Доклад информационная безопасность и защита информации

Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации. Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен — конфиденциальные данные и государственная тайна. Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию: Свободно распространяемую Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях Которая в соответствии с федеральными законами подлежит предоставлению или распространению Распространение, которой в Российской Федерации ограничивается или запрещается Информация по назначению бывает следующих видов: Массовая — содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума. Специальная — содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.

Информация и информационная безопасность Информация лат. Другими словами, информация носит фундаментальный и универсальный характер, являясь многозначным понятием. Эту мысль можно подкрепить словами Н. Согласно традиционной философской точке зрения, информация существует независимо от человека и является свойством материи. В рамках рассматриваемой дисциплины, под информацией в узком смысле мы будем понимать сведения, являющиеся объектом сбора, хранения, обработки, непосредственного использования и передачи в информационных системах1. Опираясь на это определение информации, рассмотрим понятия информационной безопасности и защиты информации.

Информационная безопасность. Основы и методы защиты информации

К таким ситуациям относятся природные, техногенные и социальные катастрофы , компьютерные сбои, физическое похищение и тому подобные явления. В то время, как делопроизводство большинства организаций в мире до сих пор основано на бумажных документах [6] , требующих соответствующих мер обеспечения информационной безопасности, наблюдается неуклонный рост числа инициатив по внедрению цифровых технологий на предприятиях [7] [8] , что влечёт за собой привлечение специалистов по безопасности информационных технологий ИТ для защиты информации.

Следует отметить, что под компьютером в данном контексте подразумевается не только бытовой персональный компьютер , а цифровые устройства любой сложности и назначения, начиная от примитивных и изолированных, наподобие электронных калькуляторов и бытовых приборов, вплоть до индустриальных систем управления и суперкомпьютеров , объединённых компьютерными сетями. Крупнейшие предприятия и организации, в силу жизненной важности и ценности информации для их бизнеса, нанимают специалистов по информационной безопасности, как правило, себе в штат.

В их задачи входит обезопасить все технологии от вредоносных кибератак , зачастую нацеленных на похищение важной конфиденциальной информации или на перехват управления внутренними системами организации.

Информационная безопасность, как сфера занятости , значительно развилась и выросла в последние годы. В ней возникло множество профессиональных специализаций, например, таких, как безопасность сетей и связанной инфраструктуры , защиты программного обеспечения и баз данных , аудит информационных систем , планирование непрерывности бизнеса , выявление электронных записей и компьютерная криминалистика [en].

Профессионалы информационной безопасности имеют весьма стабильную занятость и высокий спрос на рынке труда. Угрозы и меры противодействия[ править править код ] Угрозы информационной безопасности могут принимать весьма разнообразные формы. Crime-as-a-Service , Интернетом вещей , цепями поставок и усложнением требований регуляторов [10]. Это позволяет последним совершать хакерские атаки , ранее недоступные из-за высокой технической сложности или дороговизны, делая киберпреступность массовым явлением [12].

Организации активно внедряют Интернет вещей, устройства которого зачастую спроектированы без учёта требований безопасности, что открывает дополнительные возможности для атаки. К тому же, быстрое развитие и усложнение Интернета вещей снижает его прозрачность, что в сочетании с нечётко определёнными правовыми нормами и условиями позволяет организациям использовать собранные устройствами персональные данные своих клиентов по собственному усмотрению без их ведома.

Кроме того, для самих организаций проблематично отслеживать, какие из собранных устройствами Интернета вещей данных передаются во вне. Угроза цепей поставок состоит в том, что организации, как правило, передают своим поставщикам разнообразную ценную и конфиденциальную информацию, в результате чего теряют непосредственный контроль над ней. Таким образом, значительно возрастает риск нарушения конфиденциальности, целостности или доступности этой информации.

Всё новые и новые требования регуляторов значительно осложняют управление жизненно-важными информационными активами организаций. Например, введённый в действие в году в Евросоюзе Общий регламент по защите данных англ.

General Data Protection Regulation, GDPR , требует от любой организации в любой момент времени на любом участке собственной деятельности или цепи поставок, продемонстрировать, какие персональные данные и для каких целей имеются там в наличии, как они обрабатываются, хранятся и защищаются.

Соблюдение такого комплаенса требует отвлечения значительных бюджетных средств и ресурсов от других задач информационной безопасности организации. И хотя упорядочение обработки персональных данных предполагает в долгосрочной перспективе улучшение информационной безопасности, в краткосрочном плане риски организации заметно возрастают [10].

Большинство людей так, или иначе испытывают на себе воздействие угроз информационной безопасности. Например, становятся жертвами вредоносных программ вирусов и червей , троянских программ , программ-вымогателей [13] , фишинга или кражи личности.

Фишинг англ. Phishing представляет собой мошенническую попытку [К 2] завладения конфиденциальной информацией например, учётной записью , паролём или данными кредитной карты. Как правило, такие попытки совершаются с помощью массовых рассылок поддельных электронных писем якобы от имени самой организации [16] , содержащих ссылки на мошеннические сайты.

Открыв такую ссылку в браузере , ничего не подозревающий пользователь вводит свои учётные данные, которые становятся достоянием мошенников [17]. Тот, от чьего имени преступники получают незаконные финансовые преимущества, кредиты или совершают иные преступления, зачастую сам становится обвиняемым, что может иметь для него далеко идущие тяжёлые финансовые и юридические последствия [21].

Информационная безопасность оказывает непосредственное влияние на неприкосновенность частной жизни [22] , определение которой в различных культурах может весьма разниться [23]. Органы государственной власти , вооружённые силы , корпорации , финансовые институты , медицинские учреждения и частные предприниматели постоянно накапливают значительные объёмы конфиденциальной информации о своих сотрудниках, клиентах, продуктах, научных исследованиях и финансовых результатах.

Попадание такой информации в руки конкурентов или киберпреступников может повлечь для организации и её клиентов далеко идущие юридические последствия, невосполнимые финансовые и репутационные потери. С точки зрения бизнеса информационная безопасность должна быть сбалансирована относительно затрат; экономическая модель Гордона-Лоба [en] описывает математический аппарат для решения этой задачи [24]. История[ править править код ] С появлением самых ранних средств связи дипломаты и военные деятели осознали необходимость разработки механизмов защиты конфиденциальной корреспонденции и способов выявления попыток её фальсификации [en].

Хотя, по большей части, защита обеспечивалась контролем за самой процедурой обращения с секретной корреспонденцией. Конфиденциальные сообщения помечались с тем, чтобы их защищали и передавали только с доверенными лицами под охраной, хранили в защищённых помещениях или прочных шкатулках [27].

C развитием почты стали возникать правительственные организации для перехвата, расшифровки, чтения и повторного запечатывания писем. Так в Англии для этих целей в году появилась Тайная канцелярия англ. Secret Office [28]. После вскрытия требовалось провести криптоанализ сообщения, для чего к деятельности чёрных кабинетов привлекали известных математиков своего времени. Наиболее выдающихся результатов добился Христиан Гольдбах , сумевший за полгода работы дешифровать 61 письмо прусских и французских министров.

В начале XIX века в России с приходом к власти Александра I вся криптографическая деятельность переходит в ведение Канцелярии министерства иностранных дел. С года на службе этого ведомства находился выдающийся российский ученый Павел Львович Шиллинг. Одним из наиболее значимых достижений Канцелярии стало дешифрование приказов и переписки Наполеона I во время Отечественной войны года [31] [32].

В середине XIX века появились более сложные системы классификации секретной информации , позволяющие правительствам управлять информацией в зависимости от степени её конфиденциальности. Например, британское правительство до некоторой степени узаконило в году такую классификацию публикацией Закона о государственной тайне [en] [33]. Во время Первой мировой войны многоуровневые системы классификации и шифрования использовались для передачи информации всеми воюющими сторонами, что способствовало появлению и интенсивному использованию подразделений шифрования и криптоанализа.

Немцы уничтожили все документы и взорвали корабль, но русские водолазы, обследовав дно, обнаружили два экземпляра сигнальной книги, один из которых был передан британцам. Получив вскоре книги кодов для вспомогательных судов, а также по коммуникации между кораблями внешних морей и сопровождающими их судами противника, британцы сумели расшифровать германские военно-морские коды. Взлом кода позволил читать перехваченные радиограммы противника.

Впервые данные расшифровки попытались использовать во время вылазки германского флота к британским берегам 16 декабря года [35]. Объём информации, которой обменивались страны антигитлеровской коалиции в ходе Второй мировой войны потребовал формального согласования национальных систем классификации и процедур контроля и управления.

Сформировался доступный лишь посвящённым набор грифов секретности, определяющих, кто может обращаться с документами как правило, офицеры, нежели рядовые , и где их следует хранить, с учётом появления всё более сложных сейфов и хранилищ.

Воюющими сторонами были разработаны процедуры гарантированного уничтожения секретных документов. Некоторые из нарушений таких процедур привели к самым значительным достижениям разведки за всю войну.

Например, экипаж немецкой подводной лодки U [en] не сумел должным образом уничтожить множество секретных документов, которые достались захватившим её британцам [37]. В США для шифрования радиопереговоров на Тихоокеанском театре военных действий набирали связистов из индейского племени Навахо , язык которого за пределами США никто не знал [39].

Японцам так и не удалось подобрать ключ к этому экзотическому методу защиты информации [40]. В СССР с х годов для защиты телефонных переговоров высших органов управления страной от прослушивания в том числе, Ставки Верховного Главнокомандования использовалась так называемая ВЧ-связь , основанная на голосовой модуляции высокочастотных сигналов и последующего их скремблирования. Однако отсутствие криптографической защиты позволяло, используя спектрометр , восстанавливать сообщения в перехваченном сигнале [41].

Вторая половина XX и начало XXI столетия ознаменовались стремительным развитием телекоммуникаций, аппаратного и программного обеспечения компьютеров и шифрования данных. Появление компактного, мощного и недорогого компьютерного оборудования сделало электронную обработку данных доступной малому бизнесу и домашним пользователям.

Очень быстро компьютеры были объединены Интернетом , что привело к взрывному росту электронного бизнеса. Всё это, в сочетании с появлением киберпреступности и множеством случаев международного терроризма , вызвало потребность в лучших методах защиты компьютеров и информации, которую они хранят, обрабатывают и передают.

Примечание: также сюда могут быть включены другие свойства, такие как подлинность, подотчетность, достоверность [44]. Защита информации и информационных систем от неавторизованного доступа, использования, раскрытия, искажения, изменения или уничтожения в целях обеспечения конфиденциальности, целостности и доступности [1]. Обеспечение защиты информации на предприятии от раскрытия неавторизованным пользователям конфиденциальность , противоправного изменения целостность и недоступности, когда она необходима доступность [45].

Процесс защиты интеллектуальной собственности организации [46]. Одна из дисциплин управления рисками, чьей задачей является управление стоимостью информационных рисков для бизнеса [47]. Обоснованная уверенность в том, что информационные риски уравновешены соответствующими мерами контроля и управления [48]. Защита информации, минимизирующая риск разглашения информации неавторизованным лицам [49]. Мультидисциплинарная область исследований и профессиональной деятельности, которая сосредоточена на развитии и внедрении всевозможных механизмов безопасности технических, организационных, человекоориентированных, юридических с целью предохранения информации от угроз повсюду, где бы она ни находилась как внутри периметра организации, так и за его пределами и, соответственно, информационных систем, в которых информация создаётся, обрабатывается, хранится, передаётся и уничтожается.

Перечень целей безопасности может включать конфиденциальность, целостность, доступность, неприкосновенность частной жизни, подлинность и достоверность, неотказуемость, подотчетность и проверяемость [50]. Процесс баланса между возникающими, воздействующими угрозами и успешностью противодействия этим угрозам со стороны органов государственной власти, отвечающих за безопасность государства [51]. Ключевые принципы[ править править код ] Триада CIA.

Unauthorized information modification и неавторизованный отказ в доступе англ. Unauthorized denial of use к информации. В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA [55]. В году ОЭСР опубликовала свою собственную модель информационной безопасности, состоящую из девяти принципов: осведомлённость, ответственность, противодействие, этика, демократия, оценка риска, разработка и внедрение безопасности, управление безопасностью, пересмотр [56] [К 4].

На основе этой модели в году NIST опубликовал 33 принципа инженерного проектирования систем информационной безопасности, для каждого из которых были разработаны практические руководства и рекомендации, которые по сей день постоянно развиваются и поддерживаются в актуальном состоянии [59].

В году Донн Паркер [en] дополнил классическую триаду CIA ещё тремя аспектами: владение или контроль англ. Possession or Control , аутентичность англ. Authenticity и полезность англ. Utility [60]. System Susceptibility , доступность уязвимости англ. Access to the Flaw и способность эксплуатировать уязвимость англ. Capability to Exploit the Flaw [62] [63] [64].

В году международный консорциум The Open Group опубликовал стандарт управления информационной безопасностью O-ISM3 [en] , в котором отказался от концептуального определения компонентов классической триады CIA в пользу их операционального определения.

Согласно O-ISM3, для каждой организации можно идентифицировать индивидуальный набор целей безопасности, относящихся к одной из пяти категорий, которые соответствуют тому или иному компоненту триады: приоритетные цели безопасности конфиденциальность , долгосрочные цели безопасности целостность , цели качества информации целостность , цели контроля доступа доступность и технические цели безопасности.

Из всех упомянутых выше моделей информационной безопасности классическая триада CIA по-прежнему остаётся наиболее признанной и распространённой в международном профессиональном сообществе [55]. Она зафиксирована в национальных [1] и международных стандартах [44] и вошла в основные образовательные и сертификационные программы по информационной безопасности, такие как CISSP [66] и CISM [en] [67].

В литературе все её три составляющих: конфиденциальность, целостность и доступность синонимически упоминаются, как принципы, атрибуты безопасности, свойства, фундаментальные аспекты, информационные критерии, важнейшие характеристики или базовые структурные элементы [5]. Между тем, в профессиональном сообществе не прекращаются дебаты о соответствии триады CIA стремительно развивающимся технологиям и требованиям бизнеса.

В результате этих дискуссий появляются рекомендации о необходимости установки взаимосвязи между безопасностью и неприкосновенностью частной жизни, а также утверждения дополнительных принципов [5]. Некоторые из них уже включены в стандарты Международной организации по стандартизации ISO : подлинность англ.

Основная статья: Конфиденциальность Конфиденциальность информации достигается предоставлением к ней доступа c наименьшими привилегиями исходя из принципа минимальной необходимой осведомлённости [en] англ. Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Упомянутые выше преступления против неприкосновенности частной жизни, такие, как кража личности, являются нарушениями конфиденциальности.

Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной , или предназначенной для публичного, либо внутреннего пользования. Основная статья: Целостность информации Чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям.

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Урок 5.2 Основные принципы информационной безопасности. Часть 1 - Защита информации

По дисциплине: Культурные коммуникации в информационных технологиях. На тему: «Защита информации и информационная безопасность». Содержание основных методов защиты информации. Средства защиты информации от вирусов. Понятие информационной безопасности, ее задачи.

Время чтения Шрифт Научно-технический прогресс превратил информацию в продукт, который можно купить, продать, обменять. Нередко стоимость данных в несколько раз превышает цену всей технической системы, которая хранит и обрабатывает информацию. Качество коммерческой информации обеспечивает необходимый экономический эффект для компании, поэтому важно охранять критически важные данные от неправомерных действий. Это позволит компании успешно конкурировать на рынке. Определение информационной безопасности Информационная безопасность ИБ — это состояние информационной системы, при котором она наименее восприимчива к вмешательству и нанесению ущерба со стороны третьих лиц. Безопасность данных также подразумевает управление рисками, которые связаны с разглашением информации или влиянием на аппаратные и программные модули защиты. Безопасность информации, которая обрабатывается в организации, — это комплекс действий, направленных на решение проблемы защиты информационной среды в рамках компании. При этом информация не должна быть ограничена в использовании и динамичном развитии для уполномоченных лиц. Требования к системе защиты ИБ Защита информационных ресурсов должна быть: 1. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.

Определение и виды информации. Электронные информационные ресурсы.

Для прочтения нужно: 3 мин. А кто владеет информацией о конкурентах, получает беспрецедентные преимущества в борьбе с ними. Прогресс сделал компании зависимыми от информационных систем, а вместе с этим — уязвимыми к атакам хакеров, компьютерным вирусам, человеческому и государственному фактору в такой степени, что многие владельцы бизнеса уже не могут чувствовать себя в безопасности.

Информационная безопасность предприятия: ключевые угрозы и средства защиты

Заказать реферат курсовую, диплом или отчёт без рисков, напрямую у автора. Похожие работы: Информационная безопасность 4. Сущность и цели DOS-атаки и других несанкционированных проникновений в информационную сеть. Информационная безопасность Системы и технологии информационной безопасности, определение угроз и управление рисками. Понятие криптосистемы, построение антивирусной защиты и работа брандмауэров.

Информационная безопасность

Время чтения Шрифт Данные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы неправомерного доступа к информации Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации. Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии. На практике используют несколько групп методов защиты, в том числе: препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами; управление, или оказание воздействия на элементы защищаемой системы; маскировка, или преобразование данных, обычно — криптографическими способами; регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению; принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными; побуждение, или создание условий, которые мотивируют пользователей к должному поведению. Каждый из методов защиты информации реализуется при помощи различных категорий средств.

К таким ситуациям относятся природные, техногенные и социальные катастрофы , компьютерные сбои, физическое похищение и тому подобные явления.

Под информационной безопасностью Российской Федерации понимается состояние защищенности национальных интересов Российской Федерации в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Информационная сфера представляет собой совокупность информационных ресурсов и информационной инфраструктуры объекта защиты.

Способы защиты информации

.

Информационная безопасность и защита информации

.

.

.

.

.

ВИДЕО ПО ТЕМЕ: Профессия будущего. Специалист по информационной безопасности
Похожие публикации