Что понимается под компьютерной безопасностью

Обновлено: 03.07.2024

Ц ифровой мир, окружающий человека последние десятилетия, во многом облегчает ему жизнь, способствует развитию экономики, помогает решать множество бытовых и профессиональных задач. Но вместе с тем увеличению уровня удобств сопутствует и возрастание количества угроз, направленных на личные интересы и права гражданина, на нормальное функционирование бизнеса. Соблюдение даже простых требований информационной безопасности способно защитить средства на картах и персональные данные физического лица. Компаниям, особенно работающим на конкурентных рынках, необходимо относиться к вопросам компьютерной безопасности более ответственно.

Необходимость защиты информации

Эксперты, разрабатывающие для компаний концепции компьютерной безопасности, начинают работу с подготовки модели угроз. Этот документ помогает определить архитектуру информационных систем и необходимые организационные и технические средства защиты.

На уровне государства модель системных угроз формулируется в Доктрине информационной безопасности, и борьба с ними происходит в основном в правовом поле, путем принятия законов и установления стандартов и методик, определяющих основы информационной безопасности. Для компании же основные угрозы будут зависеть от того, на каких рынках она работает и какие категории информации обрабатывает.

Среди тех угроз, которые чаще всего оказываются в моделях, можно назвать следующие:

  • внешние. Это либо конкуренты, желающие получить сведения о бизнес-процессах или клиентских базах, либо хакеры, преследующие собственные цели;
  • внутренние, инсайдерские. Как считают эксперты, более 70 % утечек информации происходит в результате действий сотрудников компании, обычных пользователей. Такие действия могут быть преднамеренными или случайными.

Основным принципом выстраивания системы защиты будет то, что абсолютной безопасности информации быть не может. Всегда необходимо соизмерять способы и средства защиты и их стоимость с действительной ценой информации.

Бороться с внутренними угрозами проще, чем с внешними. Информирование сотрудников о базовых правилах работы с компьютером, установление режима коммерческой тайны, разграничение уровней допуска и информирование о случаях привлечения к ответственности за нарушение правил компьютерной безопасности способны снизить инсайдерские риски до минимума. Практически до нуля они уменьшаются в случае установки на рабочих компьютерах современной DLP-системы, но не все компании, работающие в секторе малого и среднего бизнеса, могут себе это позволить.

Чаще всего IT-специалисты ограничиваются несколькими типичными решениями:

  • установка на компьютеры паролей;
  • установка защиты от компьютерных вирусов;
  • запрет на инсталляцию любого непротестированного или найденного в Интернете программного обеспечения;
  • ранжирование уровня доступа пользователей определенным информационным массивам, хранящимся на компьютере.

Этого не всегда бывает достаточно. Если информация имеет ценность для третьих лиц, для ее защиты нужно применять комплекс организационных и технических мер, а также, при выявлении правонарушений в сфере безопасности информации, обращаться к правовым средствам.

Все они должны быть направлены на обеспечение трех основных свойств безопасности информации:

  • конфиденциальности. Любые сведения, в отношении которых установлен режим секретности (персональные данные, банковская или коммерческая тайна), должны быть доступны только авторизированным пользователям;
  • целостности. Данные должны сохраняться на компьютерах и в информационных системах в первоначальном виде, не изменяться и не искажаться;
  • доступности. Пользователь персонального компьютера или информационного ресурса должен получить необходимые сведения в момент запроса, их недоступность по тем или иным причинам (взлом сайта или появление на компьютере программы-вымогателя) не должна мешать работе.

Правовые средства защиты

Государство устанавливает нормы, призванные обеспечить безопасность информации, находящейся на компьютерах и серверах компании. На долю организаций остается или соблюдение правил и стандартов в случаях, предусмотренных законом, или обращение к государственным органам за привлечением к ответственности лиц, совершивших компьютерные преступления.

Стандарты и правила обеспечения информационной безопасности устанавливаются относительно определенных информационных объектов. Так, для защиты персональных данных или объектов критической информационной инфраструктуры приказами ФСТЭК РФ установлены программные средства, использование которых необходимо для защиты от утечек или перехвата управления.

В случае совершения инсайдером или третьим лицом компьютерного преступления гражданин или организация могут обратиться к правоохранительным органам с заявлением о возбуждении уголовного дела по статьям Уголовного кодекса о преступлениях в сфере компьютерной безопасности. Это:

  • неправомерный доступ к компьютерной информации (ст. 272 УК РФ). Любая попытка воспользоваться конфиденциальной информацией, находящейся на компьютере, если она была зафиксирована, будет преследоваться по закону;
  • разработка и распространение вредоносных программ (ст. 273 УК РФ). Под действие этой нормы попадают все авторы вирусов, червей, троянов, логических бомб;
  • нарушение правил эксплуатации компьютеров и информационных систем (ст. 274 УК). Ответственность возникнет, если информация была скопирована, модифицирована или уничтожена, и это принесло убытки ее владельцу.

Правовые механизмы защиты начинают действовать только тогда, когда есть желание привлечь инсайдера к ответственности, не боясь того, что пострадают деловая репутация и стабильная работа компании.

Роль административных мер

В любой организации существуют правила и регламенты, разрабатываемые в целях структурирования работы компании. Создание такого свода правил для работы за компьютером способно устранить многие риски или не допустить их возникновения. В ряде случаев разработка внутренних политик станет обязательной.

Например, оператору персональных данных, исходя из норм закона о персональных данных и постановлений правительства, нужно будет подготовить:

  1. Политику обработки персональных данных.
  2. Перечень лиц, имеющих допуск к информации.
  3. Стандартное согласие на обработку.
  4. Но помимо обязательного свода правил, многие компании разрабатывают:
  5. Политику информационной безопасности и правила работы за компьютером.
  6. Принципы работы в Интернете.
  7. Принципы работы с материальными носителями.
  8. Стандарты отнесения информации к тому или иному классу безопасности.

Со всеми документами сотрудники знакомятся под роспись, только это позволит впоследствии привлечь их к ответственности за нарушение правил компьютерной безопасности.

Дополнительно нормы о соблюдении регламентов и сохранении коммерческой тайны включаются в трудовые контракты с сотрудниками и договоры с поставщиками и подрядчиками. Часто наиболее критичные утечки информации происходят в момент ее передачи организации, оказывающей услуги, или в системы облачного хранения.

Технические средства

При работе на компьютере обычный пользователь сталкивается с единственным техническим средством защиты информации, а именно с антивирусной защитой. IT-подразделения корпорации имеют дело с существенно большим набором технических средств, призванных обеспечить защиту информации. Это:

  • средства криптографической защиты, используемые для шифрования данных на компьютере и исходящего трафика;
  • программы, позволяющие конвертировать конфиденциальные данные в графическую или звуковую форму; ; , гарантирующие перехват любых попыток передать конфиденциальную информацию по электронной почте, с использованием мессенджеров или социальных сетей, распечатать документ, сделать скрин с экрана компьютера или скопировать данные на съемный носитель;
  • межсетевые экраны.

Дополнительно решается задача использования аппаратных средств. Производится установка такой архитектуры информационной системы, которая минимизирует риски утечки информации в процессе ее передачи, установка двухфакторной системы защиты компьютера паролями. Второй пароль ставится на уровне BIOS. Но пароли не всегда решают задачу. Некоторые производители зарубежных системных плат устанавливают функцию введения единого пароля для входа в систему. Обязательным действием станет резервное копирование данных, которые могут быть утрачены в случае технического сбоя, ошибки пользователя или хакерской атаки.

Вся совокупность средств защиты информации призвана обеспечить компьютерную безопасность на высоком уровне, даже без необходимости тратить на решение этой задачи существенные ресурсы.


В данной статье понятие «информационная безопасность» рассматривается в следующих значениях:

  1. состояние (качество) определенного объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.) [1] ;
  2. деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации») [2] .

Содержание

Сущность понятия «информационная безопасность»

Содержание понятия

В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

Информационная безопасность государства [3] — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере.

В современном социуме информационная сфера имеет две составляющие [4] : информационно-техническую (искуственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

Стандартизированные определения

Безопасность информации (данных) [1] — состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.

Информационная безопасность [2] — защита конфиденциальности, целостности и доступности информации.
Примечания.

  1. Конфиденциальность: обеспечение доступа к информации только авторизованным пользователям.
  2. Целостность: обеспечение достоверности и полноты информации и методов ее обработки.
  3. Доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность (англ. information security ) [5] — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

Безопасность информации (данных) (англ. information (data) security ) [6] — состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность.
Примечание. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.

Безопасность информации (при применении информационных технологий) (англ. IT security ) [6] — состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы [6] — состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов.

Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

    (англ.confidentiality ) [6] — состояние информации , при котором доступ к ней осуществляют только субъекты, имеющие на него право; (англ.integrity ) [7] — избежание несанкционированной модификации информации; (англ.availability ) [8] — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

  • неотказуемость или апеллируемость (англ.non-repudiation ) [8] — невозможность отказа от авторства;
  • подотчётность (англ.accountability ) [9] — обеспечение идентификации субъекта доступа и регистрации его действий; (англ.reliability ) [5] — свойство соответствия предусмотренному поведению или результату; или подлинность (англ.authenticity ) [5] — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Рекомендации по использованию терминов

В Государственном стандарте РФ [10] приводится следующая рекомендация использования терминов «безопасность» и «безопасный»:

Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например:
— «защитный шлем» вместо «безопасный шлем»;
— «нескользкое покрытие для пола» вместо «безопасное покрытие».

Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо агрумента «исходя из требований информационной безопасности».

Объем (реализация) понятия «информационная безопасность»

Системный подход [11] к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

  1. Законодательная, нормативно-правовая и научная база.
  2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
  3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).
  4. Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо [2] :

  • выявить требования защиты информации, специфические для данного объекта защиты;
  • учесть требования национального и международного Законодательства;
  • использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
  • определить подразделения, ответственные за реализацию и поддержку СОИБ;
  • распределить между подразделениями области ответственности в осуществлении требований СОИБ;
  • на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
  • реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
  • реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
  • используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся [12]

  • Акты федерального законодательства:
    • Международные договоры РФ;
    • Конституция РФ;
    • Законы федерального уровня (включая федеральные конституционные законы, кодексы);
    • Указы Президента РФ;
    • Постановления правительства РФ;
    • Нормативные правовые акты федеральных министерств и ведомств;
    • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т.д.

    Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

    К нормативно-методическим документам можно отнести

    • Методические документы государственных органов России:
      • Доктрина информационной безопасности РФ;
      • Руководящие документы Гостехкомиссии;
      • Руководящие документы ФСТЭК;
      • Приказы ФСБ;
        , из которых выделяют:
        • Международные стандарты;
        • Государственные (национальные) стандарты РФ;
        • Рекомендации по стандартизации;
        • Методические указания.

        Органы (подразделения), обеспечивающие информационную безопасность

        В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

        Государственные органы РФ, контролирующие деятельность в области защиты информации:

        Службы, организующие защиту информации на уровне предприятия

          ;
        • Служба безопасности персонала (Режимный отдел);
        • Отдел кадров; .

        Организационно-технические и режимные меры и методы

        Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

        Политика безопасности (информации в организации) (англ. Organizational security policy ) [1] - совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

        Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy ) [5] - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

        Для построения Политики информационной безопасности рекомендуется [11] отдельно рассматривать следующие направления защиты информационной системы:

        • Защита объектов информационной системы;
        • Защита процессов, процедур и программ обработки информации;
        • Защита каналов связи;
        • Подавление побочных электромагнитных излучений;
        • Управление системой защиты.

        При этом, по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

        1. Определение информационных и технических ресурсов, подлежащих защите;
        2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
        3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
        4. Определение требований к системе защиты;
        5. Осуществление выбора средств защиты информации и их характеристик;
        6. Внедрение и организация использования выбранных мер, способов и средств защиты;
        7. Осуществление контроля целостности и управление системой защиты.

        Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

        Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, ее стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться "Концепция ИБ", "Регламент управления ИБ", "Политика ИБ", "Технический стандарт ИБ" и т.п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях - для внешнего и внутренего использования. Согласно ГОСТ Р ИСО/МЭК 17799—2005 [2] , на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: "Концепция обеспечения ИБ", "Правила допустимого использования ресурсов информационной системы", "План обеспечения непрерывности бизнеса".

        К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, огранизацию информационных и бизнесс-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т.п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

        В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

        Программно-технические способы и средства обеспечения информационной безопасности

        В литературе [11] предлагается следующая классификация средств защиты информации.

        • Средства защиты от несанкционированного доступа (НСД):
            ; ; ; ; (так же называется Аудит).
          • Системы анализа и моделирования информационных потоков (CASE-системы).
          • Системы мониторинга сетей:
              (IDS/IPS).
            • Анализаторы протоколов.
            • Антивирусные средства.
            • Межсетевые экраны.
            • Криптографические средства:
                ; .
                .
              • Системы бесперебойного питания:
                  ;
                • Резервирование нагрузки; .
                • Системы аутентификации:
                    ; ; .
                  • Средства предотвращения взлома корпусов и краж оборудования.
                  • Средства контроля доступа в помещения.
                  • Инструментальные средства анализа систем защиты:
                      .

                    Исторические аспекты возникновения и развития информационной безопасности

                    Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путем воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума. Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов [4] :

                    Дополнительная информация

                    Примечания (источники)

                    Литература

                    См. также

                    Ссылки

                      Cnews. Европейский институт стандартов по электросвязи. Алексей Лукацкий.

                    Профильные периодические издания

                    • Безопасность информационных технологий (Выпускается МИФИ. Является рецензируемым научным журналом, включенным в список ВАК).
                    • Вопросы защиты информации.
                    • Проблемы информационной безопасности. Компьютерные системы (Является рецензируемым научным журналом, включенным в список ВАК). . . . . .

                    Wikimedia Foundation . 2010 .

                    Полезное

                    Смотреть что такое "Компьютерная безопасность" в других словарях:

                    Компьютерная преступность — (преступление с использованием компьютера) представляет собой любое незаконное, неэтичное или неразрешенное поведение, затрагивающее автоматизированную обработку данных или передачу данных. При этом, компьютерная информация является предметом или … Википедия

                    Информационная безопасность — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей … Википедия

                    Точками приложения процесса защиты информации кинформационной системе являются аппаратное обеспечение, программное обеспечение и обеспечение связи(коммуникации). Сами процедуры (механизмы) защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень.

                    В данной статье понятие «информационная безопасность» рассматривается в следующих значениях:

                    • состояние (качество) определенного объекта (в качестве объекта может выступать информация, данные , ресурсы автоматизированной системы , автоматизированная система информационная система предприятия, общества, государства и т.п.) ;
                    • деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин « защита информации ») .


                    Безопасность информации (данных) — состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.

                    Информационная безопасность — защита конфиденциальности, целостности и доступности информации.

                    • Конфиденциальность:обеспечение доступа к информации только авторизованным пользователям.
                    • Целостность:обеспечение достоверности и полноты информации и методов ее обработки.
                    • Доступность:обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

                    Информационная безопасность ( англ. in formation security) — все аспекты, связанные с определением,достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости ,подотчетности, аутентичности и достоверности информации или средств ее обработки.

                    Безопасность информации (данных) (англ. information (data) security) — состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность.
                    Безопасность информации (данных) определяется отсутствием недопустимого риска,связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы,используемые при применении информационной технологии.

                    Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищенности информационной технологии, обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

                    Безопасность автоматизированной информационной системы — состояние защищенности автоматизированной информационной системы, при котором обеспечиваются конфиденциальность,доступность, целостность, подотчетность и подлинность ее ресурсов.


                    • конфиденциальность ( англ. confidentiality) — состояние информации , при котором доступ к ней осуществляют только субъекты, имеющие на него право;
                    • целостность ( англ. integrity) — избежание несанкционированной модификации информации;
                    • доступность ( англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
                    • неотказуемость или апеллируемость ( англ. non-repudiation)— невозможность отказа от авторства;
                    • подотчётность ( англ. accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;
                    • достоверность ( англ. reliability) — свойство соответствия предусмотренному поведению или результату;
                    • аутентичность или подлинность ( англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

                    Рекомендации по использованию терминов

                    В Государственном стандарте РФ приводится следующая рекомендация использования терминов« безопасность » и «безопасный»:


                    Слова «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Не следует употреблять слова «безопасность» и «безопасный» в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации. Рекомендуется всюду,где возможно, эти слова заменять признаками предмета, например:
                    — «защитный шлем» вместо «безопасный шлем»;
                    — «не скользкое покрытие для пола» вместо «безопасное покрытие».

                    Для термина «информационная безопасность» следует придерживаться тех же рекомендаций. Желательно использовать более точные характеристики объектов, разделяемые как признаки понятия «информационная безопасность». Например, точнее будет использовать аргумент «для предотвращения угроз на доступность объекта» (или «для сохранения целостности данных») вместо аргумента «исходя из требований информационной безопасности».


                    Объем (реализация) понятия «информационная безопасность»

                    • Законодательная, нормативно-правовая и научная база.
                    • Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
                    • Организационно-технические и режимные меры и методы (Политика информационной безопасности).
                    • Программно-технические способы и средства обеспечения информационной безопасности.
                    1. выявить требования защиты информации, специфические для данного объекта защиты;
                    2. учесть требования национального и международного Законодательства;
                    3. использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
                    4. определить подразделения, ответственные за реализацию и поддержку СОИБ;
                    5. распределить между подразделениями области ответственности в осуществлении требований СОИБ;
                    6. на базе управления рисками информационной безопасности определить общие положения, технические иорганизационные требования, составляющие Политику информационной безопасности объекта защиты;
                    7. реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
                    8. реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
                    9. используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотри корректировку СОИБ и СМИБ.


                    Нормативные документы в области информационной безопасности

                    • Международные договоры РФ;
                    • Конституция РФ;
                    • Законы федерального уровня (включая федеральные конституционные законы, кодексы);
                    • Указы Президента РФ;
                    • Постановления правительства РФ;
                    • Нормативные правовые акты федеральных министерств и ведомств;
                    • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т.д.
                    • Доктрина информационной безопасности РФ;
                    • Руководящие документы Гостехкомиссии;
                    • Руководящие документы ФСТЭК;
                    • Приказы ФСБ;
                    • Международные стандарты;
                    • Государственные (национальные) стандарты РФ;
                    • Рекомендации по стандартизации;
                    • Методические указания.


                    Органы (подразделения), обеспечивающие информационную безопасность

                    В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

                    • Комитет Государственной думы по безопасности ;
                    • Совет безопасности России ;
                    • Федеральная служба по техническому и экспортному контролю (ФСТЭК);
                    • Федеральная служба безопасности Российской Федерации (ФСБ России);
                    • Министерство внутренних дел Российской Федерации (МВД России);
                    • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
                    • Служба экономической безопасности ;
                    • Служба безопасности персонала (Режимный отдел);
                    • Отдел кадров;
                    • Служба информационной безопасности .
                    • Защита объектов информационно й системы;
                    • Защита процессов, процедур и программ обработки информации ;
                    • Защита каналов связи;
                    • Подавление побочных электромагнитных излучений;
                    • Управление системой защиты.
                    1. Определение информационных и технических ресурсов, подлежащих защите;
                    2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
                    3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
                    4. Определение требований к системе защиты;
                    5. Осуществление выбора средств защиты информации и их характеристик;
                    6. Внедрение и организация использования выбранных мер, способов и средств защиты;
                    7. Осуществление контроля целостности и управление системой защиты.



                    Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

                    Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, ее стремление соответствовать государственным,международным требованиям и стандартам в этой области. Подобные документы могут называться "Концепция ИБ", "Регламент управления ИБ", "Политика ИБ", "Технический стандарт ИБ" и т.п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях - для внешнего и внутреннего использования. Согласно ГОСТ Р ИСО/МЭК17799—2005 , на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы:
                    • "Концепция обеспечения ИБ"
                    • "Правила допустимого использования ресурсов информационной системы"
                    • "План обеспечения непрерывности бизнеса"

                    К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности .Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты,Контентная фильтрация и т.п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

                    В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

                    Компьютерный вирус – специальная программа , составленная кем-то со злым умыслом или для демонстрации честолюбивых, в плохом смысле, интересов, способная к воспроизводству своего кода и к переходу от программы к программе (инфицирование).

                    Вирус подобен инфекции, проникающей в кровяные тельца и путешествующие по всему организму человека. Перехватывая управление (прерывания) вирус подключается к работающей программе или к другим программам и затем дает команду компьютеру для записи зараженной версии программы, а затем возвращает управление программе, как ни в чем не бывало. Затем или сразу этот вирус может заработать (перехватив управление от программы).

                    Отметим, что современные вирусы используют часто эффективные алгоритмы перебора вариантов ключей. Например, вирус Морриса эвристически перебирает варианты назначения паролей. Так как запас слов для компьютерного общения не так велик (около нескольких десятков тысяч слов), то возможны атаки " по словарю" – перебором вариантов "словаря вируса".

                    По мере появления новых компьютерных вирусов, разработчики антивирусных программ пишут вакцину против нее – так называемую антивирусную программу, которая, анализируя файлы, может распознать в них скрытый код вируса и далее, либо удалить этот код (вылечить), либо удалить зараженный файл .

                    Базы антивирусных программ обновляются часто.

                    Программы компании "ДиалогНаука" – DrWeb, Adinf, ADinfCureModule (пакет DSAV ). DrWeb выполняет функции антивирусного сканера. ADinf работает в качестве ревизора дисков, отслеживающего изменения размера, времени модификации программ и офисных документов, а также связанных с ними контрольных сумм. AdinfCureModule способна "лечить" файлы, зараженные еще не известными вирусами, используя общие сведения об устройстве вирусов, а также информацию о внешнем виде файлов до инфицирования. Программный пакет AntiViralToolkitPro ( AVP , лаборатория Евгения Касперского) способен проверять архивные файлы многих форматов, сканировать письма электронной почты систем Microsoft Mail, Exchange и Internet Mail . При этом проверяются и файлы, вложенные внутрь писем.

                    Попытка хакеров – создателей вирусов, как правило, молодых людей, реализовать себя в написании вируса, связана с желанием "прогреметь славой Герострата".

                    Хакер – обычно программист высокой квалификации (видимо, лишь в смысле оперирования с архитектурой, системой команд и прерываний, а не в смысле решения важных научно-практических задач).

                    Следует, справедливости ради, отметить, что хакерство стимулировалось самим обществом, возможно, его излишней коммерциализацией.

                    В этой связи интересен своеобразный этический кодекс хакера, изложенный Стивеном Леви в книге "Хакеры", в частности, включающие следующие нормы (которые уже – не движущая сила хакеров):

                    • информация принадлежит всем и главная задача создавать и распространять знания, а не держать их в секрете;
                    • программный код – общее достояние и программы не должны защищаться авторским правом или снабжаться защитой от копирования;
                    • программирование – искусство, совершенная программа должна занимать несколько строк и уметь манипулировать другими программами, как и файлами.

                    Хакеры бывают различного типа; основные их группы условно можно определить так:

                    • взломщики программного обеспечения – наиболее многочисленная группа хакеров;
                    • взломщики карточек – малочисленная группа взломщиков банковских смарт-карт, телефонных карточек и др.;
                    • взломщики сетей – незаконные пользователи различных коммерческих и иных информационных компьютерных сетей.

                    Особенно опасны вирусы в компьютерных сетях, так как они могут парализовать работу всей сети.

                    Они могут проникать в сеть :

                    • с внешних носителей информации (из копируемых файлов, с блуждающих дискет);
                    • через электронную почту (из присоединенных к письму файлов);
                    • через Интернет (из загружаемых программных файлов).

                    Существуют различные методы и пакеты программ для борьбы с сетевыми вирусами.

                    При выборе антивирусных средств, необходимо придерживаться следующих простых принципов:

                    • если используются в системе различные платформы, операционные среды, то антивирусный пакет должен поддерживать все эти платформы;
                    • антивирусный пакет должен быть простым и понятным, дружественным в использовании;
                    • антивирусный пакет должен обнаруживать и новые неизвестные вирусы и иметь пополняемую и обновляемую регулярно базу данных о вирусах;
                    • антивирусный пакет должен быть лицензионным, регулярно обновляемым, а сам поставщик должен иметь свой антивирусный центр, сервер, откуда можно получить необходимую срочную помощь, информацию.

                    Исследования свидетельствуют, что если половина компьютеров в мире будет иметь постоянную, эффективную антивирусную защиту, то компьютерные вирусы лишатся возможности размножаться.

                    Принципы работы современных антивирусных программ (пакетов):

                    • регулярное сканирование ОЗУ и дисков по расписанию;
                    • сканирование ОЗУ, а также записываемых и читаемых файлов в реальном режиме времени с помощью резидентного модуля;
                    • выборочное сканирование файлов с измененными или подозрительными атрибутами – размером, датой модификации, контрольной суммой и т.д.;
                    • сканирование архивных файлов;
                    • эвристическое распознавание поведения, характерного для компьютерных вирусов;
                    • автоматическое обновление баз данных по вирусам;
                    • удаленная установка, настройка и администрирование антивирусных программ (системным администратором);
                    • удаленное обновление антивирусного пакета и баз данных с информацией о вирусах;
                    • принудительная проверка подключенных к корпоративной сети компьютеров, инициируемая системным администратором;
                    • обнаружение и оповещение системного администратора о событиях, связанных с вирусными атаками;
                    • ведение протоколов, содержащих подробную информацию (место, источник, время, способ и др.) о всех событиях, касающихся антивирусной защиты и фильтрация трафика сети (Интернет) с целью обнаружения вирусов;
                    • выявление потенциально опасных макросов, апплетов и модулей.

                    Оценка безопасности компьютерных систем базируется на различных группах защиты систем:

                    • класс систем минимальной защищенности (класс D);
                    • класс систем с защитой по усмотрению пользователя (класс C);
                    • класс систем с обязательной защитой (класс B);
                    • класс систем с гарантированной защитой (класс A) .

                    Эти группы имеют и подклассы, которые мы не рассматриваем, так как они представляют интерес, в основном, для специалистов.

                    В юриспруденции появилось понятие "информационное преступление", под которым, как правило, понимается общественно опасное деяние, запрещенное уголовным законом под угрозой наказания, совершенное в области информационных правоотношений, а именно, связанное с посягательством на информацию и информационные ресурсы и системы, распространение вредоносных информационных ресурсов, с созданием помех для доступа к открытым информационным ресурсам.

                    Преступления, предметом которого является информация (например, ст. 137, 147, 183, 195, 275, 276, 284 УК), рассматриваются вне зависимости от носителя информации – личная переписка, официальный документ, фотография, видеокассета и т.п.

                    Государственная тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

                    Конфиденциальная информация – это сведения, имеющие различное содержание, которые защищаются нормами УК РФ, например, неприкосновенности частной жизни, разглашение сущности объектов авторского права или изобретения, банковской, профессиональной или служебной тайны, например, разглашение материалов судебного дела.

                    В каждой компании должен быть регламентирован полный цикл работы с конфиденциальными документами, например, в документе (для служебного пользования) "Положение о конфиденциальной информации". В ней, в частности, должны быть указаны правила пересылки-приема электронной почты в корпоративной сети, категоризации пользователей общекорпоративных ресурсов, копирования, резервирования, хранения информации и т.д.

                    Коммерческая информация – информация , которая возникает в результате правовых коммерческих взаимоотношений участников и которая может регулировать такие отношения. Эта важная составляющая информационных взаимоотношений, часто конкурентных.

                    Коммерческую ценность информация может иметь реальную или потенциальную.

                    Особый вид информационных преступлений – преступления, предметом которых является вредоносная информация – информация , которая может быть использована для создания оружия массового поражения, призывы к насилию, массовым беспорядкам, захвату власти, насильственному изменению конституционного строя, отказу от исполнения гражданских обязанностей, национальной или религиозной вражде, порнографического характера.

                    Существует вид информационных преступлений связанных с посягательствами на право каждого к доступу к открытой информации (не являющейся государственной тайной или конфиденциальной информацией).

                    • в законодательных и нормативных актах, устанавливающих правовой статус органов государственной власти и местного самоуправления, организаций, общественных объединений;
                    • о правах, свободах и обязанностях граждан, порядке их реализации;
                    • эколого-метеорологическая, демографическая, санитарно-эпидемиологическая обстановка, необходимая для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
                    • о деятельности органов государственной власти и местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов и факты нарушения ими законности, о состоянии экономики и потребностях населения;
                    • о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
                    • факты нарушения прав и свобод человека и гражданина и др.

                    Имеются две большие группы деяний, посягающих на общедоступную информацию:

                    • отказ или бездействие в предоставлении такой необходимой информации (ст. 287, 308 УК) или уклонение от ее предоставления (ст. 287 УК) или ее сокрытие (ст. 237 УК);
                    • предоставление информации ненадлежащего вида (ложной, искаженной, неполной) (например, ст. 182, 207, 237, 306, 307 УК).

                    Компьютерные преступления могут классифицироваться как информационные преступления, направленные на актуализируемый с помощью компьютерных и информационных систем информационный ресурс , т.е. несанкционированно копирующие, перехватывающие, искажающие, уничтожающие, деструктурирующие этот информационный ресурс .

                    К сожалению, в мире еще нет адекватной и релевантной системы против компьютерных преступлений. Их часто квалифицируют по совокупности, так как нет четкого "информатического", а тем более, правового определения информации.

                    Вопросы для самоконтроля

                    1. Что такое компьютерный вирус?
                    2. Каковы типы компьютерных вирусов?
                    3. Каковы типы хакеров?
                    4. Каковы классы безопасности компьютерных систем?
                    5. Что такое информационное преступление?
                    6. Что такое компьютерное преступление?
                    7. Каковы преступления по ограничению (запрету) доступа к информации?
                    8. Что такое государственная тайна и как она может быть защищена?
                    9. Что такое конфиденциальная информация и как она может быть защищена?
                    10. Что такое коммерческая информация и как она может быть защищена?
                    11. Что такое вредоносная информация?

                    Задачи и упражнения

                    DES

                    1. Сколько времени необходимо на расшифровку ключа алгоритма на компьютере быстродействием 1000 млрд. операций в сек., если один ключ расшифровывается за 10 операций?
                    2. Определите тип защиты (класс защищенности) компьютеров в компьютерном классе Вашего вуза.
                    3. Напишите эссе на тему "Троянский конь".

                    Читайте также: