Системный подход к защите информации реферат

Обновлено: 02.07.2024

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Содержание

Введение…………………………………………………………………………….3
Основные понятия……………………………………………..4
Необходимость средств защиты информации. Системный подход к организации защиты информации от несанкционированного доступа……..8
Правовые основы защиты информации и закон о защите информации. Защита информации на предприятии………………………………………..9
Защита информации от утечки через наиболее распространенные пути несанкционированного доступа………………………………………………11
Средства обеспечения информационной безопасности
от вредоносного ПО…………………………………………………………..13
Средства защиты информации, методы и системы защиты информации…16
защита информации в компьютерных сетях…………………………………………………………..17
Защита информации и государственной тайны……………………..………20
Защита информации в России………………………………………….……..22
Заключение………………………………………………………………………. 27
Список использованной литературы…………………………………………….28

Прикрепленные файлы: 1 файл

зашита инф и без.docx

Реферат на тему:

Информационная безопасность и защита информации

1. Основные понятия

2. Виды информационной безопасности и умышленных угроз безопасности информации

3.Правовые основы защиты информации.

4.Средства защиты информации, методы и системы защиты информации

4.1Защита информации от утечки через наиболее распространенные пути несанкционированного доступа

4.2 защита информации в компьютерных сетях………………………………………………………….. 17

Список использованной литературы…………………………………………….

  1. Основные понятия……………………………………………..4
  2. Необходимость средств защиты информации. Системный подход к организации защиты информации от несанкционированного доступа……..8
  3. Правовые основы защиты информации и закон о защите информации. Защита информации на предприятии………………………………………..9
  4. Защита информации от утечки через наиболее распространенные пути несанкционированного доступа………………………………………………11
  5. Средства обеспечения информационной безопасности
  1. Средства защиты информации, методы и системы защиты информации…16

защита информации в компьютерных сетях………………………………………………………….. 17

  1. Защита информации и государственной тайны……………………..………20
  2. Защита информации в России………………………………………….……..22

Список использованной литературы…………………………………………….28

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.

На сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. К таким информационным системам можно отнести, например, банковские или юридические системы безопасного документооборота и другие информационные системы, для которых обеспечение защиты информации является жизненно важным для защиты информации в информационных системах.

Информационная безопасность( ИБ) – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому не станем его выделять. Поясним понятия доступности, целостности и конфиденциальности.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу.

Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.

Виды информационной безопасности и умышленных угроз безопасности информации

Виды информационной безопасности, а точнее виды угроз защиты информации на предприятии подразделяются на пассивную и активную.

Пассивный риск информационной безопасности направлен на внеправовое использование информационных ресурсов и не нацелен на нарушение функционирования информационной системы. К пассивному риску информационной безопасности можно отнести, например, доступ к БД или прослушивание каналов передачи данных.

Активный риск информационной безопасности нацелен на нарушение функционирования действующей информационной системы путем целенаправленной атаки на ее компоненты.

К активным видам угрозы компьютерной безопасности относится, например, физический вывод из строя компьютера или нарушение его работоспособности на уровне программного обеспечения.

Необходимость средств защиты информации.

К методам и средствам защиты информации относят организационно- технические и правовые мероприятия информационной защиты и меры защиты информации (правовая защита информации, техническая защита информации, защита экономической информации и т.д.).

Организационные методы защиты информации и защита информации в России обладают следующими свойствами:

  • Методы и средства защиты информации обеспечивают частичное или полное перекрытие каналов утечки согласно стандартам информационной безопасности (хищение и копирование объектов защиты информации);
  • Система защиты информации – это объединенный целостный орган защиты информации, обеспечивающий многогранную информационную защиту;

Методы и средства защиты информации и основы информационной безопасности включают в себя:

  • Безопасность информационных технологий, основанная на ограничении физического доступа к объектам защиты информации с помощью режимных мер и методов информационной безопасности;
  • Информационная безопасность организации и управление информационной безопасностью опирается на разграничение доступа к объектам защиты информации – это установка правил разграничения доступа органами защиты информации, шифрование информации для ее хранения и передачи (криптографические методы защиты информации, программные средства защиты информации и защита информации в сетях);
  • Информационная защита должна обязательно обеспечить регулярное резервное копирование наиболее важных массивов данных и надлежащее их хранение (физическая защита информации);
  • Органы защиты информации должны обеспечивать профилактику заражение компьютерными вирусами объекта защиты информации.

Правовые основы защиты информации.

Правовые основы защиты информации – это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия.

Первый уровень правовой основы защиты информации

Первый уровень правовой охраны информации и защиты состоит из международных договоров о защите информации и государственной тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.

Правовое обеспечение информационной безопасности РФ:

Правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации и защиту, благодаря ФЗ о защите информации.

Второй уровень правовой защиты информации

На втором уровне правовой охраны информации и защиты – это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.

Третий уровень правового обеспечения системы защиты экономической информации. К данному уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.

Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.

Четвертый уровень стандарта информационной безопасности

Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации.

Защита информации от утечки через наиболее распространенные пути несанкционированного доступа

Любая комплексная система защиты информации после того, как производится аудит информационной безопасности объекта, начинает опираться на наиболее распространенные пути перехвата конфиденциальных данных, поэтому их важно знать, для того чтобы понимать, как разрабатывается комплексная система защиты информации.

Проблемы информационной безопасности в сфере технической защиты информации:

Применение методов системного анализа к построению системы противодействия угрозам безопасности позволяет заложить комплекс мероприятий по защите информации на стадии проектирования системы, обеспечив оптимальное сочетание организационных и технических мер защиты информации. Важность реализации этого принципа обусловлена тем, что дополнение функционирующей незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.

Файлы: 1 файл

Информатика.docx

2. Системный подход к защите информации

Применение методов системного анализа к построению системы противодействия угрозам безопасности позволяет заложить комплекс мероприятий по защите информации на стадии проектирования системы, обеспечив оптимальное сочетание организационных и технических мер защиты информации.

Важность реализации этого принципа обусловлена тем, что дополнение функционирующей незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.

Современные средства защиты информации можно классифицировать следующим образом:

- активные и пассивные технические средства, обеспечивающие защиту от утечки информации по различным физическим полям;

- программные и программно-технические средства, обеспечивающие разграничение доступа к информации на различных уровнях;

- программные и программно-технические средства, обеспечивающие защиту информации и подтверждение ее подлинности при передаче по каналам связи;

- программно-аппаратные средства, обеспечивающие целостность программного продукта и защиту от несанкционированного его копирования;

- программные средства, обеспечивающие защиту от воздействия программ-вирусов.

Принцип самозащиты и конфиденциальности системы защиты информации основан на декомпозиции механизма воздействия угроз безопасности информации. При реализации такого подхода появляется возможность контролировать целостность системы защиты информации, управлять ее безопасностью, восстанавливать эту систему при ее "взломе" и/или отказах оборудования.

На этапе подготовки к обработке конфиденциальной информации также существует проблема выбора средств защиты, и в частности, систем защиты информации, обрабатываемой с использованием технических средств. Такие системы должны строиться по определенным принципам. Это связано с необходимостью противодействия целому ряду угроз безопасности информации.

К принципам противодействия угрозам относится принцип достаточности мер защиты информации, позволяющий реализовать эффективную защиту без чрезмерного усложнения системы защиты информации. При этом следует учитывать совместимость создаваемой системы противодействия угрозам безопасности информации с используемой операционной и программно-аппаратной структурой автоматизированной системы.

Средства защиты информации

Эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ). Под средством защиты информации понимается техническое, программное средство или материал, предназначенные или используемые для защиты информации.

В настоящее время на рынке представлено большое разнообразие средств защиты информации, которые условно можно разделить на несколько групп:

  • средства, обеспечивающие разграничение доступа к информации в автоматизированных системах;
  • средства, обеспечивающие защиту информации при передаче ее по каналам связи;
  • средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем;
  • средства, обеспечивающие защиту от воздействия программ-вирусов;
  • материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.

Основное назначение средств защиты первой группы - разграничение доступа к локальным и сетевым информационным ресурсам автоматизированных систем. СЗИ этой группы обеспечивают:

Защита информации при передаче ее по каналам связи осуществляется средствами криптографической защиты (СКЗИ). Характерной особенностью этих средств является то, что они потенциально обеспечивают наивысшую защиту передаваемой информации от несанкционированного доступа к ней. Помимо этого, СКЗИ обеспечивают защиту информации от модификации (использование цифровой подписи и имитовставки). Как правило, СКЗИ функционируют в автоматизированных системах как самостоятельное средство, однако в отдельных случаях СКЗИ может функционировать в составе средств разграничения доступа как функциональная подсистема для усиления защитных свойств последних. Обеспечивая высокую степень защиты информации, в то же время применение СКЗИ влечет ряд неудобств:

  • стойкость СКЗИ является потенциальной, т.е. гарантируется при соблюдении ряда дополнительных требований, реализация которых на практике осуществляется довольно сложно (создание и функционирование ключевой системы, распределение ключей, обеспечение сохранности ключей, необходимость в получении лицензии ФАПСИ на право эксплуатации средств, планирование и организация мероприятий при компрометации ключевой системы);
  • относительно высокая стоимость эксплуатация таких средств.

В целом, при определении необходимости использования средств криптографической защиты информации, необходимо учитывать то, что применение СКЗИ оправдано в случаях явного перехвата действительно конфиденциальной информации.

Принцип разумной достаточности

Создать абсолютно непреодолимую системы защиты принципиально невозможно. Поэтому при проектировании системы безопасности имеет смысл вести речь о некотором ее приемлемом уровне. При этом необходимо понимать, что высокоэффективная система защиты дорого стоит, может существенно снижать производительность защищаемого объекта и создавать ощутимые неудобства для пользователя. Важно правильно выбрать тот уровень защиты, при котором затраты, риск взлома и размер возможного ущерба были бы приемлемыми.

Защита информации вызывает необходимость системного подхода; то есть здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безопасности - организационные, физические и программно-технические, - рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Один из основных принципов системного подхода к защите информации - принцип "разумной достаточности", суть которого: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.

Несанкционированный доступ - чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.

Проблема несанкционированного доступа к информации обострилась и приобрела особую значимость в связи с развитием компьютерных сетей, прежде всего глобальной сети Интернет.

Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа. Перечислим основные типовые пути несанкционированного получения информации:

хищение носителей информации и производственных отходов;

копирование носителей информации с преодолением мер защиты;

мистификация (маскировка под запросы системы);

использование недостатков операционных систем и языков программирования;

использование программных закладок и программных блоков типа "троянский конь";

перехват электронных излучений;

перехват акустических излучений;

применение подслушивающих устройств;

злоумышленный вывод из строя механизмов защиты и т.д.

Для защиты информации от несанкционированного доступа применяются: организационные мероприятия, технические средства, программные средства, криптография.

Организационные мероприятия включают:

хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);

ограничение доступа лиц в компьютерные помещения и т.д.

Технические средства включают различные аппаратные способы защиты информации:

фильтры, экраны на аппаратуру;

ключ для блокировки клавиатуры;

устройства аутентификации - для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;

электронные ключи на микросхемах и т.д.

Программные средства защиты информации создаются в результате разработки специального программного обеспечения, которое бы не позволяло постороннему человеку, не знакомому с этим видом защиты, получать информацию из системы.

Программные средства включают:

парольный доступ - задание полномочий пользователя;

блокировка экрана и клавиатуры, например, с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;

использование средств парольной защиты BIOS на сам BIOS и на ПК в целом и т.д.

Под криптографическим способом защиты информации подразумевается ее шифрование при вводе в компьютерную систему.

На практике обычно используются комбинированные способы защиты информации от несанкционированного доступа.

Среди механизмов безопасности сетей обычно выделяют следующие основные:

Шифрование применяется для реализации служб засекречивания и используется в ряде других служб.

Механизмы контроля доступа обеспечивают реализацию одноименной службы безопасности, осуществляют проверку полномочий объектов сети, то есть программ и пользователей, на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется в точке инициализации связи, в промежуточных точках, а также в конечной точке.

Механизмы контроля доступа делятся на две основные группы:

аутентификация объектов, требующих ресурса, с последующей проверкой допустимости доступа, для которой используется специальная информационная база контроля доступа;

использование меток безопасности, наличие у объекта соответствующего мандата дает право на доступ к ресурсу.

Самым распространенным и одновременно самым ненадежным методом аутентификации является парольный доступ. Более совершенными являются пластиковые карточки и электронные жетоны. Наиболее надежными считаются методы аутентификации по особым параметрам личности, так называемые биометрические методы.

Цифровая подпись, по своей сути, призвана служить электронным аналогом ручной подписи, используемой на бумажных документах.

Дополнительными механизмами безопасности являются следующие:

обеспечение целостности данных;

Механизмы обеспечения целостности данных применимы как к отдельному блоку данных, так и к потоку данных. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Возможны и более простые методы контроля целостности потока данных, например нумерация блоков, дополнение их меткой имени.

В механизме обеспечения аутентификации различают постороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов одного уровня проверяет подлинность другого, тогда как во втором - проверка является взаимной. На практике часто механизмы аутентификации, как правило, совмещаются с контролем доступа, шифрованием, цифровой подписью и арбитражем.

Механизмы подстановки трафика основываются на генерации объектами сети фиктивных блоков, их шифровании и организации их передачи по каналам сети.

Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по сети.

Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами сети, третьей стороной. Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтвердить упомянутые характеристики.

В общем случае для реализации одной службы безопасности может использоваться комбинация нескольких механизмов безопасности.


СИСТЕМНЫЙ ПОДХОД К ПОСТРОЕНИЮ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF

На современном этапе развития общества наибольшую ценность приобретает не новый, но всегда ценный, ресурс, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена.

Поэтому в новых условиях возникает масса проблем, связанных с обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной собственности.

В условиях рынка и конкуренции коммерческая тайна выступает как элемент маркетинга и предприимчивости, как способ увеличения прибыли предприятия, либо как способ нанесения ущерба конкурентам. Утечка коммерческих секретов может привести к снижению доходов предприятия или его банкротству.

Рисунок1 Параметры системы защиты информации

Компонентами для построения и обеспечения системы защиты информации являются:

объекты (предметы) защиты;

источники угрозы безопасности информации;

угрозы безопасности информации;

мотивы условия и обстоятельства реализации угроз со стороны нарушителей;

каналы утечки, пути несанкционированного доступа к конфиденциальной информации;

методы и способы доступа к объекту (предмету) защиты, реализация угроз;

Предмет защиты выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

Объект защиты конфиденциальной информации являются люди, документы, публикации, технические носители информации, техниче­ские средства обеспечения производственной и трудовой деятель­ности, продукция и отходы производства.

Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, доступности. Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к изменению характеристик информационной безопасности.

Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба. Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкциониро­ванного доступа к охраняемым сведениям.

Под защитой информации в общем виде понимают соединение в единое целое отдельных элементов, механизмов, процессов, явлений, мероприятий, мер и программ их взаимосвязей, способствующих реализации целей защиты и обеспечению структурного построения системы защиты.

Под системой защиты информации – будим понимать совокуп­ность взаимосвязанных элементов, функционирование которых направлено на обеспечение безопасности информации. Следовательно, система защиты информации представляет собой модель системы, объединяющей силы и средства организации, обеспечивающие защиту информации.

Выходы системы представляют собой реакцию системы на входы. Выходами системы являются меры по защите информации. Однако локализовать в пространстве выходы системы так же сложно, как и входы. Каждый сотрудник, например, в меру своей от­ветственности обязан заниматься задачами защиты информации и принимать меры по обеспечению ее безопасности. Меры по защи­те информации также включают разнообразные способы и средс­тва, в том числе документы, определяющие доступ сотрудников к защищаемой информации в конкретном структурном подразделе­нии организации.

Следовательно, система защиты информации представляет собой модель системы, объединяющей силы и средства организации, обеспечивающие защиту информации. Процесс представляет собой выбор для угроз на входе системы рациональных вариантов защиты, удовлетворяю­щих значениям используемых показателей эффективности защи­ты. Следовательно, процесс выбора должен включать также пока­затели эффективности, по которым производится выбор мер из множества известных.

Решение проблемы защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы, не обеспечивающей требуемый уровень защищенности, в систему с заданным уровнем безопасности информации. Прежде чем строить систему защиты, необходимо оценить затраты на ее создание и возможные затраты на ликвидацию последствий в случае потери защищаемых данных. Защита будет экономически целесообразна только в том случае, если затраты на ее создание будут меньше возможных потерь.

Гайкович В., Першин А. Безопасность электронных банковских систем. - М., 2009.

Петров В.А., Пискарев С.А., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. - М., 2008.

Читайте также: