Мемуары о будущем

Дмитрий Беляев

Что такое информационная безопасность?

Опубликовано: 18 апреля 2010 года






В свете стремительного развития информационных технологий и все более широкого их применения во всех сферах деятельности современного предприятия, немаловажными представляются вопросы информационной безопасности.

Предприятия и организации как полноправные хозяйствующие субъекты экономики любого региона и участники его инновационного развития должны уделять достаточное внимание как развитию своей информационно-технологической инфраструктуры – в целом, так и обеспечению информационной безопасности при этом – в частности.

Вопросы как информационной безопасности, так и оценки стоимости информационных ресурсов сравнительно недавно стали рассматриваться некоторыми организациями в качестве приоритетных.

Общее усиление законодательного поля в области защиты информации, а также многочисленные случаи утечек и кражи информации, в том числе и так называемыми инсайдерами на предприятиях различных отраслей, не дают оснований откладывать необходимость усиления и совершенствования мер по обеспечению комплексной информационной безопасности, включая адаптацию имеющихся или разработку новых методик оценки стоимости накопленных информационных ресурсов.

Наблюдаемое в последние годы значительное увеличение спектра применяемых информационных технологий в деятельности современной организации и, как следствие, существенное расширение информационного пространства вуза и дальнейшая его интеграция в общее информационно-технологическое поле региона должны инициировать тщательную проработку нормативной локальной документации, регулирующей и вопросы информационной безопасности, и методы оценки стоимости информационных ресурсов, а также информационные риски.

Почему об информационной безопасности начинают всё чаще вспоминать и говорить только сейчас?

Оглянёмся вокруг, и мы увидим, что сейчас наблюдается:

  • резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;
  • резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;
  • сосредоточение в единых базах данных информации различного назначения и различной принадлежности;
  • высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых разных сферах деятельности любого предприятия или организации;
  • резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
  • бурное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности;
  • повсеместное распространение сетевых технологий и объединение локальных сетей в глобальные;
  • развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.

Если говорить о законодательном поле в области информационной безопасности и защиты информации, то можно сказать о наличии в России следующих основных федеральных законодательных и нормативных актах:

  • Конституция РФ.
  • Доктрина информационной безопасности Российской Федерации.
  • Федеральный Закон от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и защите информации”.
  • Федеральный Закон от 10 января 2002 г. N 1-ФЗ “Об электронной цифровой подписи”.
  • Федеральный Закон от 27 декабря 2002 г. N 184-ФЗ “О техническом регулировании”.
  • Федеральный Закон от 23 сентября 1992 г. N 3523-I “О правовой охране программ для электронных вычислительных машин и баз данных”.
    Постановление Правительства РФ от 28 февраля 1996 г. N 226 “О государственном учете и регистрации баз и банков данных”.
  • Федеральный Закон от 27 июля 2006 г. N 152-ФЗ “О персональных данных”.

В этих и других нормативных документах в том числе даются и определения термину  “информационная безопасность”.

Например, в Доктрине информационной безопасности Российской Федерации термин “информационная безопасность” используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе РФ “Об участии в международном информационном обмене” информационная безопасность определяется аналогичным образом — как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Таким образом, информационная безопасность — многогранная и многомерная область обязательной деятельности, в которой успех может принести только комплексный, системный подход.

Дополнительно сообщим, что закон “Об информации, информационных технологиях и защите информации” выделяет следующие цели защиты информации:

  • предотвращение утечки, хищения, утраты, искажения, подделки информации;
  • предотвращение угроз безопасности личности, общества, государства;
  • предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
  • предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
  • защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
  • сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
  • обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Также информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации. Это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.

Но основные неприятности следует ожидать от различных атак – реализованных угроз.

Сообщим, что под угрозой понимают любое действие, направленное на нарушение безопасности, т.е. потенциальную возможность определенным образом нарушить информационную безопасность.

Атакой же называется событие, при котором нарушитель пытается проникнуть внутрь системы или совершить по отношению к ней какие-либо злоупотребления или любое действие нарушителя, приводящее к реализации угрозы, путем использования различных уязвимостей.

Угрозы в свою очередь классифицируются:

  • по аспекту информационной безопасности (доступность, целостность и конфиденциальность), против которого угрозы направлены в первую очередь;
  • по компонентам информационных систем, на которые угрозы нацелены (базы данных, программы, аппаратура, поддерживающая инфраструктура);
    по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
  • по расположению источника угроз (внутри/вне рассматриваемой информационной системы).

Особую опасность представляют умышленные угрозы, которые могу выражаться в незаконном проникновении на компьютер под видом легального пользователя, разрушение системы с помощью вредоносных программ и (или) нелегальные действия легального пользователя.

Умышленные угрозы, в свою очередь, наиболее опасны те, которые возможны в локальной или глобальной сетевой среде:

  • прослушивание сети;
  • изменение корпоративных потоков данных;
  • воздействие на инфраструктурные сетевые сервисы;
  • подделка сетевых пакетов;
  • посылка аномальных пакетов;
  • генерация аномального трафика;
  • отказ от совершенных действий.

Если говорить о мерах и способах реализации комплексной защиты информации на предприятии, то необходимо использовать весь спектр необходимых действий: морально-этические, законодательные, административные, психологические, физические и технические.

Особое внимание следует уделить наличию на предприятии специального документа, который можно назвать “Учётной политикой по безопасности”, который должен содержать перечень информационных банков, которые необходимо защищать, систему оценки возможного ущерба в случае нарушения информационной безопасности, перечень потенциальных угроз и организационно-технических мер борьбы с ними.

Также на предприятии рекомендуется разработать (если этого еще не сделано) весь комплекс локальных внутренних документов, регулирующих процессы сбора, накопления, обработки и выдачи персональной, конфиденциальной, коммерческой и прочих видов тайн. Например, не лишним будет иметь Положение о локальной вычислительной сети, регулирующее работу пользователей в компьютерной сети предприятия.

По мере совершенствования и усиления законодательства в области информационной безопасности и защиты информации, желательно вносить необходимые изменения в должностные инструкции работников предприятия, в Учетную политику по персоналу, а также в другие документы, регулирующие деятельность персонала на предприятии.

Также необходимо уделять внимание работе пользователей в сети Интернет, в программах мгновенного обмена короткими сообщениями, в различных социальных сетях (которые в настоящее время стали чуть ли не основным источником распространения различных информационных угроз, включая вредоносные программы-вирусы и опасные хакерские атаки).


Данный доклад был подготовлен в 2008 г. специально для компании Gold Ground

(С) Д.А. Беляев

Картинка взята отсюда

0


1 звезда2 звезды3 звезды4 звезды5 звезд (Еще никто не голосовал)
Loading ... Loading ...
Google Bookmarks Digg Reddit del.icio.us Ma.gnolia Technorati Slashdot Yahoo My Web News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru rucity.com МоёМесто.ru Mister Wong





Записи с теми же метками:

Оставить комментарий

:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:

ВНИМАНИЕ! Все комментарии, содержащие явные оскорбления (в адрес автора статьи или собеседника-комментатора), спам и очевидную рекламу сторонних ресурсов, будут удалены. Также не рекомендуется злоупотреблять матом (такие сообщения будут отмодерированы или удалены).


Другие материалы: