Результаты исследования группы Информационная безопасность/ПИМ-17

Материал из Wiki Mininuniver
Версия от 21:14, 22 октября 2017; Веселова Ариадна (обсуждение | вклад) (Основные угрозы информационной безопасности)
Перейти к навигацииПерейти к поиску


Авторы и участники проекта

  1. Веселова Ариадна
  2. Егорычева Елена
  3. Суханова Любовь
  4. Пичужкина Дарья

Тема исследования группы

Обеспечение информационной безопасности общества и личности.

Проблемный вопрос (вопрос для исследования)

Какими способами мы можем обеспечить свою информационную безопасность?

Гипотеза исследования

Интерес к вопросам безопасности информационных систем и информационной безопасности в последнее время вырос, что связывают с возрастанием роли информационных ресурсов в конкурентной борьбе, расширением использования сетей, а, следовательно, и возможностей несанкционированного доступа к хранимой и передаваемой информации. Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных компьютеров делают информацию гораздо более уязвимой. Информация, циркулирующая в них, может быть незаконно изменена, похищена или уничтожена.

Цели исследования

1. Исследовать понятие и сущность информационной безопасности.

2. Изучить, что является источником информационных угроз.

3. Изучить классификацию угроз информационной безопасности личности и способов защиты.

4. Изучить законы, обеспечивающие информационную безопасность в РФ.

5. Изучить существующие методы защиты информации от информационных угроз.

6. Провести анкетирование одногруппников по обеспечению безопасной работы в Интернете.

Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя.

Компоненты автоматизированной информационной системы можно разбить на следующие группы:

Аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);

Программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

Данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.; персонал - обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы.

Причинами случайных воздействий при эксплуатации могут быть:

• аварийные ситуации из-за стихийных бедствий и отключений электропитания;

• отказы и сбои аппаратуры;

• ошибки в программном обеспечении;

• ошибки в работе персонала;

• помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:

• недовольством служащего своей карьерой;

• взяткой;

• любопытством;

• конкурентной борьбой;

• стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

• квалификация нарушителя на уровне разработчика данной системы;

• нарушителем может быть как постороннее лицо, так и законный пользователь системы;

• нарушителю известна информация о принципах работы системы;

• нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Основными источниками информационных угроз могут являться:

Классификация угроз(ментальная карта)

Результаты проведённого исследования

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

доступность (возможность за разумное время получить требуемую информационную услугу);

целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

конфиденциальность (защита от несанкционированного прочтения).

Законодательство Российской Федерации в области обеспечения информационной безопасности

Из Закона РФ "О государственной тайне":

• В соответствии со Статьей 1. Сфера действия настоящего Закона, "Положения настоящего Закона обязательны для исполнения на территории Российской Федерации и за ее пределами органами законодательной, исполнительной и судебной власти, а также организациями, наделенными в соответствии с федеральным законом полномочиями осуществлять от имени Российской Федерации государственное управление в установленной сфере деятельности (далее - органы государственной власти), органами местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства Российской Федерации о государственной тайне."

Из Конституции Российской Федерации:

• В соответствии со Статьей 23.2, "Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений."

• В соответствии со Статьей 24.1, "Сбор, хранение, использование и распространение информации о частной жизни без его согласия не допускаются."

• В соответствии со Статьей 29.4, "Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом."

• В соответствии со Статьей 42, "Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением."

Из Федерального Закона РФ "О коммерческой тайне":

• В соответствии со Статьей 1. Цели и сфера действия настоящего Федерального закона, "Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам."

• В соответствии со Статьей 4. Право на отнесение информации к информации, составляющей коммерческую тайну, и способы получения такой информации, "Информация, составляющая коммерческую тайну, обладателем которой является другое лицо, считается полученной незаконно, если ее получение осуществлялось с умышленным преодолением принятых обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, а также если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания."

• В соответствии со Статьей 10. Охрана конфиденциальности информации, "Меры по охране конфиденциальности информации признаются разумно достаточными, если:

1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;

2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны."

Из Федерального Закона РФ "Об информации, информационных технологиях и о защите информации":

• В соответствии со Статьей 1. Сфера действия настоящего Федерального закона, "Настоящий Федеральный закон регулирует отношения, возникающие при:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

2) применении информационных технологий;

3) обеспечении защиты информации."

• В соответствии со Статьей 3. Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации, "Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами."

Из Федерального Закона РФ "О персональных данных":

• В соответствии со Статьей 1. Сфера действия настоящего Федерального закона, "Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным."

• В соответствии со Статьей 2. Цель настоящего Федерального закона, "Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну."

• В соответствии со Статьей 7. Конфиденциальность персональных данных, "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом."

Из Доктрины информационной безопасности Российской Федерации:

I. Общие положения

• Настоящая Доктрина представляет собой систему официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере.

• В настоящей Доктрине на основе анализа основных информационных угроз и оценки состояния информационной безопасности определены стратегические цели и основные направления обеспечения информационной безопасности с учетом стратегических национальных приоритетов Российской Федерации.

• Настоящая Доктрина является основой для формирования государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также для выработки мер по совершенствованию системы обеспечения информационной безопасности.

Методы защиты

Защита информации в компьютерных системах обеспечивается созданием комплексной системы защиты. Комплексная система защиты включает:

правовые методы защиты;

организационные методы защиты;

методы защиты от случайных угроз;

методы защиты от традиционного шпионажа и диверсий;

методы защиты от электромагнитных излучений и наводок;

методы защиты от несанкционированного доступа;

криптографические методы защиты;

методы защиты от компьютерных вирусов.


Методы защиты от случайных угроз разрабатываются и внедряются на этапах проектирования, создания, внедрения и эксплуатации компьютерных систем. К их числу относятся:

создание высокой надёжности компьютерных систем;

создание отказоустойчивых компьютерных систем;

блокировка ошибочных операций;

оптимизация взаимодействия пользователей и обслуживающего персонала с компьютерной системой;

минимизация ущерба от аварий и стихийных бедствий;

дублирование информации.


При защите информации в компьютерных системах от традиционного шпионажа и диверсий используются те же средства и методы защиты, что и для защиты других объектов, на которых не используются компьютерные системы. К их числу относятся:

создание системы охраны объекта;

организация работ с конфиденциальными информационными ресурсами;

противодействие наблюдению и подслушиванию;

защита от злоумышленных действий персонала.

Для защиты информации от несанкционированного доступа создаются:

система разграничения доступа к информации;

система защиты от исследования и копирования программных средств.

Вывод

В ходе исследования было выяснено, что защита информации - есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям. А понятие информационной безопасности - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Полезные ресурсы

Другие документы