1. Основы информационной 6езопасности
Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.
Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.
На практике важнейшими являются три аспекта информационной безопасности:
· доступность - возможность за разумное время получить требуемую информационную услугу;
· целостность - ее защищенность от разрушения и несанкционированного изменения;
· конфиденциальность -- защита от несанкционированного прочтения.
Кроме того, информационные системы должны использоваться в соответствии с существующим законодательством. Данное положение, разумеется, применимо к любому виду деятельности, однако информационные технологии специфичны в том отношении, чет развиваются исключительно быстрыми темпами. Почти всегда законодательство отстает от потребностей практики, и это создает в обществе определенную напряженность. Для информационных технологий подобное отставание законов, нормативных; актов, национальных и отраслевых стандартов оказывается особенно болезненным.
Формирование режима информационной безопасности -- проблема комплексная. Меры по ее решению можно разделить на четыре уровня:
1. Законодательный (законы, нормативные акты, стандарты и т.п.).
2. Административный (действия общего характера, предпринимаемые руководством организации),
3. Процедурный (конкретные меры безопасности, имеющие дело с людьми),
4. Программно-технический (конкретные технические меры).
2. Информационные технологии и право
Важнейшим аспектом решения проблемы информационной безопасности являетcя правовой.
Особое внимание следует обратить на две ключевые даты - 18 октября 2013 г. и 1 января 2014 г.
Первая дата: 18 октября 2013 года вступил в действие Указ Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации». Указ определяет типы объектов, на которых осуществляется техническая и криптографическая защита информации.
Во исполнение требований данного Указа введен в действие ряд положений приказами Оперативно-аналитического центра при Президенте Республики Беларусь от 26 августа 2013 г. № 60 и от 30 августа 2013 г. № 62:
Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и предоставление которой ограничено, не отнесенной к государственным секретам.
Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации.
Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и предоставление которой ограничено, не отнесенной к государственным секретам.
Положение о порядке проведения государственной экспертизы средств технической и криптографической защиты информации.
Вторая дата: 1 января 2014 года вступает в действие технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность», утвержденный постановлением Совета Министров Республики Беларусь от 15 мая 2013 г. № 375. Регламент устанавливает обязательные требования информационной безопасности и процедуры подтверждения их соответствия для средств защиты информации.
Согласно регламенту, устанавливается две формы подтверждения соответствия: в форме сертификации и декларирования соответствия.
При этом подтверждению соответствия требованиям информационной безопасности путем сертификации подлежат средства защиты информации, которые будут использоваться для:
технической защиты государственных секретов;
создания систем защиты информации информационных систем, предназначенных для обработки информации, распространение и предоставление которой ограничено;
создания систем безопасности критически важных объектов информатизации;
обеспечения целостности и подлинности электронных документов в государственных информационных системах.
Технологии защиты информации и информационной безопасности идут следом за информационными технологиями. Все чаще мы должны обеспечить защищенность продуктов и систем зарубежного производства, о которых нам известны только их потребительские характеристики.
2. Уровни защиты информации
Различают 4 уровня защиты информации:
· предотвращение -- доступ к информации и технологии только для персонала, который имеет допуск от собственника информации;
· обнаружение -- обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены;
· ограничение -- уменьшается размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;
· восстановление -- обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.
Вчера контроль защиты информации был заботой технических администраторов. Сегодня контроль информации стал обязанностью каждого пользователя. Это требует от пользователя новых знаний и навыков. Так, например, хороший контроль над информацией требует понимания возможностей совершения компьютерных преступлений и злоупотреблений, чтобы можно было в дальнейшем предпринять контрмеры против них.
Когда компьютеры впервые появились, они были доступны только небольшому числу людей, которые умели их использовать. Обычно они помещались в специальных помещениях, удаленных территориально от помещений, где работали служащие. Сегодня все изменилось. Компьютерные терминалы и настольные компьютеры используются везде. Благодаря современным программам компьютерное оборудование стало дружественным к пользователю, поэтому много людей могут быстро и легко научиться тому, как его использовать. Этот процесс привел к тому, что произошла "демократизация преступления". Чем больше людей получало доступ к информационной технологии и компьютерному оборудованию, тем больше возникало возможностей для совершения компьютерных преступлений.
Люди совершают компьютерные преступления по разным причинам: из-за лично или финансовой выгоды, развлечений, мести, случайности, вандализма.
Но значительно больший ущерб (около 60% всех потерь) наносят не умышленные преступления, а ошибки людей. Предотвращение компьютерных потерь, как умышленных преступлений, так и из-за неумышленных ошибок требует знаний в области безопасности.
3. Признаки компьютерных преступлений и меры защиты от них
Для уменьшения ущерба от компьютерного преступления очень важно своевременно его обнаружить. Для того, чтобы обнаружить компьютерное преступление или уязвимые места в системе информационной безопасности следует обращать внимание на:
· несанкционированные попытки доступа к файлам данных;
· кражи частей компьютером;
· кражи программ;
· физическое разрушение оборудование;
· уничтожение данных или программ.
В то время как признаки могут помочь выявить преступление или злоупотребление, меры защиты могут помочь предотвратить его.
Меры защиты - это меры, вводимые для обеспечения безопасности информации; административные руководящие документы (приказы, положения, инструкции), аппаратные устройства или дополнительные программы, основной целью которых является предотвращение преступления и злоупотреблений, не позволяющее им произойти. Меры
защиты могут также выполнять функцию ограничения, уменьшая размер ущерба от преступления.
Некоторые технологии по защите информации могут быть встроены в сам компьютер, другие могут быть встроены в программы, некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах.
Принятие решения о выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности. Под критическими данными понимаются данные, которые требуют защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение или разрушение данных.
4. Технологии компьютерных преступлений и злоупотреблений
Чтобы предупреждать и своевременно раскрывать компьютерные преступления, необходимо представлять способы и средства их совершения. Анализ зарубежных и отечественных отчетов о выявленных компьютерных преступлениях позволяет описать технологии их совершения. Лишь немногие включают разрушение компьютеров данных. Только в 3% мошенничеств и 8% злоупотреблений происходило специальное разрушение оборудования, уничтожение программ или данных. В большей части случаев мошенничеств и злоупотреблений использовалась информация -- ею манипулировали, ее создавали, ее использовали.
Освоение технологии, использовавшиеся при совершении компьютерных преступлений:
Мошенничества
1. Ввод неавторизованной информации (Авторизация - предоставление определенных полномочий лицу (группе лиц) на выполнение некоторых действий в системе обработки данных).
2. Манипуляция разрешенной для ввода информацией.
3. Манипуляции или неправильное использование файлов с информацией.
4. Создание неавторизованных файлов с информацией.
5. Обход внутренних мер защиты.
Злоупотребления
1. Кража компьютерного времени, программ, информации и оборудования.
2. Ввод неавторизованной информации.
3. Создание неавторизованных файлов с информацией.
4. Разработка компьютерных программ для неслужебного использования.
5. Манипулирование или неправильное использование возможностей по проведению работ на компьютерах.
5. Меры защиты информационной безопасности
С целью защиты информации каждый должен знать и осуществлять следующие меры:
1. Контроль доступа как к информации в компьютере, так и к прикладным программам. Надо иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям.
Необходимо требовать, чтобы пользователи выполняли процедуры входа в компьютер, и использовать это как средство для идентификации в начале работы. Чтобы эффективно контролировать компьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему.
2. Процедуры авторизации. Администратор должен разработать процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям, и предусмотреть соответствующие меры по внедрению тих процедур в организации.
3. Защита файлов. Разрабатываются процедуры по ограничению доступа к файлам с иными:
· используются внешние и внутренние метки файлов для указания типа информации, который они содержат, и требуемого уровня безопасности;
· ограничивается доступ в помещения, в которых хранятся файлы данных, такие, как архивы и библиотеки данных;
· используются организационные меры и программно-аппаратные средства для ограничения доступа к файлам только авторизованных пользователей;
4. Защита целостности информации. Вводимая информация должна быть авторизована, полна, точна и должна подвергаться проверкам на ошибки. Необходимо проверять точность информации с помощью процедур сравнения результатов обработки с предполагаемыми результатами обработки.
5. Защита системных программ. Если программное обеспечение используется совместно, необходимо защищать его от скрытой модификации. Меры защиты при разработке программ должны включать процедуры внесения изменений в программу, ее приемки и тестирования до ввода в эксплуатацию.
6. Становление мер защиты более адекватными с помощью привлечения организаций, занимающихся тестированием информационной безопасности. При разработке мер защиты в прикладных программах необходимо консультироваться с ними при определении необходимости тестов и проверок при обработка критических данных.
7. Рассмотрение вопроса о коммуникационной безопасности. Данные, передаваемые по незащищенным линиям, могут быть перехвачены.
Список использованных источников:
1. [Электронный ресурс]: http://mvd.gov.by/ru/main.aspx?guid=14961;
2. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013.
3. Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий − ИНТУИТ.ру, 2008;
4. Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий − ИНТУИТ.ру, 2009;
5. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010.