Информационная безопасность

Автор работы: Пользователь скрыл имя, 15 Ноября 2013 в 10:24, контрольная работа

Описание работы

Примечательная особенность нынешнего периода - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно

Файлы: 1 файл

Информационная безопасность.docx

— 50.24 Кб (Скачать файл)

математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности  технических средств злоумышленников, зон и норм необходимой защиты;

лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и  пользователей в сфере защиты информации;

нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих  функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей  работы в условиях жестких требований защиты информации.

Удовлетворить современные  требования по обеспечению безопасности предприятия и защиты его конфиденциаль-ной  информации может только система  безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Как и любая система, система  информационной безопасности имеет  свои цели, задачи, методы и средства деятельности, которые согла-совываются по месту и времени в зависимости  от условий.

1.2. Концептуальная  модель информационной безопасности.

Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организа-ций", правомерно определить угрозы безопасности информации, источники этих угроз, способы  их реализации и цели, а также  иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных  действий, приводящих к нанесению  ущерба.

Практика показала, что  для анализа такого значительного  набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется  как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она  проще. Модель должна быть достаточно об-щей, чтобы описывать реальные действия с учетом их сложности.

Можно предложить следующие  компоненты модели информационной безопасности на первом уровне декомпозиции.

По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:

объекты угроз;

угрозы;

источники угроз;

цели угроз со стороны  злоумышленников;

источники информации;

способы неправомерного овладения  конфиденциальной информацией (способы  доступа);

направления защиты информации;

способы защиты информации;

средства защиты информации.

Объектом угроз информационной безопасности выступают сведения о  составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

Угрозы информации выражаются в нарушении ее целостности, кон-фиденциальности, полноты и доступности. Источниками  угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознаком-ление  с охраняемыми сведениями, их модификация  в корыстных целях и уничтожение  для нанесения прямого материального  ущерба.

Неправомерное овладение  конфиденциальной информацией возмож-но за счет ее разглашения источниками  сведений, за счет утечки информации через  технические средства и за счет несанкциониро-ванного  доступа к охраняемым сведениям.

Источниками конфиденциальной информации являются люди, доку-менты, публикации, технические носители информации, техниче-ские средства обеспечения  производственной и трудовой деятель-ности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная  и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

Средствами защиты информации являются физические средства, аппаратные средства, программные средства и  криптографические методы. Последние  могут быть реализованы как аппаратно, программ-но, так и смешанно-программно-аппаратными  средствами.

В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие  не-санкционированному доступу. В обобщенном виде рассмотренные компоненты в  виде концептуаль-ной модели безопасности информации приведены на следующей  схеме.

Основные элементы концептуальной модели будут рассмотрены более  подробно в следующих разделах книги. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних  угроз.

1.3. Угрозы конфиденциальной  информации

Под угрозами конфиденциальной информации принято понимать потенциальные  или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладе-нию  охраняемыми сведениями. Такими действиями являются:

ознакомление с конфиденциальной информацией различными путями и  способами без нарушения ее целостности;

модификация информации в  криминальных целях как частичное  или значительное изменение состава  и содержания сведений;

разрушение (уничтожение) информации как акт вандализма с целью  прямого нанесения материального  ущерба.

В конечном итоге противоправные действия с информацией приво-дят  к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к  нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в  идеале - полностью, реально - значитель-но или хотя бы частично. Но и это  удается далеко не всегда.

С учетом этого угрозы могут  быть классифицированы по следующим  кластерам :

по величине принесенного ущерба:

предельный, после которого фирма может стать банкротом;

значительный, но не приводящий к банкротству;

незначительный, который  фирма за какое-то время может  ком-пенсировать и др.;

по вероятности возникновения:

весьма вероятная угроза;

вероятная угроза;

маловероятная угроза;

по причинам появления:

стихийные бедствия;

преднамеренные действия;

по характеру нанесенного  ущерба:

материальный;

моральный;

по характеру воздействия:

активные;

пассивные;

по отношению к объекту:

внутренние;

внешние.

Источниками внешних угроз  являются:

недобросовестные конкуренты;

преступные группировки  и формирования;

отдельные лица и организации  административно-управленческо-го аппарата.

Источниками внутренних угроз  могут быть:

администрация предприятия;

персонал;

технические средства обеспечения  производственной и трудовой деятельности.

Соотношение внешних и  внутренних угроз на усредненном  уровне можно охарактеризовать так:

82% угроз совершается собственными  сотрудниками фирмы либо при  их прямом или опосредованном  участии;

17% угроз совершается извне  - внешние угрозы;

1% угроз совершается случайными  лицами.

Угроза - это потенциальные  или реальные действия, приводящие к моральному или материальному  ущербу.

1.4. Действия, приводящие  к неправомерному овладению конфиденциальной  информацией.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать  с позиции активности в действиях, приводящих к овладению конфиденциальными  сведениями. В этом случае возможны такие ситуации:

владелец (источник) не принимает  никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его  сведения;

источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать  значи-тельные усилия к осуществлению  доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое  или беззаходовое;

промежуточная ситуация - это  утечка информации по техниче-ским каналам, при которой источник еще не знает  об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих  интересах.

В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных  актов, законов, кодексов, официальных  материалов используются и такие  понятия, как разгла-шение сведений и несанкционированный доступ к  конфиденциаль-ной информации .

Разглашение - это умышленные или неосторожные действия с конфиденциальными  сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение  выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и  в других формах обмена и дей-ствий  с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения  инфор-мации. К формальным коммуникациям  относятся деловые встречи, совещания, переговоры и тому подобные формы  общения: обмен официальными деловыми и научными документами средствами пе-редачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие мас-совые  мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как  правило, причиной разглашения конфиденциальной информации является недостаточ-ное  знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом  в этом процессе выступает источник (владелец) охраняемых секретов. Следует  отметить информационные особенности  этого действия. Информация содержательная, осмысленная, упорядоченная, аргумен-тированная, объемная и доводится зачастую в  реальном масштабе времени. Часто имеется  возможность диалога. Информация ориен-тирована в определенной тематической области  и документирована. Для получения  интересующей злоумышленника информации послед-ний затрачивает практически  минимальные усилия и использует простые легальные технические  средства (диктофоны, видео мониторинг).

Утечка - это бесконтрольный выход конфиденциальной инфор-мации  за пределы организации или круга  лиц, которым она была доверена. Утечка информации осуществляется по различным  техническим каналам. Известно, что  информация вообще переносится или  пере-дается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (напи-санный текст) и др. С учетом этого можно утверждать, что по фи-зической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материа-лы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электро-магнитные и материально-вещественные. Под каналом утечки ин-формации принято понимать физический путь от источника конфи-денциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это противоправное преднаме-ренное овладение конфиденциальной информацией  лицом, не имею-щим права доступа  к охраняемым секретам. Несанкционированный  доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования  различных средств проникновения  к коммерческим секретам. Для реализации этих действий злоумыш-леннику приходится часто проникать на объект или  создавать вблизи него специальные  посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных  самыми современными техническими средствами. Если исходить из комплексного подхода  к обеспечению инфор-мационной  безопасности, то такое деление ориентирует  на защиту информации как от разглашения, так и от утечки по техническим  каналам и от несанкционированного доступа к ней со стороны кон-курентов и злоумышленников. Такой подход к классификации действий, способствующих неправо-мерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения  комплексной информационной без-опасности.

С учетом изложенного остается рассмотреть вопрос, какие условия  способствуют неправомерному овладению  конфиденциальной ин-формацией. Указываются  следующие условия:

разглашение (излишняя болтливость  сотрудников) - 32%;

Информация о работе Информационная безопасность