Файл: Программные и аппаратные средства ограничения доступа к ресурсам ПК и сетей (Понятие защита информации).pdf

Содержание:

ВВЕДЕНИЕ

Актуальность исследования. Развитие информационных систем, привело в настоящее время к появлению и последующему развитию концепции открытых систем. Но, при этом стало возникать довольно большое количество проблем несанкционированного получения доступа к информации. Защита информации, особенно информации конфиденциальной, является самой актуальной задачей, и, учитывая, что более 90% информации ныне находится в электронном виде, физические средства и методы защиты информации утратили свою былую эффективность.

Основной документ Российской Федерации, который нормирует меры и действия, обязательные для проблем разрешения информационной безопасности всех вновь создаваемых либо привлекаемых извне, а также обслуживаемых информационных разработок - это Доктрина информационной безопасности РФ, которая была еще подписана в 2000 году Президентом России В.В. Путиным [1]. Совокупность законных и подзаконных актов Российской Федерации, опирающихся на эту Доктрину, либо затрагивающих данную проблему, представляет тот мост, который связывает административные решения и стандарты непосредственно технологического, проектного предназначения, а также их характера.

Общепринятый подход к проблеме информационной безопасности опирается на то, что разрешение этой проблемы направлено главным образом на реализацию трех основных задач:

1. Безусловная защита всех компьютерно-сетевых средств, а также программных продуктов, сопровождающих их, включая, в первую очередь,

операционные системы, протоколы, разные приложения, интерфейсы пользователей и их контрагентов по информационному обмену [7];

1. Максимально возможная защита конфиденциальной информации и чувствительной информации (наиболее податливой для атак);
2. При исполнении первых двух требований, сохранение в полном объеме доступа к открытой информации [4].

В современное время в каждом государственном учреждении, будь то банк, научно-исследовательский институт, оборонное предприятие, министерство либо ведомство, все большее значение начинают приобретать угрозы информации, которая циркулирует внутри организации, а также выходящей за его пределы.

Таким образом, актуальность темы защиты информации в государственных учреждениях не вызывает сомнений. В современном мире без грамотной защиты информации невозможно обеспечить гарантию прав и законных интересов создателей и пользователей.

Политика информационной безопасности в государстве должна четко и ясно определить ответственность за защиту информации, которая обрабатывается, хранится и передается в информационных системах.

Целью данной работы является исследование проблем защиты информации, для достижения поставленной цели, были выделены следующие задачи:

- рассмотреть теоретические аспекты исследования проблем защиты информации;

- изучить способы защиты государственной информации.

Предмет исследования – защита информации.

Объект исследования – исследование проблем информации.

Структура работы состоит из введения, основной части, заключения и списка литературы.

Теоретической и методологической базой данной работы послужили труды российских и зарубежных авторов в области информатики, материалы периодических изданий и сети Интернет.

ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ

1.1 Понятие защита информации

Одним из самых уязвимых объектов несанкционированного доступа являются системы перечисления денежных средств. Нарушение безопасности в компьютерных сетях является преступлением и карается законом. Самый популярный метод взлома сети это - распространение компьютерных программ (вирусов), которые собирают и передают злоумышленниками информацию. Для того, чтобы избежать потери информации нужно устанавливать лицензионное антивирусное ПО.

Угрозы информационной безопасности делятся на два типа:

1. Искусственные - вызванные человеком.
2. Естественные - не зависящие от человека (землетрясения, наводнения и т. п.).

Искусственные угрозы делятся на умышленные и неумышленные.

К неумышленным относятся:

• • Неправильная спроектированная программа.
  • Ошибки в самой программе.
  • Ошибки пользователей программы.

Существующие средства и методы защиты информации можно разделить на четыре группы:

• • • Криптографические методы шифрования информации.
    • Методы защиты информации, предоставляемые программным обеспечением.
    • Методы организационной и правовой защиты информации.
    • Методы инженерной и технической защиты информации.

К программным методам защиты информации относятся средства защиты, которые присутствуют в составе программного обеспечения компьютерной системы (разграничение доступа, шифрование, идентификация).

К организационным и правовым методам защиты информации относятся средства защиты, которые проводятся в процессе проектировки и создания компьютерной системы. (Перекрытие каналов утечки информации, исключение возможности перехвата данных).

К инженерно-техническим методам защиты информации относятся средства защиты, представляющие собой защиту помещений компьютерных систем, аппаратных средств, удалённый доступ, противопожарную защиту.

Наиболее эффективными средствами защиты от угроз являются:

• • • • Пароли
      • Криптографические методы защиты
      • Ограничение доступа к информации
      • Цифровые ключи
      • Межсетевые экраны

В современных реалиях информационные угрозы очень разнообразны и непредсказуемы, не всегда очевидно их поведение и последствия их воздействия, а их нейтрализация требует слаженной работы всех средств и методов защиты информации.

1.2 Концепция информационной безопасности

Определим общие цели защиты информации в автоматизированных системах, приведем обзор основных определений в технологии защиты информации.

Под безопасностью информации автоматизированной системы понимается состояние ее защищенности от внешних и внутренних угроз, характеризуемое способностью персонала, технических средств и информационных технологий обеспечить конфиденциальность, доступность, целостность и аутентичность информации при ее обработке.

Нормативно-правовую основу технологии и организационного обеспечения защиты информации составляют федеральные законы, локальные нормативные правовые акты, а также документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации, регулирующие вопросы обеспечения безопасности информации. Концепция защиты информации исходит из наличия различных угроз безопасности информации АИС: внешних и внутренних, антропогенного, техногенного и природного характера, а также из современного состояния и ближайшей перспективы развития АИС, ее целей, задач, правовых основ применения, особенностей реализации и функционирования.

Целью достижения безопасности информации автоматизированной информационной системы является обеспечение безусловного выполнения основных задач и функций, выполняемых в рамках функционирования АИС и защита участников информационных отношений от причинения им какого-либо ущерба по причине несанкционированного (случайного или преднамеренного) вмешательства в процесс функционирования автоматизированной системы или доступа к циркулирующей в ней информации. [3]

Основными направлениями достижения безопасности информации в автоматизированных системах являются:

• обеспечение живучести и адаптивности АИС, организационной и информационной совместимости ее подсистем и элементов;
• комплексная комбинированная защита конфиденциальности, целостности, доступности и аутентичности информационных ресурсов системы.

Защите подлежит вся циркулирующая в автоматизированной системе информация. Методы и меры защиты ресурсов АИС определяются дифференцированно, исходя из их важности, особенностей реализации и использования.

Для общедоступной информации обеспечивается целостность и доступность.

Перечень информации АИС, конфиденциальность которой требуется обеспечить, разрабатывается на основании требований законодательства Российской Федерации и утверждается локальными нормативными актами.

Система защиты информации АИС реализуется как комплекс обоснованных, взаимно согласованных нормативных, организационных и технических (программных и аппаратных) мер на всех этапах процесса обработки и хранения информации, при передаче ее по каналам связи и иными способами. [8]

Порядок организации защиты информации АИС определяется соответствующей инструкцией, утверждаемой локальными нормативными актами.

К применению в автоматизированных системах, обрабатывающих персональные данные, допускаются только сертифицированные на соответствие требованиям безопасности компетентными государственными органами средства защиты информации.

Обработка информации ограниченного доступа средствами вычислительной техники допускается только после их оснащения средствами защиты информации и проверки их функционирования.

Для обеспечения безопасности информации при использовании информационно-телекоммуникационных сетей ее передача осуществляется с использованием сертифицированных компетентным государственным органом средств криптографической защиты. Выбор средств криптозащиты осуществляется исходя из взаимных интересов взаимодействующих организаций.

Современные методы защиты информации включают в себя комплекс мероприятий организационного и технологического обеспечения. Пренебрежение какой-либо одной из указанных компонент в разы повышает уязвимости автоматизированной системы. В случае пренебрежения работой с организационным обеспечением возрастает уязвимость информационной системы вследствие влияния человеческого фактора, в случае пренебрежения технологическими факторами уязвимости обусловлены техническими факторами. [9]

1.3. Анализ организационного обеспечения в методологии защиты информации

Организационные меры защиты – это меры административного, управленческого характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить реализацию угроз безопасности (минимизировать размер ущерба в случае их реализации).

Организационное обеспечение представляет собой комплекс мероприятий, включающих в себя работу с документацией – локальными нормативными актами, определяющими круг обязанностей и ответственность работников в рамках соблюдения технологий защиты информации, организацию пропускного и внутриобъектового режима, мероприятия по противопожарной безопасности, работу системы контроля доступа.

Документационное обеспечение технологии защиты информации включает в себя:

• приказы;
• инструктивный материал;
• журналы ознакомлений пользователей с инструктивным материалом;
• журналы работы со средствами защиты информации;
• парольные карточки;
• карточки ЭЦП.

В целях обеспечения безопасности информации автоматизированной принимаются меры по предотвращению проникновения нарушителей на объекты защиты, по предотвращению потери информации и функциональности средств АИС в различных ситуациях.

К мерам морально-этического характера, призванным повысить эффективность защиты, относятся меры по привитию работникам определенных нравственных норм. Соблюдение этих норм, в том числе и не утверждаемых нормативными актами, должно поощряться, повышать авторитет работников и уважение к ним, быть престижным как для работников, так и для трудовых коллективов. Морально-этические нормы могут быть и документально оформленными в виде устава, свода правил или кодекса профессиональной этики. Эти меры должны подкрепляться постоянной работой по созданию и поддержанию здорового морального климата в трудовых коллективах. [10]