Информационная безопасность и безопасность информации
Характеристика информации, ее количество и объем. Процесс создания и оформления документов. Информационная система как объект защиты. Обеспечение безопасности информации. Организация доверенного взаимодействия сторон в информационном пространстве.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | реферат |
| Язык | русский |
| Дата добавления | 10.01.2013 |
| Размер файла | 381,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Информационная безопасность и безопасность информации
1. Характеристика информации
Как известно, информация многогранное понятие и трактуется как свойство материи, мера организации системы. Мы под информацией будем понимать традиционное понятие, а именно сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Эти сведения характеризуют свойства объектов, их состояние и другие характеристики.
Говоря об измерении информации, выделяют ее количество и объем. Объем данных в сообщении измеряется количеством символов принятого алфавита. Количество информации рассматривают как разность неопределенности (энтропии) системы до получения сообщения и после его получения.
Пусть по каналу связи передается «-разрядное сообщение, использующее различных символов (объем информации равен ). Тогда число возможных комбинаций сообщений . При равновероятном появлении этих комбинаций количество информации, полученное получателем при условии, что канал связи идеальный и в нем отсутствуют помехи и искажения сообщения, равно (формула Хартли)
. (1)
Если в качестве основания логарифма выбрать , то . В этом случае количество информации и объем данных совпадают и равны . При единицей количества информации является бит.
При не равновероятном появлении комбинаций сообщений количество информации меньше ее объема. Степень информированности сообщения определяют отношением количества информации к объему данных.
При описании «компьютерной» информации «разряд» и «бит» считают синонимами, хотя бит - это двоичная единица количества информации, численно равная количеству информации в испытании с двумя равновероятными и взаимоисключающими исходами в случае, когда логарифмы берутся по основанию 2, а разряд - это мера объема данных.
Информационные процессы - это процессы сбора, обработки, накопления, хранения, поиска и распространения информации для различных целей, включая поддержку принятия управленческих решений.
Принято считать, что информация не материальна, но имеет материальные носители. Носителями информации являются: СМИ (газеты, журналы, реклама и т.д.); средства связи; документы; системы обработки данных. Предполагают, что люди являются не носителями, а источниками или преемниками информации.
2. Документированная информация (документ)
Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Процесс создания и оформления документов называют документированием. В процессе документирования используются определенные реквизиты (элементы документа), являющиеся средством идентификации документа и его оформления, придания юридической силы. Многие реквизиты выступают в качестве поисковых признаков при внесении информации в информационно-поисковые системы документооборота. Официальный документ - документ, созданный юридическими или физическими лицами, оформленный и удостоверенный в установленном порядке.
Классификацию управленческих документов содержит «Общероссийский классификатор управленческой документации» (ОКУД), ОК 011-93. В зависимости от функций управления выделяют специальные системы документации: организационно-распределительную, отчетно-статистическую, бухгалтерскую, по труду и т.д. Могут быть и другие системы документации.
Документооборот - движение документов в организации с момента их создания или получения до завершения исполнения или отправления. Выделяют четыре основных стадии жизненного цикла документа: создание, обращение, хранение, уничтожение.
Делопроизводство (документационное обеспечение управления) - отрасль деятельности, обеспечивающая документирование и организацию работы с официальными документами. В настоящее время термин делопроизводство связывают с неэлектронными документами, а документационное обеспечение управления (ДОУ) - с электронными.
Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.
ДОУ - деятельность по созданию, обработке, хранению и использованию управленческих документов в целях принятия управленческих решений и контроля за их исполнением на основе использования соответствующих информационных технологий.
3. Информационная система как объект защиты
Информационная система - это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система содержит различные обеспечения, например, аппаратное (техническое), программное, информационное, организационное, а также соответствующий персонал. Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банк; данных, других информационных системах).
Информатика, как наука, изучает свойства, структуру и функции информационных систем, основы их проектирования, создания, использования и оценки, а также информационные процессы в них происходящие.
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Когда говорят о доступе к информации, то имеют в виду возможность ознакомления с ней, а также возможность ее обработки в частности, копирование, модификация или уничтожение.
Как мы уже отмечали, под информационной системой (ИС понимают систему, организующую, хранящую и преобразующую информацию. В этой системе основным предметом и продуктом труда является информация. В настоящий момент ИС, как правило, являются автоматизированными.
Вычислительная (компьютерная) система - совокупность одного и более компьютеров или процессоров, программного обеспечения и периферийного оборудования, организованная для совместного выполнения информационно-вычислительных процессов.
Информационную систему, вычислительную систему и компьютерную систему с позиций защиты информации мы будем рассматривать как синонимы (предполагаем, что ИС является автоматизированной).
ИС иногда разделяют на две основные группы:
а) системы информационного обеспечения (входят в состав других автоматизированных систем);
б) системы, имеющие самостоятельное целевое назначение область применения, например, информационно-поисковые системы.
ИС могут быть локальными и распределенными, поэтому компонентами ИС являются локальные сети, каналы и средства связи, узлы коммутации, помещения для серверов и т.д. Пользователями ИС являются люди и процессы, выполняемые на различных ее ресурсах.
4. Безопасность информации
Под безопасностью информации понимают свойство передаваемой, накапливаемой, обрабатываемой и хранимой информации, характеризующее степень ее защищенности от дестабилизирующего воздействия внешней среды (человека и природы) и внутренних угроз. При такой трактовке понятия «защита информации» и «обеспечение безопасности информации» являются синонимами.
Объектами защиты в этом случае является информация, представленная в любой материальной форме, и средства ее сбора, обработки, передачи и хранения.
Определению информации, как сведений разного назначения, представленных в любой форме и являющихся объектами различных процессов, соответствует узкая трактовка понятия «защита информации». В этом случае под защитой информации понимается совокупность мероприятий и действий, направленных на обеспечение ее безопасности, а именно ее конфиденциальности, целостности и доступности в процессе сбора, передачи, обработки и хранения (рис. 1).
Рисунок 1 - Аспекты безопасности информации
Под защитой информации в более широком смысле понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.
Под системой защиты автоматизированной информационной системы понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации, а именно ее конфиденциальность, целостность и доступность, в соответствии с принятой политикой безопасности.
Надо различать: безопасность информации, информационную безопасность, безопасность автоматизированных информационных систем. Отличие заключается в объекте защиты.
В Законе РФ «О безопасности» безопасность трактуется как «состояние защищенности жизненно важных интересов личности, общества и государства от внешних и внутренних угроз».
Интересы личности определены как полное обеспечение конституционных прав и свобод, личной безопасности, повышения качества и уровня жизни, физического, духовного и интеллектуального развития.
Интересы общества состоят в упрочении демократии, создании правового, социального государства, достижении и поддержании общественного согласия.
Интересы государства состоят в незыблемости конституционного строя, суверенитета и территориальной целостности, в политической, экономической и социальной стабильности, в обеспечении законности и правопорядка, в развитии международного сотрудничества.
Таким образом, национальная безопасность включает в себя три составляющие: государственную безопасность, общественную безопасность и безопасность человека или личную безопасность.
Отметим, что в нормативных документах Гостехкомиссии России безопасность информации определяется следующим образом - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами.
5. Информационная безопасность
В соответствии с Концепцией национальной безопасности под информационной безопасностью понимается состояние защищенности национальных интересов страны (личности, общества и государства) в информационной сфере от внутренних и внешних угроз.
Информационная безопасность является компонентой национальной безопасности наряду с политической, военной, экономической, социальной и экологической компонентами.
К объектам информационной безопасности относятся:
1. все виды информационных ресурсов;
2. права граждан, юридических лиц и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности;
3. система формирования, распространения и использования информационных ресурсов, включающая в себя информационные системы различного назначения, библиотеки, архивы, базы данных, процедуры сбора, обработки, хранения и передачи данных;
4. информационная инфраструктура, включающая телекоммуникации, механизмы функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;
5. системы формирования общественного сознания (моральные и нравственные ценности, мировоззрение, социально допустимые стереотипы поведения людей и т.д.), базирующиеся на средствах массовой информации и пропаганды.
Система информационной безопасности представляет совокупность законодательных актов и нормативно-правовых документов (правовое обеспечение), органов государственной власти и управления, структур по безопасности в организациях и организационных мероприятий в области защиты информации (организационное обеспечение), научных разработок, математических методов и программно-технических средств (научно-техническое обеспечение) (рис. 2).
Таким образом, понятие «информационная безопасность» характеризует степень защищенности человека, общества, государства, природы в информационном плане и включает в себя более узкое понятие «безопасность информации», относящееся к таким объектам защиты, как собственно информация, информационные системы и технологии.
В последнее время в учебных курсах информационная безопасность трактуется в более узком смысле и является синонимом безопасности информации, связанной с автоматизированной ее обработкой в соответствии с технологическим процессом: сбор, передача, обработка и т.д.
В этом случае под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе пользователям и обладателям информации и поддерживающей инфраструктуры. В этом определении важно подчеркнуть, что речь идет не просто об ущербе, а о неприемлемом ущербе.
Следует отметить, что объектом информационной безопасности может быть предприятие (организация), а, именно, сведения о его состоянии, структуре, результатах деятельности, включая персонал, технологии, материальные, финансовые и информационные ресурсы.
Независимо от размеров организации и специфики ее информационной системы работы по обеспечению режима информационной безопасности включают следующие этапы:
1) определение политики информационной безопасности;
2) определение предметной области для системы управления информационной безопасностью и конкретизация целей ее создания;
3) оценка рисков и их управление;
4) выбор мероприятий, средств и методов, обеспечивающих режим информационной безопасности;
5) аудит системы управления информационной безопасности.
6. Безопасность информации с позиции ее защиты
Рассматривая безопасность информации с позиции ее защиты, необходимо ответить на три вопроса: что защищать, от чего защищать и как защищать. Ответим на эти вопросы применительно к автоматизированным информационным системам.
С вопросом «Что защищать?» связано понятие объекта защиты. Под объектом защиты будем понимать комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора, передачи, обработки и хранения информации.
Выделяют принципы обеспечения безопасности информационных систем и сетей. Например:
а) информированность - участники должны сознавать необходимость безопасности информационных систем и сетей и то, что можно сделать для усиления безопасности;
б) ответственность - все участники ответственны за безопасность;
в) реагирование - участники должны действовать одновременно и совместно для защиты, обнаружения и реакции на инциденты безопасности;
г) этика - участники должны соблюдать законные интересы друг друга;
д) оценка риска - участники должны проводить оценку риска;
е) управление безопасностью - участники должны использовать в полной мере механизмы обеспечения безопасности и комплексный подход к управлению безопасности.
Говоря о прикладном аспекте защиты объекта, выделяют такие направления:
1) безопасность операционных систем, процессов, процедур и программ обработки информации;
2) безопасность вычислительных сетей и каналов связи;
3) безопасность баз данных и других объектов ИС;
4) безопасность инфраструктуры и т.д.
Вопрос «От чего защищать?» связан с понятием «угроза». Угроза - (потенциальная возможность неправомерного преднамеренного или случайного воздействия на объект защиты, приводящего к потере, искажению или разглашению информации. При этом необходимо определять источники этих угроз и способы их реализации.
7. Необходимость обеспечения безопасности информационных систем
Необходимость защиты информационных систем обосновывается несколькими основными причинами.
1. Современные компьютеры за последние годы приобрели гигантскую вычислительную мощь, но, одновременно с этим, стали гораздо проще в эксплуатации. Это означает, что пользоваться ими стало намного легче, поэтому все большее количество новых, как правило, неквалифицированных людей, получают доступ к компьютерам, что приводит к снижению средней квалификации пользователей. Эта тенденция существенно облегчает задачу нарушителям.
2. Повсеместное распространение сетевых технологий объединило отдельные машины в локальные сети, совместно использующие общие ресурсы, а применение технологий клиент-сервер и кластеризации преобразовало такие сети в распределенные вычислительные среды. Безопасность сети определяется защищенностью всех входящих в нее компьютеров и сетевого оборудования. Злоумышленнику достаточно нарушить работу только одного компонента, чтобы скомпрометировать всю сеть.
3. Современные телекоммуникационные технологии объединили локальные компьютерные сети в глобальную информационную среду. Это привело к появлению такого уникального явления, как Интернет. Именно развитие Интернета вызвало всплеск интереса к проблеме информационной безопасности и поставило вопрос об обязательном наличии средств защиты у сетей и систем, подключенных к Интернету, независимо от характера обрабатываемой в них информации.
4. Прогресс в области аппаратных средств сочетается с еще более бурным развитием программного обеспечения. Как показывает практика, большинство распространенных современных программных средств, в первую очередь операционных систем, не отвечает даже минимальным требованиям безопасности, хотя их разработчики в последнее время и предпринимают определенные действия в этом направлении.
5. Развитие гибких и мобильных технологий обработки информации привело к тому, что практически исчезает грань между обрабатываемыми данными и исполняемыми программами за счет появления и широкого распространения виртуальных машин и интерпретаторов. Это увеличивает возможности злоумышленников по созданию средств внедрения в чужие системы и затрудняет задачу защиты подобных систем, т.к. наличие таких «вложенных» систем требует и реализации защиты для каждого уровня.
6. Необходимость создания глобального информационного пространства и обеспечение безопасности протекающих в нем процессов потребовала разработки международных стандартов, следование которым может обеспечить необходимый уровень гарантии обеспечения защиты. В современных условиях чрезвычайно важным является стандартизация не только требований безопасности, но и обоснование их применения, а также методов подтверждения адекватности реализованных средств защиты и корректности самой реализации.
Вследствие совокупного действия всех перечисленных факторов перед разработчиками современных информационных систем, предназначенных для обработки важной информации, стоят следующие задачи, требующие немедленного и эффективного решения.
1. Обеспечение безопасности новых типов информационных ресурсов. Поскольку компьютерные системы теперь напрямую интегрированы в информационные структуры современного общества, средства защиты должны учитывать современные формы представления информации (гипертекст, мультимедиа и т.д.). Это означает, что системы защиты должны обеспечивать безопасность на уровне информационных ресурсов, а не отдельных документов, файлов или сообщений.
2. Организация доверенного взаимодействия сторон (взаимной идентификации /аутентификации) в информационном пространстве. Развитие локальных сетей и Интернета диктует необходимость осуществления эффективной защиты при удаленном доступе к информации, а также взаимодействии пользователей через общедоступные сети. Причем требуется решить эту задачу в глобальном масштабе, несмотря на то, что участвующие стороны могут находиться в разных частях планеты, функционировать на различных аппаратных платформах и в разных операционных системах.
3. Защита от средств нападения. Опыт эксплуатации существующих систем показал, что сегодня от защиты требуются совершенно новые функции, а именно, механизмы, обеспечивающие безопасность системы в условиях возможного взаимодействия с ней, или появления внутри нее программ, осуществляющих деструктивные действия - компьютерных вирусов, автоматизированных средств взлома, агрессивных агентов. На первый взгляд, кажется, что эта проблема решается средствами разграничения доступа, однако это не совсем так, что подтверждается известными случаями распространения компьютерных вирусов в «защищенных» системах.
информационный защита безопасность документ
Размещено на Allbest.ru
Подобные документы
Безопасность информации, компоненты системы защиты. Дестабилизирующие факторы. Классификация угрозы безопасности информации по источнику появления, по характеру целей. Способы их реализации. Уровни защиты информации. Этапы создания систем защиты.
презентация [288,1 K], добавлен 22.12.2015Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа [43,6 K], добавлен 05.09.2013Влияние вида деятельности предприятия на организацию комплексной системы защиты информации. Состав защищаемой информации. Потенциальные каналы несанкционированного доступа к информации организации. Эффективность системы информационной безопасности.
отчет по практике [1,3 M], добавлен 31.10.2013Информационная безопасность, её цели и задачи. Каналы утечки информации. Программно-технические методы и средства защиты информации от несанкционированного доступа. Модель угроз безопасности информации, обрабатываемой на объекте вычислительной техники.
дипломная работа [839,2 K], добавлен 19.02.2017Структура и особенности ОС Linux, история ее развития. Информационная безопасность: понятие и регламентирующие документы, направления утечки информации и ее защиты. Расчет создания системы информационной безопасности и исследование ее эффективности.
курсовая работа [77,3 K], добавлен 24.01.2014Требования к информации: доступность, целостность и конфиденциальность. Модель CIA как информационная безопасность, строящаяся на защите доступности, целостности и конфиденциальности информации. Прямые и косвенные угрозы, средства защиты информации.
презентация [76,8 K], добавлен 06.01.2014Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.
курс лекций [52,7 K], добавлен 17.04.2012Характеристика и особенности информационной безопасности, под которой понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий. Информационная безопасность в сети Интернет. Функции антивирусов.
контрольная работа [25,8 K], добавлен 24.02.2011Развитие новых информационных технологий и всеобщая компьютеризация. Информационная безопасность. Классификация умышленных угроз безопасности информации. Методы и средства защиты информации. Криптографические методы защиты информации.
курсовая работа [25,9 K], добавлен 17.03.2004Государственная политика в сфере формирования информационных ресурсов. Выбор комплекса задач информационной безопасности. Система проектируемых программно–аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
курсовая работа [605,0 K], добавлен 23.04.2015
