Результаты исследования группы Информационная безопасность/ПИМ-17 — различия между версиями
(→Методы защиты) |
|||
(не показано 16 промежуточных версий 5 участников) | |||
Строка 56: | Строка 56: | ||
Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума. | Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума. | ||
− | [[Файл:история_инф_безоп.jpg|500px|thumb|middle| Этапы развития информационной безопасности (лента времени)]] | + | |
+ | [[Файл:история_инф_безоп.jpg|500px|thumb|middle| Этапы развития информационной безопасности ([https://time.graphics/line/17334 лента времени])]] | ||
'''''Этапы развития информационной безопасности:''''' | '''''Этапы развития информационной безопасности:''''' | ||
Строка 115: | Строка 116: | ||
• стремлением самоутвердиться любой ценой. | • стремлением самоутвердиться любой ценой. | ||
− | |||
+ | |||
+ | [[Файл:Классификация угроз.jpg|600px|thumb|Классификация угроз([https://bubbl.us/NDMzNzk3My84NDQyNDY2LzhmYzRkYzNkYTRjY2VkM2FkMWY4NTMyODk2MjlkNzA2-X?utm_source=shared-link&utm_medium=link&s=8442466 ментальная карта])]] | ||
'''''Можно составить гипотетическую модель потенциального нарушителя:''''' | '''''Можно составить гипотетическую модель потенциального нарушителя:''''' | ||
Строка 130: | Строка 132: | ||
Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке. | Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке. | ||
+ | === Законодательство Российской Федерации в области обеспечения информационной безопасности === | ||
− | + | [[Файл:Законодательство_рф.jpg|500px|thumb|middle|Законодательные акты в сфере обеспечения информационной безопасности РФ ([https://time.graphics/line/16130 лента времени])]] | |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | [[Файл:Законодательство_рф.jpg|500px|thumb|middle|Законодательные акты в сфере обеспечения информационной безопасности РФ (лента времени)]] | + | |
'''Из''' [http://base.garant.ru/10102673/ '''Закона РФ "О государственной тайне"'''] ''':''' | '''Из''' [http://base.garant.ru/10102673/ '''Закона РФ "О государственной тайне"'''] ''':''' | ||
Строка 383: | Строка 381: | ||
</b> | </b> | ||
+ | |||
+ | |||
+ | |||
Проведя анкетирование среди студентов, мы пришли к заключению, что в современном мире интернет является неотъемлемой части жизни человека. | Проведя анкетирование среди студентов, мы пришли к заключению, что в современном мире интернет является неотъемлемой части жизни человека. | ||
Строка 395: | Строка 396: | ||
{|cellpadding="10" cellspacing="5" style="width: 100%; background-color: #ffe375; margin-left: auto;margin-right: auto" | {|cellpadding="10" cellspacing="5" style="width: 100%; background-color: #ffe375; margin-left: auto;margin-right: auto" | ||
| style="width: 50%; background-color: #ffffff; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"| | | style="width: 50%; background-color: #ffffff; border: 1px solid #000000;vertical-align: top" colspan="1"; rowspan="1"| | ||
− | *[http://www.bezpeka.com/ru/lib/sec/gen/art540.html Домарев В.В. "Безопасность информационных технологий. Методология создания систем защиты" – К.: ООО "ТИД "ДС", | + | *[http://www.bezpeka.com/ru/lib/sec/gen/art540.html Домарев В.В. "Безопасность информационных технологий. Методология создания систем защиты" – К.: ООО "ТИД "ДС", 2012 – 688 с.] |
*[http://lawlibrary.ru/izdanie60444.html Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. - М.: ЮНИТИ-ДАНА, 2014. – 548 с.] | *[http://lawlibrary.ru/izdanie60444.html Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. - М.: ЮНИТИ-ДАНА, 2014. – 548 с.] | ||
*[http://www.proklondike.com/books/defence/petrenko_polit_bez_komp_2011.html Петренко С. А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2014. — 400 с.] | *[http://www.proklondike.com/books/defence/petrenko_polit_bez_komp_2011.html Петренко С. А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2014. — 400 с.] | ||
*[http://www.intuit.ru/department/security/secbasics/ Учебный курс Основы информационной безопасности] | *[http://www.intuit.ru/department/security/secbasics/ Учебный курс Основы информационной безопасности] | ||
− | *[http:// | + | *[http://www.consultant.ru/document/cons_doc_LAW_208191/ Доктрина информационной безопасности Российской Федерации] |
− | + | ||
− | + | ||
− | + | ||
|} | |} | ||
Строка 413: | Строка 411: | ||
* [https://docs.google.com/forms/u/0/ Сервис для создания анкетирования] | * [https://docs.google.com/forms/u/0/ Сервис для создания анкетирования] | ||
+ | |||
+ | * [https://www.draw.io/ Сервис для создания диаграмм] |
Текущая версия на 09:02, 22 декабря 2017
СодержаниеАвторы и участники проектаТема исследования группыОбеспечение информационной безопасности общества и личности. Проблемный вопрос (вопрос для исследования)Какими способами мы можем обеспечить свою информационную безопасность? Гипотеза исследованияИнтерес к вопросам безопасности информационных систем и информационной безопасности в последнее время вырос, что связывают с возрастанием роли информационных ресурсов в конкурентной борьбе, расширением использования сетей, а, следовательно, и возможностей несанкционированного доступа к хранимой и передаваемой информации. Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных компьютеров делают информацию гораздо более уязвимой. Информация, циркулирующая в них, может быть незаконно изменена, похищена или уничтожена. Цели исследования1. Исследовать понятие и сущность информационной безопасности. 2. Изучить, что является источником информационных угроз. 3. Изучить классификацию угроз информационной безопасности личности и способов защиты. 4. Изучить законы, обеспечивающие информационную безопасность в РФ. 5. Изучить существующие методы защиты информации от информационных угроз. 6. Провести анкетирование одногруппников по теме:Информационная безопасность. Результаты исследованияИнформационная безопасностьПод информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. На практике важнейшими являются три аспекта информационной безопасности: • доступность (возможность за разумное время получить требуемую информационную услугу); • целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения); • конфиденциальность (защита от несанкционированного прочтения). История развития информационной безопасностиОбъективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.
Этапы развития информационной безопасности: • I этап — до 1816 года — характеризуется использованием естественно возникавших средств информационных коммуникаций. • II этап — начиная с 1816 года — связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи. • III этап — начиная с 1935 года — связан с появлением радиолокационных и гидроакустических средств. • IV этап — начиная с 1946 года — связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). • V этап — начиная с 1965 года — обусловлен созданием и развитием локальных информационно-коммуникационных сетей. • VI этап — начиная с 1973 года — связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. • VII этап — начиная с 1985 года — связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения. Основные угрозы информационной безопасностиСовременная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы: Аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.); Программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.; Данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.; персонал - обслуживающий персонал и пользователи. Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть: • аварийные ситуации из-за стихийных бедствий и отключений электропитания; • отказы и сбои аппаратуры; • ошибки в программном обеспечении; • ошибки в работе персонала; • помехи в линиях связи из-за воздействий внешней среды. Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами: • недовольством служащего своей карьерой; • взяткой; • любопытством; • конкурентной борьбой; • стремлением самоутвердиться любой ценой.
Можно составить гипотетическую модель потенциального нарушителя: • квалификация нарушителя на уровне разработчика данной системы; • нарушителем может быть как постороннее лицо, так и законный пользователь системы; • нарушителю известна информация о принципах работы системы; • нарушитель выбирает наиболее слабое звено в защите. Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке. Законодательство Российской Федерации в области обеспечения информационной безопасностиИз Закона РФ "О государственной тайне" : • В соответствии со Статьей 1. Сфера действия настоящего Закона, "Положения настоящего Закона обязательны для исполнения на территории Российской Федерации и за ее пределами органами законодательной, исполнительной и судебной власти, а также организациями, наделенными в соответствии с федеральным законом полномочиями осуществлять от имени Российской Федерации государственное управление в установленной сфере деятельности (далее - органы государственной власти), органами местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства Российской Федерации о государственной тайне." Из Конституции Российской Федерации : • В соответствии со Статьей 23.2, "Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений." • В соответствии со Статьей 24.1, "Сбор, хранение, использование и распространение информации о частной жизни без его согласия не допускаются." • В соответствии со Статьей 29.4, "Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом." • В соответствии со Статьей 42, "Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением." Из Федерального Закона РФ "О коммерческой тайне" : • В соответствии со Статьей 1. Цели и сфера действия настоящего Федерального закона, "Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам." • В соответствии со Статьей 4. Право на отнесение информации к информации, составляющей коммерческую тайну, и способы получения такой информации, "Информация, составляющая коммерческую тайну, обладателем которой является другое лицо, считается полученной незаконно, если ее получение осуществлялось с умышленным преодолением принятых обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, а также если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания." • В соответствии со Статьей 10. Охрана конфиденциальности информации, "Меры по охране конфиденциальности информации признаются разумно достаточными, если: 1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя; 2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны." Из Федерального Закона РФ "Об информации, информационных технологиях и о защите информации" : • В соответствии со Статьей 1. Сфера действия настоящего Федерального закона, "Настоящий Федеральный закон регулирует отношения, возникающие при: 1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации." • В соответствии со Статьей 3. Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации, "Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах: 1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом; 2) установление ограничений доступа к информации только федеральными законами; 3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами; 4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации; 5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации; 6) достоверность информации и своевременность ее предоставления; 7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия; 8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами." Из Федерального Закона РФ "О персональных данных" : • В соответствии со Статьей 1. Сфера действия настоящего Федерального закона, "Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным." • В соответствии со Статьей 2. Цель настоящего Федерального закона, "Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну." • В соответствии со Статьей 7. Конфиденциальность персональных данных, "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом." Из Доктрины информационной безопасности Российской Федерации : I. Общие положения • Настоящая Доктрина представляет собой систему официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере. • В настоящей Доктрине на основе анализа основных информационных угроз и оценки состояния информационной безопасности определены стратегические цели и основные направления обеспечения информационной безопасности с учетом стратегических национальных приоритетов Российской Федерации. •Настоящая Доктрина является документом стратегического планирования в сфере обеспечения национальной безопасности Российской Федерации, в котором развиваются положения Стратегии национальной безопасности Российской Федерации. • Настоящая Доктрина является основой для формирования государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также для выработки мер по совершенствованию системы обеспечения информационной безопасности. Уголовные наказания в сфере обеспечения информационной безопасности:
Методы защитыЗащита информации в компьютерных системах обеспечивается созданием комплексной системы защиты. Комплексная система защиты включает: º правовые методы защиты; º организационные методы защиты; º методы защиты от случайных угроз; º методы защиты от традиционного шпионажа и диверсий; º методы защиты от электромагнитных излучений и наводок; º методы защиты от несанкционированного доступа; º криптографические методы защиты; º методы защиты от компьютерных вирусов.
º создание высокой надёжности компьютерных систем; º создание отказоустойчивых компьютерных систем; º блокировка ошибочных операций; º оптимизация взаимодействия пользователей и обслуживающего персонала с компьютерной системой; º минимизация ущерба от аварий и стихийных бедствий; º дублирование информации.
º создание системы охраны объекта; º организация работ с конфиденциальными информационными ресурсами; º противодействие наблюдению и подслушиванию; º защита от злоумышленных действий персонала.
º система разграничения доступа к информации; º система защиты от исследования и копирования программных средств.
º используйте надежные пароли и регулярно их меняйте; º остерегайтесь почтовых вложений и загружаемых из Интернета модулей; º установите, поддерживайте и применяйте антивирусные программы; º установите и используйте межсетевой экран; º удаляйте неиспользуемые программы и учетные записи пользователей, надежно удаляйте все данные на выводимом из эксплуатации оборудовании; º используйте средства физического контроля доступа ко всем вычислительным устройствам; º создавайте архивные копии важных файлов, папок и программ; º устанавливайте обновления для программного обеспечения; º внедрите систему безопасности сети с контролем доступа; º ограничивайте доступ к ценным и конфиденциальным данным; º составьте и соблюдайте план управления рисками, связанными с безопасностью; º при необходимости обращайтесь за технической поддержкой к сторонним организациям. Анкетирование:Безопасная информационная средаМы провели анкетирование среди учащихся нашей группы. Результаты проведенной работы представлены ниже, в виде диаграмм.
ВыводВ ходе исследования было выяснено, что защита информации - есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям. А понятие информационной безопасности - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Полезные ресурсыДругие документы |