Источники угроз информационной безопасности

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Содержание

Введение

Понятие и виды информации. Структура информационного процесса

Понятие информационной безопасности

Информационные опасности и угрозы

Заключение

Список использованной литературы

Введение

Людям свойственно защищать свои секреты. Развитие информационных техологий, их проникновение во все сферы человеческой деятельности приводит к тому, что проблемы информационной безопасности с каждым годом становятся все более и более актуальными и одновременно более сложными.

Технологии обработки информации непрерывно совершенствуются, а вместе с ними меняются и практические методы обеспечения информационной безопасности. Действительно, универсальных методов защиты не существует, во многом успех при построении механизмов безопасности для реальной системы будет зависеть от ее индивидуальных особенностей, учет которых плохо подается формализации.

Поэтому часто информационную безопасность рассматривают как некую совокупность неформальных рекомендаций по построению систем защиты информации того или иного типа. Однако все обстоит несколько сложнее. За практическими приемами построения систем защиты лежат общие закономерности, которые не зависят от технических особенностей их реализации.

Актуальность темы заключается в том, что проблемы информационной безопасности имеют не только местные (частные) и государственные, но и геополитические аспекты. Это комплексная проблема, поэтому её решение рассматривается на разных уровнях: законодательном, административном, процедурном и программно-техническом.

Таким образом, цель работы - изучить источники угроз информационной безопасности и понятие информационной безопасности.

В соответствии с целью, в работе поставлены и последовательно решены следующие задачи:

- рассмотреть понятие информации и ее виды;

- раскрыть сущность понятия «информационная безопасность»;

- выделить основные виды угроз и опасностей информационной безопасности;

- рассмотреть принципы обеспечения информационной безопасности;

При выполнении работы использовались учебные пособия и учебники по информационной безопасности.

Понятие и виды информации. Структура информационного процесса

Информация является одним из фундаментальных понятий современности и относится к разряду тех, которые имеют очень широкое употребление. Информационные взаимодействия - это основа существования как живой, так и неживой природы. Без информационных процессов немыслима и социальная жизнь. Информационные технологии представляют собой основу современной и особенно зарождающейся цивилизации - информационного общества.

Термин «информация» происходит от латинского слова «information, что означает сведения, разъяснения, изложение. Обычно под информацией понимаются знания, сведения, данные, сообщения и сигналы, с которыми мы имеем дело в повседневной жизни и проявление которых мы наблюдаем в природе и обществе.

Определение информации, которое содержится в энциклопедическом словаре, говорит о том, что «информация - это общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом, обмен сигналами в животном и растительном мире; передачу признаков от клетки к клетке, от организма к организму».

Правовое определение «информации» дает ФЗ «Об информации, информационных технологиях и о защите информации» «информация - сведения (сообщения, данные) независимо от формы их представления».

В Доктрине информационной безопасности РФ под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Учитывая сказанное выше, остановимся на следующем определении: Информация - сведения об объектах и явлениях окружающей среды, их параметрах, свойствах и состоянии, которые воспринимают информационные системы (живые организмы, управляющие машины и др.) в процессе жизнедеятельности и работы.

Информация может существовать в виде текстов, рисунков, чертежей, фотографий, световых или звуковых сигналов, радиоволн, электрических и нервных импульсов, магнитных записей, жестов и мимики, запахов и вкусовых ощущений, хромосом, посредством которых передаются по наследству признаки и свойства организмов, и т.д..

Информацию можно упорядочить по ряду признаков, т.е. провести ее классификацию. В связи с этим, информация может быть классифицирована следующим образом:

1. По способам восприятия:

Визуальная;

Аудиальная;

Тактильная;

Обонятельная;

Вкусовая.

2. По форме представления:

Буквенная;

Цифровая;

Графическая;

Кодированная;

Комбинированная.

3. По форме передачи:

Вербальная (словесная, звуковая);

Невербальная (представленная на определенном носителе: бумаге, дискете и т.д.);

Письменная;

Печатная;

Телефонная;

Электронная;

Спутниковая и т.д.

4. По назначению:

Экономическая;

Техническая;

Социальная;

Организационная и т.д.

5. По общественному значению:

5.1. Массовая

Обыденная;

Общественно-политическая;

Эстетическая.

5.2. Личная

Знания;

Интуиция.

5.3. Специальная

Научная;

Производственная;

Техническая;

Управленческая.

6. По изменчивости во времени:

Условно-постоянная (например, место жительства человека);

Условно-переменная (например, последовательность календарных месяцев);

Постоянная (например, дата рождения человека);

Переменная.

7. По режиму передачи от одного потребителя информации другому:

В произвольные сроки;

По запросу;

Принудительно в определенные сроки.

Структура информационного процесса

Те предметы или устройства, от которых человек может получить информацию, называют источниками информации. Те предметы или устройства, которые могут получать информацию, называют приёмниками информации. При переносе информации в виде сигнала от источника к приёмнику (потребителю) она проходит последовательно следующие фазы (говорят - фазы обращения), составляющие информационный процесс:

1. Восприятие (если фаза реализуется технической системой) или сбор (если фаза реализуется человеком) - осуществляет отображение источника информации в сигнал. Здесь определяются качественные и количественные характеристики источника, существенные для решения задач потребителя информации, для чего и собирается или воспринимается информация. Совокупность этих характеристик создает образ источника, который фиксируется в виде сигнала на носителе той или иной природы (бумажном, электронном и т.п.).

2. Передача - перенос информации в виде сигнала в пространстве посредством физических сред любой природы. Включается в информационный процесс, если места выполнения других фаз информационного процесса территориально разобщены.

3. Обработка - любое преобразование информации с целью решения определенных функциональных задач (они определяются потребителем информации). Данная фаза может включать хранение информации как перенос ее во времени.

4. Представление (если потребителем информации является человек) или воздействие (если потребителем является техническая система). В первом случае выполняется подготовка информации к виду, удобному для потребителя (графики, тексты, диаграммы, таблицы и т.д.). Во втором случае вырабатываются управляющие воздействия на технические средства.

Понятие информационной безопасности

В повседневной жизни часто информационная безопасность (ИБ) понимается лишь как необходимость борьбы с утечкой секретной и распространением ложной и враждебной информации. Однако это понимание очень узкое. Существует много разных определений информационной безопасности, в которых высвечиваются отдельные её свойства.

В различных источниках приводятся следующие определения:

Информационная безопасность - это

1) комплекс организационно-технических мероприятий, обеспечивающих целостность данных и конфиденциальность информации в сочетании с её доступностью для всех авторизованных пользователей;

2) показатель, отражающий статус защищенности информационной системы;

3) состояние защищённости информационной среды;

4) состояние, обеспечивающее защищенность информационных ресурсов и каналов, а также доступа к источникам информации.

В. И. Ярочкин считает, что информационная безопасность есть состояние защищённости информационных ресурсов, технологии их формирования и использования, а также прав субъектов информационной деятельности.

Достаточно полное определение дают В. Бетелин и В. Галатенко, которые полагают, что Информационная безопасность - защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб владельцам или пользователям информации и поддерживающей инфраструктуры.

Информационная безопасность не сводится исключительно к защите информации и компьютерной безопасности. Следует различать информационную безопасность от защиты информации.

Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Иногда под защитой информации понимается создание в ЭВМ и вычислительных системах организованной совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения или несанкционированного использования защищаемой информации.

Меры по обеспечению информационной безопасности должны осуществляться в разных сферах - политике, экономике, обороне, а также на различных уровнях - государственном, региональном, организационном и личностном. Поэтому задачи информационной безопасности на уровне государства отличаются от задач, стоящих перед информационной безопасностью на уровне организации.

Субъект информационных отношений может пострадать (понести материальные и/или моральные убытки) не только от несанкционированного доступа к информации, но и от поломки системы, вызвавшей перерыв в работе. Информационная безопасность зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Поддерживающая инфраструктура имеет самостоятельную ценность, важность которой переоценить невозможно.

В социальном плане информационная безопасность предполагает борьбу с информационным «загрязнением» окружающей среды, использованием информации в противоправных и аморальных целях.

Объектом информационная безопасность будет считаться информация, затрагивающая государственные, служебные, коммерческие, интеллектуальные и личностные интересы, а также средства и инфраструктура её обработки и передачи.

Также объектами информационного воздействия и, следовательно, информационной безопасности могут быть общественное или индивидуальное сознание.

Общественное сознание - совокупность идей, взглядов, представлений, существующих в обществе в данный период, в которых отражается социальная действительность. На государственном уровне субъектами информационная безопасность являются органы исполнительной, законодательной и судебной власти. В отдельных ведомствах созданы органы, специально занимающиеся информационной безопасностью.

Субъектами информационная безопасность являются органы и структуры, которые в той или иной мере занимаются ее обеспечением. Кроме этого, субъектами информационная безопасность могут быть:

- граждане и общественные объединения;

- средства массовой информации;

- предприятия и организации независимо от формы собственности.

Интересы субъектов информационная безопасность, связанных с использованием информационных систем, можно подразделить на следующие основные категории:

Доступность - возможность за приемлемое время получить требуемую информационную услугу. Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это наносит ущерб всем субъектам информационных отношений. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления: производством, транспортом и т.п. Поэтому, не противопоставляя доступность остальным аспектам, доступность является важнейшим элементом информационная безопасность.

Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций). Практически все нормативные документы и отечественные разработки относятся к стастической целостности, хотя динамический аспект не менее важен. Пример области применения средств контроля динамической целостности - анализ потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Конфиденциальность - защита от несанкционированного ознакомления. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации.

Цель мероприятий в области информационной безопасности - защита интересов субъектов информационная безопасность.

Задачи информационная безопасность:

1. Обеспечение права личности и общества на получение информации.

2. Обеспечение объективной информацией.

3. Борьба с криминальными угрозами в сфере информационных и телекоммуникационных систем, с телефонным терроризмом, отмыванием денег и т.д.

4. Защита личности, организации, общества и государства от информационно-психологических угроз.

5. Формирование имиджа, борьба с клеветой, слухами, дезинформацией.

Роль информационной безопасности возрастает при возникновении экстремальной ситуации, когда любое недостоверное сообщение может привести к усугублению обстановки.

Критерий информационная безопасность - гарантированная защищённость информации от утечки, искажения, утраты или иных форм обесценивания. Безопасные информационные технологии должны обладать способностью к недопущению или нейтрализации воздействия как внешних, так и внутренних угроз информации, содержать в себе адекватные методы и способы её защиты.

Информационные опасности и угрозы

Создание системы информационная безопасность предполагает выявление источников информационных опасностей и угроз. Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу: сбор, модификация (искажение), утечка и уничтожение информации. Эти действия являются базовыми для рассмотрения классификации источников информационных опасностей и угроз.

Рассмотрим внешние и внутренние источники информационных опасностей и угроз. Источниками внутренних угроз являются:

1. Сотрудники организации.

2. Программное обеспечение.

3. Аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

- ошибки пользователей и системных администраторов;

- нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;

- ошибки в работе программного обеспечения;

- отказы и сбои в работе компьютерного оборудования.

К внешним источникам угроз относятся:

1. Компьютерные вирусы и вредоносные программы.

2. Организации и отдельные лица.

3. Стихийные бедствия.

Формами проявления внешних угроз являются:

- заражение компьютеров вирусами или вредоносными программами;

- несанкционированный доступ к корпоративной информации;

- информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;

- действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;

- аварии, пожары, техногенные катастрофы, стихийные бедствия.

Все перечисленные выше виды угроз (формы проявления) можно разделить на умышленные и неумышленные.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

- несанкционированный доступ к информационным ресурсам;

- незаконное копирование данных в информационных системах;

- хищение информации из библиотек, архивов, банков и баз данных;

- нарушение технологии обработки информации;

- противозаконный сбор и использование информации;

- использование информационного оружия.

К программным угрозам относятся:

- использование ошибок и «дыр» в программном обеспечении;

- компьютерные вирусы и вредоносные программы;

- установка «закладных» устройств.

К физическим угрозам относятся:

- уничтожение или разрушение средств обработки информации и связи;

- хищение носителей информации;

- хищение программных или аппаратных ключей и средств криптографической защиты данных;

- воздействие на персонал.

К радиоэлектронным угрозам относятся:

- внедрение электронных устройств перехвата информации в технические средства и помещения;

- перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

- нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере;

- закупки несовершенных или устаревших информационных технологий и средств информатизации. Информатизация - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.

Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

1) законодательный уровень (законы, нормативные акты, стандарты и т.п.). Законодательный уровень является важнейшим для обеспечения информационной безопасности. К мерам этого уровня относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности нарушение правильности таких действий.

2) административный уровень (действия общего характера, предпринимаемые руководством организации). Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

3) процедурный уровень (конкретные меры безопасности, ориентированные на людей). Меры данного уровня включают в себя:

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;

- мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);

- мероприятия, осуществляемые при подборе и подготовке персонала, обслуживающего систему;

- организацию охраны и режима допуска к системе;- организацию учета, хранения, использования и уничтожения документов и носителей информации;

- распределение реквизитов разграничения доступа;

- организацию явного и скрытого контроля за работой пользователей;

- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения.

4) программно-технический уровень (технические меры). Меры защиты этого уровня основаны на использовании специальных программ и аппаратуры и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты:

- идентификацию и аутентификацию пользователей;

- разграничение доступа к ресурсам;

- регистрацию событий;

- криптографические преобразования;

- проверку целостности системы;

- проверку отсутствия вредоносных программ;

- программную защиту передаваемой информации и каналов связи;

- защиту системы от наличия и появления нежелательной информации;

- создание физических препятствий на путях проникновения нарушителей;

- мониторинг и сигнализацию соблюдения правильности работы системы;

- создание резервных копий ценной информации.

Принципы обеспечения информационной безопасности

Организация информационной безопасности предполагает разработку определённых принципов её обеспечения. Одним из основных является принцип баланса интересов личности, общества и государства. Личность заинтересована в конфиденциальности информации об интимной жизни, доходах, социально значимых ошибках и т.д., а общество заинтересовано в получении сведений об антисоциальных проявлениях, коррупции, преступных доходах и т.д.

Принцип законности и правой обеспеченности. Рост значимости информационная безопасность явно опережает развитие соответствующей сферы права, чем умело пользуются и политики, и преступники. Средства массовой информации (СМИ) не несут практически никакой ответственности за ложную информацию, направленную на массового потребителя этой информации (читателя, телезрителя).

Принцип интеграции с международными системами безопасности информации. Глобализация жизни на планете требует развития международных коммуникаций и их согласованности в обеспечении безопасности передачи информации. Глобализация - процесс всемирной экономической, политической и культурной интеграции и унификации.

Принцип экономической эффективности. Этот принцип говорит о том, что результаты от мер информационная безопасность должны превышать совокупные затраты на них. Если этот принцип не соблюдается, то меры по обеспечению секретности информации не только не окупаются, но даже вредят прогрессу.

Принцип мобильности системы информационная безопасность. Система информационная безопасность должна не допускать неоправданных режимных ограничений, т.к. одновременно с этим государство утрачивает возможность защищать главное богатство своей страны - способность создавать и генерировать новые знания.

Принцип презумпции несекретное информации означает, что строгому нормированию подлежит конфиденциальность, а не гласность.

При разработке и проведении в жизнь политики информационной безопасности в какой-либо организации целесообразно руководствоваться следующими принципами:

- Принцип невозможности миновать защитные средства говорит сам за себя и не требует дополнительных пояснений.

- Принцип усиления самого слабого звена. Надежность любой обороны определяется самым слабым звеном. Злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью. Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационная безопасность приобретает нетехнический характер.

- Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ.

- Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа - уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов.

- Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по заказу злоумышленников.

- Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.

- Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем).

- Принцип простоты и управляемости информационной системы. Залогом информационной безопасности являются не сложность и скрытность, а, напротив, простота и апробированность. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществить централизованное администрирование.

- Принцип обеспечения всеобщей поддержки мер безопасности носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать, заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.

Заключение

В данной работе были рассмотрены понятие информация - это сведения об объектах и явлениях окружающей среды, их параметрах, свойствах и состоянии, которые воспринимают информационные системы (живые организмы, управляющие машины и др.) в процессе жизнедеятельности и работы. Ключевые понятия информационной безопасности: конфиденциальность, целостность и доступность информации, а любое действие, направленное на их нарушение, называется угрозой. Источниками внутренних угроз являются:1. Сотрудники организации; 2. Программное обеспечение; 3. Аппаратные средства. К внешним источникам угроз относятся:1. Компьютерные вирусы и вредоносные программы; 2. Организации и отдельные лица; 3. Стихийные бедствия.

Итак, в результате рассмотрения данной темы выяснили, что информационная безопасность есть состояние защищённости информационных ресурсов, технологии их формирования и использования, а также прав субъектов информационной деятельности (В. И. Ярочкин).

угроза информационная безопасность

Список использованной литературы

Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Основы информационной безопасности. Белов Е.Б, Лось В.П. и др. - М.: Горячая линя - Телеком, 2006. -- 544 с.

Галатенко В.А. Основы информационной безопасности. - ИНТУИТ. РУ "Интернет-университет Информационных Технологий", 2006. - 208 с.

Гафнер В. В. Информационная безопасность : учеб. -- Ростов н/Д : Феникс, 2010. -- 324 с.

Мельников В. П. Информационная безопасность и защита информации: учебное пособие для студ. высш. учеб. Заведений. - Издательский центр Академия, 2008. - 332 с.

Петренко С.А., Курбатов В.А. Политики информационной безопасности. - М.: Компания АйТи, 2006. - 400 с.

Ярочкин В.И. Информационная безопасность. - М.:Академический Проект, 2008. - 544.

Размещено на www.allbest.