могут иметь авторизованный доступ к информации, позволяющий им получать определенные сведения без ограничений. Аутентификация пользователей в данном случае не является эффективной мерой защиты, поскольку она способна отсечь только посторонних.
Еще одна внутренняя угроза – кража носителей с ценными сведениями, например, программным кодом, который является разработкой компании. На это способны только доверенные лица, имеющие доступ к конфиденциальным данным в физическом или электронном виде.
Параллельно с развитием средств защиты информации ведутся разработки новых методов НСД. Необходимо понимать, что изученные методы незаконного получения данных не считаются перспективными. Наибольшую опасность представляют новые и малоизученные способы доступа к ресурсам компании, против которых пока нет эффективных методик борьбы. Поэтому считать средства защиты от несанкционированного доступа излишней мерой не следует. Это не попытка перестраховаться, а следствие правильного понимания размеров угрозы.
Для чего предпринимаются попытки доступа к чужой информации
Основная цель несанкционированного доступа к информации – получение дохода от использования чужих данных.
Возможные способы использования полученных сведений:
7. Носитель информации (информационный носитель) – любой материальный объект, используемый человеком для хранения информации. Это может быть, например, камень, дерево, бумага, металл, пластмассы, кремний (и другие виды полупроводников), лента с намагниченным слоем (в бобинах и кассетах), фотоматериал, пластик со специальными свойствами (напр., в оптических дисках) и т. д., и т. п.
8. Средствазащитыинформации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
9. Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
10. Способы защиты и передачи информации
Немаловажное значение имеют методы сохранности информации. Обеспечение безопасности в Российской Федерации – ключевая задача для сохранения, сбережения, неиспользования посторонними лицами важной для государства информации. При утечке информации происходит неконтролируемое увеличение потоков данных, использование которых может негативно отразиться на целостности страны.
Существуют два типа защиты: формальные и официальные. Формальные сохраняют информацию без личного участия человека в процессе защиты (программное обеспечение, техсредства). Неформальные регламентируют действия человека (правила, документы, различные мероприятия).
К формальным способам относятся:
-
физические – электрические, механические, электроустройства, функционирующие независимо от информсистем; -
аппаратные – зрительные, электронные, лазерные и иные устройства, встроенные в информсистемы, специализированные компьютеры, системы по наблюдению за сотрудниками, препятствующие доступу к сведениям; -
программные (DLP-, SIEM-системы); -
специфические (криптографические, стенографические – обеспечивают безопасную передачу сведений в корпоративной и глобальной сети).
К неформальным относятся организационные, законодательные и этические способы:
-
Законодательные – это императивные нормы, которые прописаны в законах, подзаконных актах. Они регламентируют порядок эксплуатации, анализа и передачи информации, ответственность при нарушении каких-либо принципов и правил использования данных. Законодательные нормы распространяются на все субъекты отношений (в настоящее время около 80 актов регулируют информационную деятельность). -
Организационные – общетехнические, юридические процедуры, являющиеся обязательными на всем жизненном цикле системы информации (например, цикл Шухарта-Деминга). Это возможности организации, которые помогают функционированию системы. К ним относят сертификацию системы и ее элементов, аттестацию объектов и субъектов. -
Высоконравственные (этические) – это принципы морали, правила этики, которые исторически сложились в обществе. Нарушение этих норм приведет к потере безопасности информации, в частности статуса и уважения граждан.
Методы информационной безопасности едины и используются в решении задач передачи данных, среди которых выделяют три основных:
-
надежный канал связи между пользователями; -
использование общедоступного канала шифрования; -
использование информационного канала с преобразованием данных в такой вид, в котором только адресат сможет расшифровать их.
Сохранность документов во все времена играла ключевую роль. Их передавали зашифрованными каналами связи, скрывали, подкупали курьеров для получения тайных данных соседних государств, перехватывали всевозможными способами. Являясь нормой, подобные методы стали толчком для создания основного способа преобразования информации, который защищает от незаконного завладения и использования – криптографии).
11. В настоящее время существуют следующие виды информационных ресурсов:
1) Средства массовой информации. К ним относятся различного рода новостные и семантические сайты (или электронные версии СМИ). Их отличительной чертой является высокий уровень посещаемости, быстрая смена информации, наличие видеоряда на сайте.
2) Электронные библиотеки. Электронная библиотека - распределенная информационная система, позволяющая надежно сохранять и эффективно использовать разнородные коллекции электронных документов через глобальные сети передачи данных в удобном для конечного пользователя виде.
3) Электронные базы данных. В самом общем смысле база данных - это набор надписей и файлов, специальным образом организованных. Один из типов баз данных - это документы, набранные при помощи текстовых редакторов и сгруппированные по темам. Другой тип - это файлы с электронными таблицами, которые объединены в группы по характеру их использования.
4) Сайты. Корпоративный сайт - это Интернет-ресурс, посвященный какой-то организации, фирме, предприятию. Как правило, он знакомит пользователей с фирмой, направлениями и видами ее деятельности, отражает различные справочные материалы: прайс-листы, условия поставок и оплаты; рекламную информацию: наличие сертификатов качества, участие в выставках, публикации в прессе т.п.; контактную информацию. Примером может служить корпоративный портал ЗАО «Русская Телефонная Компания»
В отличие от корпоративного сайта выделяют персональный и любительский сайт, домашнюю страничку. Они отличаются полнотой представляемой информации и профессионализмом исполнения. Как правило, на сайте можно познакомиться с информацией узкотематической направленности. На сайтах может быть представлено большое количество гиперссылок, которые помогают ориентироваться в нем.
5) Сервисы - это группа сайтов, на которых можно воспользоваться разнообразными сервисными услугами: электронным почтовым ящиком, блогом (а также познакомиться с правилами его ведения), поиском, различными каталогами, словарями, справочниками, прогнозом погоды, телепрограммой, курсами валют и т.д. Например, Яндекс, Рамблер и т.п.
12. В соответствии со ст. 9 Закона об информации к информации с ограниченным доступом относятся следующие виды информации:
-
государственная тайна; -
служебная тайна; -
коммерческая тайна; -
профессиональная тайна; -
информации о частной жизни физического лица, в том числе информация, составляющая личную или семейную тайну, а также персональные данные.
13. Конфиденциальная информация - объединяет разнообразные виды доверительных сведений, которые не могут быть обнародованы или переданы в руки третьих лиц ввиду их важности, ценности для правообладателя.
14. К внешним субъектам, способствующим обеспечению информационной безопасности, относятся органы законодательной, исполнительной и судебной власти федерального уровня, исполнительной и судебной власти субъектов Федерации, органов местного управления, правоохранительные органы, функциональные и отраслевые министерства и ведомства, специально создаваемые органы и организации, координирующие и контролирующие информационные вопросы, банки и иные хозяйствующие субъекты, граждане. При этом, конечно, имеется в виду, что государственные служащие не превышают служебные полномочия и соблюдают законы. Предполагается, что работники соответствующих организаций и граждане также являются законопослушными.
К внешним субъектам, противодействующим обеспечению информационной безопасности, относятся недобросовестные конкуренты, теневые экономические структуры и элементы криминальных структур, другие нарушители законодательства (по разным причинам).
К внутренним субъектам, способствующим обеспечению информационной безопасности, относятся сотрудники и структурные подразделения (в том числе, и специальные), непосредственно осуществляющие деятельность по защите информационной и экономической безопасности хозяйствующего субъекта на основании предоставленных им исполнительным органом предприятия полномочий принимать решения о целях, задачах, средствах и методах обеспечения информационной и экономической безопасности и осуществления их. Здесь тоже имеется в виду, что сотрудники не превышают служебные полномочия и соблюдают законы. К этой группе, строго говоря, относятся все лояльные предприятию сотрудники.
К внутренним субъектам, противодействующим обеспечению информационной и экономической безопасности хозяйствующего субъектов, относятся сотрудники, не удовлетворенные социально-экономической политикой работодателя, а также агенты внешних субъектов, противодействующих обеспечению информационной безопасности.
Сотрудник хозяйствующего субъекта является центральным, ключевым звеном всей совокупности субъектов информационной безопасности, так как он, с одной стороны, выполняет функции по обеспечению экономической безопасности организации в общем и информационной безопасности в частности, а с другой стороны, он может стать источником любой угрозы хозяйствующему субъекту, кроме техногенных угроз, природных катаклизмов, и противодействовать системе экономической безопасности.
15. Несанкционированный доступ к информации (НСД) может быть получен разными способами. Прямое хищение документов или взлом операционных систем компьютеров составляют лишь малую часть возможных вариантов. Наиболее уязвимыми считаются электронные средства хранения информации, так как для них могут быть использованы удаленные методы управления и контроля.
Возможные варианты получения незаконного доступа:
-
подключение к системам связи (телефонные линии, интеркомы, проводные переговорные устройства); -
хищение документации, в том числе ее копирование (тиражирование) с враждебными целями; -
непосредственное использование компьютеров, внешних накопителей или иных устройств, содержащих информацию; -
внедрение в операционную систему через Интернет, в том числе с использованием шпионских программ, вирусов и прочего вредоносного программного обеспечения; -
использование сотрудников компании (инсайдеров) в качестве источников сведений.
Подключение к действующему каналу связи позволяет получать сведения косвенным способом, без непосредственного доступа к базам данных. Наиболее защищенными от вторжения извне считаются оптоволоконные линии, но и к ним можно присоединиться после некоторых подготовительных операций. Целью злоумышленников в этом случае становятся рабочие переговоры сотрудников – например, при проведении следственных мероприятий или при совершении финансовых операций.
Часто для получения нужных сведений злоумышленники используют сотрудников компаний. В ход идут разные способы убеждения и мотивации – от подкупа до более жестких методов (запугивание, шантаж). В группу риска входят сотрудники, у которых возник конфликт с коллегами или с администрацией компании. Эти работники могут иметь авторизованный доступ к информации, позволяющий им получать определенные сведения без ограничений. Аутентификация пользователей в данном случае не является эффективной мерой защиты, поскольку она способна отсечь только посторонних.
Еще одна внутренняя угроза – кража носителей с ценными сведениями, например, программным кодом, который является разработкой компании. На это способны только доверенные лица, имеющие доступ к конфиденциальным данным в физическом или электронном виде.
Параллельно с развитием средств защиты информации ведутся разработки новых методов НСД. Необходимо понимать, что изученные методы незаконного получения данных не считаются перспективными. Наибольшую опасность представляют новые и малоизученные способы доступа к ресурсам компании, против которых пока нет эффективных методик борьбы. Поэтому считать средства защиты от несанкционированного доступа излишней мерой не следует. Это не попытка перестраховаться, а следствие правильного понимания размеров угрозы.
Для чего предпринимаются попытки доступа к чужой информации
Основная цель несанкционированного доступа к информации – получение дохода от использования чужих данных.
Возможные способы использования полученных сведений:
-
перепродажа третьим лицам; -
подделка или уничтожение (например, при получении доступа к базам должников, подследственных, разыскиваемых лиц и т. п.); -
использование чужих технологий (промышленный шпионаж); -
получение банковских реквизитов, финансовой документации для незаконных операций (например, об наличивания денег через чужой счет); -
изменение данных с целью навредить имиджу компании (незаконная конкуренция).