• У дома
  •  > 
  • Приставки за браузър
  •  > 
  • 1 изброяват най-важните аспекти на информационната сигурност. Основни аспекти на информационната сигурност

1 изброяват най-важните аспекти на информационната сигурност. Основни аспекти на информационната сигурност

Компоненти на информационната сигурност

Най-общо информационната сигурност (ИС) може да се дефинира като „сигурността на информацията, ресурсите и поддържащата инфраструктура от случайни или умишлени въздействия от естествен или изкуствен характер, които могат да причинят неприемлива вреда на субектите на информационните отношения - производители, собственици и потребители. информация и поддържаща инфраструктура.“

Информационната сигурност не се ограничава само до защита от неоторизиран достъп до информация: това е фундаментално по-широко понятие, включващо защитата на информация, технологии и системи.

Изискванията за сигурност в различни аспекти на информационната дейност могат да се различават значително, но те винаги са насочени към постигане на следните три основни компонента на информационната сигурност:

  • интегритет. Това е на първо място уместността и последователността на информацията, нейната защита от унищожаване и неразрешени промени, а именно: данните и информацията, въз основа на които се вземат решения, трябва да бъдат надеждни, точни и защитени от възможни неволни и злонамерени изкривявания;
  • поверителност. Класифицираната информация трябва да бъде достъпна само за тези, за които е предназначена. Такава информация не може да бъде получена, прочетена, променена или предадена, освен ако няма подходящи права за достъп;
  • достъпност(готовност). Това е възможност да получите необходимата информационна услуга в разумен срок, т.е. Данните, информацията и свързаните с тях услуги, автоматизираните услуги, инструментите за взаимодействие и комуникация трябва да са налични и готови за работа, когато са необходими.

Дейностите по информационна сигурност са насочени към предотвратяване, предотвратяване или неутрализиране на следните действия:

  • неоторизиран достъп до информационни ресурси (NSD, Unauthorized Access - UAA);
  • изкривяване, частична или пълна загуба на поверителна информация;
  • целенасочени действия (атаки) за разрушаване целостта на софтуерни системи, системи от данни и информационни структури;
  • повреди и неизправности на софтуер, хардуер и телекомуникации.

По този начин методологически правилният подход към проблемите на информационната сигурност започва с идентифициране на субектите на информационните отношения и интересите на тези субекти, свързани с използването на информационни технологии и системи (ИТ/ИС).

Оценката на реалната ситуация в повечето случаи се свежда до отговор на ключовите въпроси, които формират системната основа за осигуряване на информационната сигурност, и по-специално дали е необходимо да се защитава, от кого и какво трябва да се защитава, какво и как трябва да се защитава, какви мерки ще осигурят ефективността на защитата, както и за оценка на прогнозните разходи за разработване, внедряване, експлоатация, поддръжка и модернизация на системите за сигурност.

Първите три въпроса са пряко свързани с проблема за оценка на реалните заплахи (фиг. 7.1) 16]. Отговорите на тези въпроси са двусмислени - много зависи от структурата, сферата на дейност и целите на компанията. При интегрирането на индивидуални и корпоративни информационни системи и ресурси в единна информационна инфраструктура, определящ фактор е осигуряването на подходящо ниво на информационна сигурност за всеки субект, решил да влезе в единната инфраструктура.

Ориз. 7.1.

В единно информационно пространство трябва да се създаде държавна структура или търговско дружество механизми и инструмент за удостоверяване за удостоверяване на потребител, съобщение и съдържание. Следователно трябва да се създаде система за информационна сигурност, която да включва необходимия набор от мерки и технически решения за защита на:

  • от дисфункция информационно пространство чрез елиминиране на въздействието върху информационните канали и ресурси;
  • неоторизиран достъп към информация чрез откриване и елиминиране на опити за използване на ресурсите на информационното пространство, водещи до нарушаване на неговата цялост;
  • разрушаване на вградени защитни средства с възможност за идентифициране на неразрешени действия на потребители и обслужващ персонал;
  • внедряване на софтуер " вируси " и "отметки" „в софтуерните продукти и хардуера.

Особено внимание заслужават задачите за осигуряване на сигурността на системите, които се разработват и модифицират в интегрирана информационна среда, тъй като в процеса на модифициране на CIS, възникването на извънредни ситуации на несигурност на системата (така наречените „дупки в системата“) е неизбежно.

Наред с анализа на съществуващите във фирмата специфични средства за защита, разработката политики за информационна сигурност, включително набор от организационни и административни мерки и документи, както и методически и технически решения, които са в основата на създаването на инфраструктура за информационна сигурност (фиг. 7.2).

Ориз. 7.2.

Следващата стъпка в разработването на цялостна система за информационна сигурност е придобиването, инсталирането и конфигурирането на инструменти и механизми за информационна сигурност. Такива инструменти включват системи за защита на информацията от неоторизиран достъп, системи за криптографска защита, защитни стени (защитни стени, защитни стени), инструменти за анализ на сигурността и др. За правилното и ефективно използване на инсталираните инструменти за сигурност е необходим квалифициран персонал.

С течение на времето съществуващите средства за защита остаряват, пускат се нови версии на системи за информационна сигурност, списъкът с открити уязвимости и атаки непрекъснато се разширява, технологията за обработка на информация, софтуерът и хардуерът, както и персоналът на компанията се променят. Поради това е необходимо редовно да се преглеждат разработените организационни и административни документи, да се извършва проучване на информационната система или нейните подсистеми, да се обучава персонал и да се актуализират мерките за сигурност.

Всяко предприятие, което получава ресурси, включително информация, ги обработва, за да продаде в крайна сметка собствения си търговски продукт на пазара. В същото време той генерира специфична вътрешна среда, която се формира от усилията на персонала на всички структурни подразделения, както и технически средства и технологични процеси, икономически и социални отношения както в предприятието, така и във взаимодействие с външната среда.

Корпоративната информация отразява финансовото и икономическото състояние на предприятието и резултатите от неговата дейност. Примери за такава информация са регистрационни и нормативни документи, дългосрочни и текущи планове, заповеди, инструкции, отчети, производствени данни, данни за потока на финанси и други ресурси, информация за обучение на персонала и области на приложение на продуктите, включително методи и канали за продажба, техники за продажба, поръчки, логистика, информация за доставчици и партньори.

Източници на корпоративна информация - дирекция и администрация на предприятието, планови и финансови отдели, счетоводство, ИТ отдели и компютърни центрове, отдели на главен инженер и главен механик, производствени отдели, правни, оперативни и ремонтни служби, логистика, покупки и продажби отдели и др.

Корпоративната среда включва правителствени, икономически, политически и социални участници, работещи извън предприятието. Информацията извън корпоративната среда често е непълна, противоречива, приблизителна, разнородна и не отразява адекватно състоянието на външната среда. Примери за външна информация, която надхвърля корпоративната среда, са състоянието на пазара (неговото дългосрочно и текущо състояние, тенденции в бизнес средата, колебания в търсенето и предлагането, нестабилност на ситуацията, променливост, противоречиви изисквания), промени в законодателство, потребителски очаквания, „интриги“ на конкурентите, последици от политически събития и др.

По-голямата част от тази информация е отворена, но в зависимост от характеристиките на вътрешните дейности и взаимодействието с външния свят, част от информацията може да бъде предназначена „за служебно ползване“, т.е. да бъде "строго поверително" или "секретно". Такава информация по правило е „затворена“ и изисква подходящи мерки за защита.

За да гарантирате сигурност при работа със защитена информация, трябва: първо, редя се политика за работа с поверителна и частна информация, разработване и прилагане на подходящи насоки и процедури и, второ, да осигури необходимите софтуерни и хардуерни ресурси.

Софтуерът и хардуерът за работа със защитена информация се вграждат в съответните модули на корпоративната информационна система (КИС) или се използват локално в системи, посочени в политиката за сигурност на информацията. Те включват устройства, които:

  • наблюдение на движението на поверителна информация през информационната система (Data-in-Shell);
  • управление на контрола на изтичането на данни чрез мрежов трафик чрез TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, патентовани протоколи чрез филтриране на съдържание на ниво:
  • – шлюз, през който преминава трафикът от вътрешната към външната мрежа (Data-in-Motion);
  • – сървър, който обработва определен тип трафик (Data-at-Rest);
  • – работна станция (Data-in-Use);
  • – вътрешни пощенски канали Microsoft Exchange, Lotus Notes и др.
  • – контрол на управлението на изтичане на защитена информация от работни станции, периферни и мобилни
  • – създаване на проактивна защита и персонални защитни стени;
  • – копиране в сянка на информационни обекти в единна база данни за филтриране на съдържание за всички канали по единни правила.

Правилното организиране на защитата на защитените данни и информация не е нито лесно, нито евтино. За да направите това, трябва да класифицирате данните, да извършите задълбочена инвентаризация на информационните ресурси, да изберете подходящо софтуерно и хардуерно решение, да разработите и внедрите набор от нормативни документи за осигуряване на вътрешна сигурност. Основна роля в тази нелека работа по минимизиране на рисковете от изтичане на данни играят компетентността и волята на висшия мениджмънт на предприятието, действащите политики и ефективен софтуер, както и режимът на търговска тайна при работа със защитена информация.

Бързо развиващите се компютърни информационни технологии правят значителни промени в живота ни. Информацията се е превърнала в стока, която може да се купува, продава и разменя. Освен това цената на информацията често е стотици пъти по-висока от цената на компютърната система, в която се съхранява.

Благосъстоянието, а понякога и животът на много хора в момента зависи от степента на сигурност на информационните технологии. Това е цената, която трябва да се плати за нарастващата сложност и широкото разпространение на системите за автоматизирана обработка на информация.

Под информационна сигурностсе отнася до сигурността на информационна система от случайна или умишлена намеса, причиняваща щети на собствениците или потребителите на информация.

На практика най-важни са три аспекта на информационната сигурност:

  • наличност(възможност за получаване на необходимата информационна услуга в разумен срок);
  • интегритет(уместност и последователност на информацията, нейната защита от унищожаване и неразрешени промени);
  • конфиденциалност(защита от неразрешено четене).

Нарушенията на достъпността, целостта и поверителността на информацията могат да бъдат причинени от различни опасни въздействия върху компютърните информационни системи.

Основни заплахи за информационната сигурност

Съвременната информационна система е сложна система, състояща се от голям брой компоненти с различна степен на автономност, които са свързани помежду си и обменят данни. Почти всеки компонент може да бъде изложен на външни влияния или да се повреди. Компонентите на една автоматизирана информационна система могат да бъдат разделени на следните групи:

  • хардуер- компютри и техните компоненти (процесори, монитори, терминали, периферни устройства - дискови устройства, принтери, контролери, кабели, комуникационни линии и др.);
  • софтуер- закупени програми, източник, обект, модули за зареждане; операционни системи и системни програми (компилатори, линкери и др.), помощни програми, диагностични програми и др.;
  • данни- съхранявани временно и постоянно, на магнитни носители, разпечатани, архиви, системни дневници и др.;
  • персонал- обслужващ персонал и потребители.

Опасните въздействия върху компютърна информационна система могат да бъдат разделени на случайни и умишлени. Анализът на опита в проектирането, производството и експлоатацията на информационни системи показва, че информацията е обект на различни произволни влияния на всички етапи от жизнения цикъл на системата. Причини случайни влиянияпо време на работа може да има:

  • извънредни ситуации поради природни бедствия и прекъсване на електрозахранването;
  • повреди и неизправности на оборудването;
  • софтуерни грешки;
  • грешки в работата на персонала;
  • смущения в комуникационните линии поради влияния на околната среда.

Преднамерени влияния- това са целенасочени действия на нарушителя. Нарушителят може да е служител, посетител, конкурент или наемник. Действията на нарушителя могат да се дължат на различни мотиви:

  • неудовлетвореност на служителя от кариерата му;
  • подкуп;
  • любопитство;
  • конкуренция;
  • желанието да се утвърди на всяка цена.

Можете да създадете хипотетичен модел на потенциален нарушител:

  • квалификация на нарушителя на ниво разработчик на тази система;
  • нарушителят може да бъде външен човек или легитимен потребител на системата;
  • нарушителят знае информация за принципите на работа на системата;
  • нарушителят избира най-слабото звено в защитата.

Най-често срещаният и разнообразен вид компютърни нарушения е неоторизиран достъп(NSD). NSD използва всяка грешка в системата за сигурност и е възможна поради нерационален избор на средства за сигурност, тяхната неправилна инсталация и конфигурация.

Нека класифицираме недискриминационни информационни канали, чрез които информацията може да бъде открадната, променена или унищожена:

  • Чрез човек:
    • кражба на носители за съхранение;
    • четене на информация от екрана или клавиатурата;
    • четене на информация от разпечатка.
  • Чрез програмата:
    • прихващане на пароли;
    • дешифриране на криптирана информация;
    • копиране на информация от носители за съхранение.
  • Чрез оборудване:
    • свързване на специално проектиран хардуер, който осигурява достъп до информация;
    • прихващане на странично електромагнитно излъчване от оборудване, комуникационни линии, електрозахранващи мрежи и др.

Особено внимание трябва да се обърне на заплахите, на които могат да бъдат изложени компютърните мрежи. Основната характеристика на всяка компютърна мрежа е, че нейните компоненти са разпределени в пространството. Комуникацията между мрежовите възли се осъществява физически с помощта на мрежови линии и програмно с помощта на механизъм за съобщения. В този случай управляващите съобщения и данните, изпратени между мрежовите възли, се предават под формата на пакети за обмен. Компютърните мрежи се характеризират с това, че т.нар дистанционни атаки. Нарушителят може да се намира на хиляди километри от атакувания обект и може да бъде атакуван не само конкретен компютър, но и информация, предавана по мрежови комуникационни канали.

Осигуряване на информационна сигурност

Формирането на режим на информационна сигурност е сложен проблем. Мерките за решаването му могат да бъдат разделени на пет нива:

  1. законодателни (закони, наредби, стандарти и др.);
  2. морално-етични (всички видове стандарти на поведение, неспазването на които води до упадък на престижа на конкретен човек или цяла организация);
  3. административни (общи действия, предприети от ръководството на организацията);
  4. физически (механични, електро- и електронно-механични препятствия по възможните пътища за влизане на потенциални нарушители);
  5. хардуер и софтуер (електронни устройства и специални програми за защита на информацията).

Единен набор от всички тези мерки, насочени към противодействие на заплахите за сигурността, за да се сведе до минимум възможността от повреда система за защита.

Надеждната защитна система трябва да отговаря на следните принципи:

  • Цената на защитното оборудване трябва да бъде по-малка от размера на възможните щети.
  • Всеки потребител трябва да има минималния набор от привилегии, необходими за работа.
  • Колкото по-ефективна е защитата, толкова по-лесно е за потребителя да работи с нея.
  • Възможност за изключване в случай на авария.
  • Специалистите, участващи в системата за защита, трябва напълно да разбират принципите на нейното функциониране и в случай на трудни ситуации да реагират адекватно на тях.
  • Цялата система за обработка на информация трябва да бъде защитена.
  • Разработчиците на системата за сигурност не трябва да са сред тези, които тази система ще контролира.
  • Системата за сигурност трябва да предоставя доказателства за правилната работа.
  • Лицата, участващи в осигуряването на информационната сигурност, трябва да носят лична отговорност.
  • Препоръчително е да разделите защитените обекти на групи, така че нарушаването на защитата в една от групите да не засегне сигурността на другите.
  • Една надеждна система за сигурност трябва да бъде напълно тествана и последователна.
  • Защитата става по-ефективна и гъвкава, ако позволява на администратора да променя нейните параметри.
  • Системите за сигурност трябва да бъдат проектирани с предположението, че потребителите ще направят сериозни грешки и като цяло ще имат най-лоши намерения.
  • Най-важните и критични решения трябва да се вземат от хората.
  • Наличието на механизми за сигурност трябва да бъде скрито, ако е възможно, от потребителите, чиято работа се наблюдава.

Хардуер и софтуер за информационна сигурност

Въпреки факта, че съвременните операционни системи за персонални компютри, като Windows 2000, Windows XP и Windows NT, имат свои собствени подсистеми за сигурност, уместността на създаването на допълнителни инструменти за сигурност остава. Факт е, че повечето системи не са в състояние да защитят данните, намиращи се извън тях, например по време на обмен на информация в мрежата.

Хардуерните и софтуерните инструменти за защита на информацията могат да бъдат разделени на пет групи:

  1. Системи за идентификация (разпознаване) и удостоверяване (автентификация).
  2. Системи за криптиране на дискови данни.
  3. Системи за криптиране на данни, предавани по мрежи.
  4. Електронни системи за удостоверяване на данни.
  5. Инструменти за управление на криптографски ключове.

1. Системи за идентификация и удостоверяване на потребителя

Те се използват за ограничаване на достъпа на случайни и незаконни потребители до ресурсите на компютърната система. Общият алгоритъм за работа на такива системи е да се получи идентификационна информация от потребителя, да се провери нейната автентичност и след това да се предостави (или да не се предостави) на този потребител възможността да работи със системата.

При изграждането на тези системи възниква проблемът с избора на информация, въз основа на която се извършват процедурите за идентификация и автентификация на потребителите. Могат да се разграничат следните видове:

  • секретна информация, с която потребителят разполага (парола, секретен ключ, личен идентификатор и др.); потребителят трябва да запомни тази информация или може да използва специални средства за съхранение за нея;
  • физиологични параметри на човек (пръстови отпечатъци, шарки на ириса и др.) или поведенчески характеристики (характеристики на работа на клавиатура и др.).

Разглеждат се системи, базирани на първия тип информация традиционен. Системите, които използват втория тип информация, се наричат биометричен. Трябва да се отбележи, че се забелязва тенденция за бързо развитие на системите за биометрична идентификация.

2. Системи за криптиране на дискови данни

За да направи информацията безполезна за противника, набор от методи за преобразуване на данни се нарича криптография[от гръцки криптос- скрит и графо- писане].

Системите за криптиране могат да извършват криптографски трансформации на данни на ниво файл или на ниво диск. Програмите от първия тип включват архиватори като ARJ и RAR, които позволяват използването на криптографски методи за защита на архивни файлове. Пример за втория тип система е програмата за криптиране Diskreet, част от популярния софтуерен пакет Norton Utilities, Best Crypt.

Друг класификационен признак на системите за криптиране на дискови данни е начинът, по който работят. Според метода на функциониране системите за криптиране на дискови данни се разделят на два класа:

  • "прозрачни" системи за криптиране;
  • системи, специално извикани да извършват криптиране.

В прозрачните системи за криптиране (криптиране в движение), криптографските трансформации се извършват в реално време, незабелязано от потребителя. Например, потребителят записва документ, подготвен в текстов редактор, на защитен диск и системата за сигурност го криптира по време на процеса на запис.

Второкласните системи обикновено са помощни програми, които трябва да бъдат специално извикани за извършване на криптиране. Те включват например архиватори с вградена защита с парола.

Повечето системи, които предлагат задаване на парола за документ, не криптират информацията, а само изискват парола при достъп до документа. Такива системи включват MS Office, 1C и много други.

3. Системи за криптиране на данни, предавани по мрежи

Има два основни метода за криптиране: криптиране на канала и криптиране на терминал (абонат).

Кога криптиране на каналаЦялата информация, предавана по комуникационния канал, включително служебната информация, е защитена. Този метод на криптиране има следното предимство - вграждането на процедури за криптиране в слоя за връзка с данни позволява използването на хардуер, което спомага за подобряване на производителността на системата. Този подход обаче има и значителни недостатъци:

  • криптирането на сервизни данни усложнява механизма за маршрутизиране на мрежови пакети и изисква декриптиране на данните в междинни комуникационни устройства (шлюзове, повторители и др.);
  • криптирането на служебна информация може да доведе до появата на статистически модели в криптираните данни, което се отразява на надеждността на защитата и налага ограничения върху използването на криптографски алгоритми.

Терминално (абонатно) криптираневи позволява да гарантирате поверителността на данните, предавани между двама абонати. В този случай само съдържанието на съобщенията е защитено, цялата информация за услугата остава отворена. Недостатъкът е възможността да се анализира информация за структурата на обмена на съобщения, като подателя и получателя, времето и условията за прехвърляне на данни и количеството прехвърлени данни.

4. Електронни системи за удостоверяване на данни

При обмен на данни по мрежи възниква проблемът с удостоверяването на автора на документа и самия документ, т.е. установяване на автентичността на автора и проверка за липса на промени в получения документ. За удостоверяване на данните се използва код за удостоверяване на съобщението (имитиращо вмъкване) или електронен подпис.

Имитовстакгенерирани от обикновените данни чрез специална трансформация на криптиране с помощта на таен ключ и предадени по комуникационния канал в края на криптираните данни. Вмъкването на имитация се проверява от получателя, който държи секретния ключ, чрез повтаряне на процедурата, извършена преди това от подателя върху получените публични данни.

Електронен цифров подписпредставлява сравнително малко количество допълнителна информация за удостоверяване, предавана заедно с подписания текст. Подателят генерира цифров подпис, като използва частния ключ на подателя. Получателят проверява подписа с помощта на публичния ключ на подателя.

Така за реализиране на имитации се използват принципите на симетрично криптиране, а за прилагане на електронен подпис се използва асиметрично криптиране. По-късно ще проучим по-подробно тези две системи за криптиране.

5. Инструменти за управление на криптографски ключове

Сигурността на всяка криптосистема се определя от използваните криптографски ключове. Ако управлението на ключовете е несигурно, нападателят може да получи ключова информация и да получи пълен достъп до цялата информация в системата или мрежата.

Разграничават се следните видове функции за управление на ключове: генериране, съхранение и разпространение на ключове.

Методи генериране на ключовеза симетричните и асиметричните криптосистеми са различни. За генериране на ключове за симетрични криптосистеми се използват хардуерни и софтуерни средства за генериране на произволни числа. Генерирането на ключове за асиметрични криптосистеми е по-сложно, тъй като ключовете трябва да имат определени математически свойства. Ще се спрем на този въпрос по-подробно, когато изучаваме симетрични и асиметрични криптосистеми.

функция съхранениевключва организиране на безопасно съхранение, записване и изтриване на ключова информация. За да се осигури сигурно съхранение на ключовете, те се криптират с други ключове. Този подход води до концепцията за ключова йерархия. Йерархията на ключовете обикновено включва главен ключ (т.е. главен ключ), ключ за криптиране на ключ и ключ за криптиране на данни. Трябва да се отбележи, че генерирането и съхранението на главния ключ е критичен проблем в криптографската сигурност.

Разпределение- най-критичният процес в управлението на ключове. Този процес трябва да гарантира поверителността на раздаваните ключове, както и да бъде бърз и точен. Ключовете се разпределят между мрежовите потребители по два начина:

  • използване на директен обмен на сесийни ключове;
  • използване на един или повече центрове за разпространение на ключове.

Списък с документи

  1. ЗА ДЪРЖАВНАТА ТАЙНА. Закон на Руската федерация от 21 юли 1993 г. № 5485-1 (изменен с Федералния закон от 6 октомври 1997 г. № 131-FZ).
  2. ЗА ИНФОРМАЦИЯТА, ИНФОРМАЦИЯТА И ЗАЩИТА НА ИНФОРМАЦИЯТА. Федерален закон на Руската федерация от 20 февруари 1995 г. № 24-FZ. Приет от Държавната дума на 25 януари 1995 г.
  3. ОТНОСНО ПРАВНАТА ЗАЩИТА НА ПРОГРАМИ ЗА ЕЛЕКТРОННИ ИЗЧИСЛИТЕЛНИ МАШИНИ И БАЗИ ДАННИ. Закон на Руската федерация от 23 февруари 1992 г. № 3524-1.
  4. ЗА ЕЛЕКТРОННИЯ ЦИФРОВ ПОДПИС. Федерален закон на Руската федерация от 10 януари 2002 г. № 1-FZ.
  5. ЗА АВТОРСКОТО ПРАВО И СРОДНИТЕ ПРАВА. Закон на Руската федерация от 9 юли 1993 г. № 5351-1.
  6. ЗА КОМУНИКАЦИОННИТЕ И ИНФОРМАЦИОННИ ОРГАНИ НА ФЕДЕРАЛНОТО ПРАВИТЕЛСТВО. Закон на Руската федерация (изменен с Указ на президента на Руската федерация от 24 декември 1993 г. № 2288; Федерален закон от 7 ноември 2000 г. № 135-FZ.
  7. Правила за акредитация на изпитвателни лаборатории и органи за сертифициране на оборудване за информационна сигурност съгласно изискванията за информационна сигурност / Държавна техническа комисия към президента на Руската федерация.
  8. Инструкции за процедурата за маркиране на сертификати за съответствие, техните копия и средства за сертифициране на информационната сигурност / Държавна техническа комисия към президента на Руската федерация.
  9. Правила за сертифициране на обекти за информатизация съгласно изискванията за информационна сигурност / Държавна техническа комисия към президента на Руската федерация.
  10. Наредби за сертифициране на средства за информационна сигурност в съответствие с изискванията за информационна сигурност: с допълнения в съответствие с Постановление на правителството на Руската федерация от 26 юни 1995 г. № 608 „За сертифициране на средства за информационна сигурност“ / Държавна техническа комисия към президента на руската федерация.
  11. Правила за държавно лицензиране на дейности в областта на информационната сигурност / Държавна техническа комисия към президента на Руската федерация.
  12. Автоматизирани системи. Защита срещу неоторизиран достъп до информация. Класификация на автоматизираните системи и изисквания за защита на информацията: Ръководен документ / Държавна техническа комисия към президента на Руската федерация.
  13. Концепцията за защита на компютърното оборудване и автоматизираните системи от неоторизиран достъп до информация: Ръководен документ / Държавна техническа комисия към президента на Руската федерация.
  14. Компютърни съоръжения. Защитни стени. Защита срещу неоторизиран достъп до информация. Индикатори за сигурност срещу неоторизиран достъп до информация: Ръководен документ / Държавна техническа комисия към президента на Руската федерация.
  15. Компютърни съоръжения. Защита срещу неоторизиран достъп до информация. Индикатори за сигурност срещу неоторизиран достъп до информация: Ръководен документ / Държавна техническа комисия към президента на Руската федерация.
  16. Защита на данни. Специални защитни знаци. Класификация и общи изисквания: Ръководен документ / Държавна техническа комисия към президента на Руската федерация.
  17. Защита срещу неоторизиран достъп до информация. Термини и определения: Ръководен документ / Държавна техническа комисия към президента на Руската федерация.

Корпоративната сигурност изобщо не е ново явление. Това, което съвсем наскоро започна да се нарича с този термин, съществува от началото на търговията. Всеки търговец се стремеше да защити професионалните си тайни от конкурентите, за да не загуби печалба.

Съвременните реалности на корпоративната сигурност на компанията

Всъщност съвременната корпоративна сигурност не се различава много от старата. Променят се само реалностите, в които бизнесмените трябва да извършват своя бизнес. Всяка компания иска да бъде надеждно защитена не само от външни заплахи, но и от вътрешни. Този проблем се решава от специалисти по корпоративна и информационна сигурност. Те са изправени пред задачата да изпълнят цял ​​набор от мерки, включващи почти всички области от живота на компанията:

  • защита на търговската тайна;
  • вътрешна работа със служителите;
  • вътрешно контраразузнаване;
  • официални разследвания;
  • икономическа безопасност;
  • техническа и физическа защита.

Ако има проблеми с поне една от тези точки, ще има проблеми. Неотдавна в Обединеното кралство избухна скандал - твърди дискове с данни на пациенти от клиниката, които трябваше да бъдат унищожени, внезапно се озоваха на търгове в eBay.

Болниците прехвърлиха изведените от употреба дискове на фирма възложител, която от своя страна използваше услугите на частно лице. Предприемчив англичанин, вместо съвестно да изпълнява задълженията си - да унищожава медиите, пусна за продажба дискове с данни.

В този случай две точки могат да се нарекат „слаби връзки“ - вътрешна работа със служители и техническа защита. Нека да разберем защо. Изтичането е причинено от прекалено дълга верига от посредници, в резултат на което клиентът дори не е бил наясно кой е пряко замесен в унищожаването на дискове и чиито действия трябва да бъдат наблюдавани. Освен това самият факт, че болниците прехвърлят дискове с незащитени лични данни на пациенти на трети лица, е технически пропуск на служителите.

Отговорният подход към гарантирането на сигурността на корпоративната информация би помогнал да се избегне тази ситуация. Нека да разберем какво трябва да се направи, за да получите наистина работеща система за информационна сигурност.

Как да разпознаем крадец във фирма с помощта на KIB SearchInform?

Три трудни стъпки

Преди да започнете изграждането на ефективна система за информационна сигурност, е необходимо внимателно да анализирате съществуващата в предприятието система за съхранение и обработка на данни. Има три основни стъпки, които трябва да се предприемат, за да направите това:

1. Идентифициране на критична информация.

2. Идентифициране на слабости в корпоративната сигурност.

3. Оценка на възможностите за защита на тази информация.

Всички тези действия могат да бъдат извършени или от вашите собствени служители, или можете да поръчате одит на информационната сигурност на компанията от специалисти. Предимствата на първия метод са по-ниската цена и, което е важно, липсата на достъп до корпоративни данни за трети страни. Ако обаче организацията няма добри специалисти по одит на сигурността на пълен работен ден, най-добре е да прибягвате до помощта на трети страни - резултатът ще бъде по-надежден. Това ще ви помогне да избегнете най-честите грешки в информационната сигурност.

„Най-честите грешки- това е подценяване и надценяване на заплахите за бизнес дейността, - смята Александър Доронин, експерт по икономическа сигурност и автор на Business Intelligence. „В първия случай има зейнали дупки в системата за сигурност на предприятието, което за организацията води до преки щети от изтичане на поверителна информация, корпоративни измами и директна кражба на всичко, което попадне под ръка.“

Когато надценява заплахите, системата за сигурност не само тежко натоварва бюджета на предприятието, но и неоправдано затруднява служителите на организацията да изпълняват възложените им задължения. Това застрашава загуба на възможни печалби и загуба на конкурентоспособност.“

Идентифициране на критична информация.На този етап се извършва идентифицирането на тези документи и данни, чиято сигурност е от голямо значение за компанията и чието изтичане причинява огромни загуби. Най-често такава информация включва информация, която представлява търговска тайна, но не само.

Например, след приемането на новата редакция на федералния закон „За личните данни“, цялата информация, събрана от организацията за нейните служители и клиенти, също се нуждае от защита. Миналогодишната поредица от изтичания от Мегафон, онлайн магазини и Руските железници, както и глобите, получени от извършителите на тези инциденти, са най-доброто доказателство за необходимостта от защита на такава информация.

Важно е да запомните: одиторите от трета страна не могат самостоятелно да съставят списък на всички документи, които трябва да бъдат защитени. Работата на одитора трябва да се извършва съвместно със служител на предприятието, който е добре запознат с особеностите на документооборота.

Идентифициране на слабости в корпоративната сигурност.Тази задача се изпълнява директно от специалистите, извършващи одита. Изборът на схема за проектиране на информационна сигурност зависи от резултатите от тази работа.

При идентифициране на пропуски в информацията и, като следствие, корпоративната сигурност, се оценяват не само технически средства. Много важен момент е наличието на диференциация на правата за достъп на служителите до тази или онази информация и споразумение за неразкриване на корпоративна информация. Също така е важно да се оцени лоялността на служителите към ръководството и взаимоотношенията в екипа - всичко това е отговорност на отдела по човешки ресурси.

Скорошен пример за ситуация, при която член на персонала се възползва от позицията си и открадна информация, беше кражбата от кенийското представителство на Google на информация за стартъпа Mocality (онлайн база данни за бизнес информация). Google беше принуден да поднесе официални извинения на жертвите, а ръководителят на представителството, по чиято вина стана инцидентът, беше отстранен от поста си.

Оценка на възможностите за информационна сигурност.Това е последният етап от одита, по време на който въз основа на анализа се съставя списък с конкретни мерки, които трябва да бъдат предприети за защита на корпоративните тайни на компанията. Препоръките могат да бъдат както технически, така и организационни.

Освен това на този етап се анализират финансовите възможности на компанията за защита на информацията, тъй като много инструменти за защита на информацията могат да се окажат твърде скъпи за предприятието. И някои от тези мерки просто не са практични за малкия бизнес. Специална необходимост възниква, ако организацията използва 50 или повече компютъра.

Инсталиране на DLP система винаги предшества технически одит. След поръчка клиентът се консултира от инженери на SearchInform, които оценяват ИТ инфраструктурата на компанията и определят какъв капацитет е необходим за инсталиране на програмата.

Двупосочна защита

Информационната сигурност е само един от многото начини (макар и най-важният) за осигуряване на корпоративна защита. Необходим е комплекс от мерки – технически и организационни.

Техническите решения за защита на корпоративните тайни включват инсталиране на DLP система (Data Leak Prevention). Този набор от софтуерни инструменти следи всички информационни потоци в организацията - от имейл до програми, които използват алгоритми за криптиране (например Skype) или HTTPS протокола. Всички сменяеми носители, корпоративни компютри и лаптопи също са под контрол.

Важна характеристика на DLP системите е тяхната автономност. Няма нужда една компания да поддържа цял отдел, посветен на информационната сигурност. Достатъчни са само няколко специалисти.

Последните изследвания на SearchInform, водещ играч на руския пазар за информационна сигурност, показаха, че DLP системите не са много популярни сега в Русия и страните от ОНД. Малко над половината от организациите (58%) планират скоро да инсталират комплексна защита. Останалите не смятат прилагането му за необходимо или смятат, че частичната защита е достатъчна. Информационната сигурност обаче ще бъде на оптимално ниво само когато се осигури цялостна защита.

DLP системата позволява не само да се осигури надеждна защита на тайните. Техните функции са много по-широки: с правилния подход можете да получите информация за настроението на служителите в екипа, да проследите движението на ключови документи, входящи и изходящи съобщения. В резултат на това използването на DLP системи също е ефективна помощ при такива важни дейности за корпоративна сигурност като вътрешно контраразузнаване или вътрешни разследвания.

Но само техническата сигурност на данните и проследяването на действията на служителите не са достатъчни. Организационните мерки, работата със служителите и разработването на вътрешна документация също са важни.

„Системата за корпоративна сигурност трябва да е цялостна, иначе ще бъде като виц: на входа охранител стриктно проверява пропуските на служителите на компанията, а на двадесет метра от входа има дупка, през която всеки може да влезе във фирмата. територия“, споделя той своя опит Александър Доронин.

Организационната работа включва информиране на персонала за наличието на системи за информационна сигурност в организацията, необходимостта от поддържане на търговска тайна и възможните последици от нейното разкриване, както за компанията, така и за самия служител. Създаването на положителна работна среда е друг ключов аспект на организационните мерки. Корпоративната сигурност е невъзможна, ако служителите се гледат с недоверие. Такава „студена война“ значително ще забави бизнес процесите. Затова си струва да припомним още веднъж важната роля на отдел „Човешки ресурси“.

Що се отнася до разработването на вътрешна документация, отговорностите на служителите трябва да бъдат ясно посочени, както и правата им за достъп до определени документи. Всеки отдел трябва да изпълнява задачите, които са му възложени – не повече, но и не по-малко.

Не трябва да забравяме и такива на пръв поглед основни неща като работата на службата за сигурност. Физическата защита на служителите на работното място също е важна част от корпоративната сигурност.

Само чрез постигането на такава двупосочна – техническа и организационна – защита, без преувеличаване или минимизиране на заплахата, можете да създадете надеждна корпоративна защита за компанията.

В проблема за информационната сигурност могат да се разграничат следните аспекти:

Целостта на информацията

Целостта на информацията– това е неговата физическа безопасност, защита от разрушаване и изкривяване, както и неговата актуалност и последователност.

Целостта на информацията се разделя на:

· статичен,

· динамичен.

Статична цялостинформацията предполага неизменност на информационните обекти от първоначалното им състояние, определено от автора или източника на информация.

Динамична цялостинформацията включва проблеми с правилното извършване на сложни действия с информационни потоци, например анализиране на потока от съобщения за идентифициране на неправилни, наблюдение на правилното предаване на съобщения, потвърждаване на отделни съобщения и т.н.

Целостта е най-важният аспект на информационната сигурност в случаите, когато информацията се използва за управление на различни процеси, например технически, социални и др.

По този начин грешка в контролната програма ще доведе до спиране на контролираната система, неправилното тълкуване на закона може да доведе до неговите нарушения, точно както неточен превод на инструкциите за употреба на лекарствен продукт може да причини вреда на здравето. Всички тези примери илюстрират нарушение на целостта на информацията, което може да доведе до катастрофални последици. Ето защо целостта на информацията се изтъква като един от основните компоненти на информационната сигурност.

Целостта е гаранция, че информацията вече съществува в оригиналния си вид, тоест не са направени неоторизирани промени по време на нейното съхранение или предаване.

Например, когато записваме информация за студенти на твърдия диск на компютъра, ние се надяваме, че тя ще се съхранява там за неопределено дълго време (докато не я изтрием сами) непроменена (т.е. спонтанно, без наше знание, имената на студентите в този списък не се променят) . Освен това разчитаме на постоянството на информацията, например, че в списъка на учениците няма да има едногодишно дете или че един и същ ученик няма да бъде в списъците на две групи едновременно.

Наличие на информация

Наличие на информацияе гаранция, че потребителят ще получи необходимата информация или информационна услуга в определен срок.

Ролята на достъпността на информацията е особено очевидна в различни видове системи за управление - производство, транспорт и др. По-малко драматични, но също много неприятни последици - както материални, така и морални - може да предизвика дългосрочната липса на информационни услуги, които се използват от голям брой хора, например продажба на железопътни и самолетни билети, банкови услуги, достъп до интернет информационна мрежа и др.

Факторът време при определяне на наличността на информация в някои случаи е много важен, тъй като някои видове информация и информационни услуги имат смисъл само през определен период от време. Например получаването на предварително резервиран самолетен билет след излитане губи всякакъв смисъл. По същия начин получаването на прогноза за времето за вчера няма никакъв смисъл, тъй като това събитие вече се е случило. В този контекст поговорката „Лъжицата е скъпа за вечерята“ е много подходяща.

Наличието на информация предполага, че субектът на информационните отношения (потребителят) има възможност да получи необходимата информационна услуга в рамките на приемливо време.

Например, когато създаваме информационна система с информация за студенти, очакваме, че с помощта на тази система по всяко време в рамките на няколко секунди ще можем да получим необходимата информация (списък на студенти от всяка група, пълна информация за конкретен ученик, окончателни данни, например средната възраст на учениците, броя на момчетата и момичетата и т.н.).

Трябва да се отбележи, че системите за електронна обработка на данни са създадени специално за предоставяне на определени информационни услуги. Ако предоставянето на такива услуги стане невъзможно, това нанася щети на всички субекти на информационните отношения. Следователно, без да се противопоставя достъпността на други аспекти, тя се откроява като най-важния елемент на информационната сигурност.

Почти всички организации имат поверителна информация. Това може да бъде производствена технология, софтуерен продукт, лични данни на служители и др. По отношение на компютърните системи, паролите за достъп до системата са задължителни поверителни данни.

Конфиденциалност на информацията– това е гаранция за достъпност на конкретна информация само до кръга от хора, за които е предназначена.

Конфиденциална информация– това е информация, до която ограничен кръг лица имат право на достъп.

Ако достъпът до поверителна информация е получен от лице, което няма такова право, тогава такъв достъп се нарича неразрешен и се счита за нарушение на защитата на поверителна информация. Обажда се лице, което получава или се опитва да получи неоторизиран достъп до поверителна информация натрапник.

Например, ако Саша изпрати на Маша писмо по имейл, тогава информацията в това писмо е поверителна, тъй като тайната на личната кореспонденция е защитена от закона. Ако братът на Machine, след като е хакнал паролата, е получил достъп до пощенската кутия на Machine и е прочел писмото, тогава е настъпил неоторизиран достъп до поверителна информация и братът на Machine е нападател.

Гарантирането на поверителността на информацията е най-развитата част от информационната сигурност.

Федералният закон „За информацията, информатизацията и защитата на информацията“ определя, че информационните ресурси, тоест отделни документи или масиви от документи, включително в информационни системи, които са обект на отношения между физически, юридически лица и държава, подлежат на задължителни отчитане и защита, както всяка материална собственост на собственика. В този случай собственикът има право самостоятелно, в рамките на своята компетентност, да установи режим за защита на информационните ресурси и достъпа до тях. Законът също така установява, че „поверителната информация е такава документирана информация, достъпът до която е ограничен в съответствие със законодателството на Руската федерация“. В същото време федералният закон може да съдържа пряка разпоредба, според която всяка информация се класифицира като поверителна информация или достъпът до нея е ограничен. Така федералният закон „За информацията, информатизацията и защитата на информацията“ директно класифицира личните данни (информация за гражданите) като поверителна информация. Законът на Руската федерация „За банките и банковата дейност“ ограничава достъпа до информация за транзакции и сметки на банкови клиенти и кореспонденти.

Прякото правило обаче не се прилага за цялата информация, представляваща поверителна информация. Понякога само характеристиките, на които трябва да отговаря тази информация, са определени от закона. Това се отнася по-специално за официални и търговски тайни, чиито характеристики се определят от Гражданския кодекс на Руската федерация и са както следва:

 подходяща информация, неизвестна на трети страни

 няма правно основание за свободен достъп до тази информация

 мерките за гарантиране на поверителността на информацията са взети от собственика на информацията.

Поверителната информация се разделя на:

· предмет,

· обслужване.

Информация за темата- това е информация за някаква област от реалния свят. което всъщност е това, от което нападателят се нуждае, например чертежи на подводница или информация за местоположението на Осама бин Ладен. Сервизна информация не е свързано с конкретна предметна област, а е свързано с работните параметри на конкретна система за обработка на данни. Сервизната информация включва предимно потребителски пароли за работа в системата. След като получи служебна информация (парола), атакуващият може да я използва, за да получи достъп до поверителна информация.

Нарушаването на всяка от трите категории води до нарушаване на информационната сигурност като цяло. Така, нарушение на достъпността води до отказ на достъп до информация, нарушение на целостта води до фалшифициране на информация и накрая, нарушаване на поверителността води до разкриване на информация.

Този аспект на информационната сигурност стана изключително актуален напоследък поради приемането на редица международни правни актове за защита на интелектуалната собственост. Този аспект се отнася главно до предотвратяването на незаконно използване на програми.

Така например, ако потребител инсталира нелицензирана система Windows на своя компютър, тогава има нарушение на информационната сигурност.

В допълнение, този аспект се отнася до използването на информация, получена от електронни източници. Този проблем стана все по-актуален поради развитието на Интернет. Възникна ситуация, при която интернет потребител счита цялата информация, публикувана там, за негова лична собственост и я използва без никакви ограничения, като често я представя за свой собствен интелектуален продукт.

Например, ученик „изтегля“ есе от интернет и го изпраща на учителя под своето фамилно име.

Законодателните актове и правоприлагащата практика, свързани с този проблем, са все още в начален стадий.

Трябва да се отбележи, че въпреки че във всички цивилизовани страни има закони за защита на сигурността на гражданите (включително информационната сигурност), в областта на компютърните технологии правоприлагащата практика все още не е достатъчно развита и законодателният процес не е в крак с развитието на технологиите, следователно процесът на осигуряване на информационна сигурност до голяма степен се основава на мерки за самозащита.

Следователно е необходимо да се разбере откъде могат да идват заплахите за информационната сигурност и какви могат да бъдат те, какви мерки могат да бъдат предприети за защита на информацията и да можете компетентно да прилагате тези мерки.

Информационна сигурност: понятие, цели, принципи.

Държавна политика за осигуряване на информационна сигурност.

Състоянието на информационната сигурност в Русия.

ИНФОРМАЦИОННА СИГУРНОСТ: ПОНЯТИЕ, ЦЕЛИ, ПРИНЦИПИ

През последните десетилетия светът преживява период на преход от индустриално към информационно общество. Настъпва фундаментална промяна в начина на производство, мирогледа на хората и междудържавните отношения. По своята значимост и въздействие върху обществото това е сравнимо с новата световна индустриална революция, която по нищо не отстъпва по значение на революциите от миналото. Всъщност става въпрос за внедряване и внедряване. Нивото на развитие на информационното пространство на обществото оказва решаващо влияние върху икономиката, политиката и много елементи на държавността.

Използването на възможностите, разкрити с развитието на нови информационни и телекомуникационни технологии, се разглежда от ръководството на развитите страни като основа на тяхното социално-икономическо, политическо и културно развитие, като средство за решаване на най-належащите вътрешни и външни проблеми. Богатството на страната и нейната сигурност днес се осигуряват не само от частната собственост, капитала и пазара, но и от връзката им с колосални ресурси от голямо разнообразие от знания и информационни технологии. Такава връзка формира информационно общество, чиито основни характеристики са:

Откритост на информацията и достъп до нея за всеки субект в

по всяко време и навсякъде;

  • наличието на технологични системи, които гарантират тази откритост;
  • наличието на национален интелектуален потенциал;
  • автоматизация, роботизация и технологизация на всякакви системи във всяка област на икономическата дейност;
  • връзка с глобалните информационни канали. Съвременната информационна революция се свързва с изобретяването на интелигентни технологии, базирани на гигантски скорости на обработка на информация. Той осигурява колосално увеличение на информацията, циркулираща в обществото, което прави възможно ефективното решаване на икономически, социални, културни, политически и други проблеми. Съвременните информационни технологии в едно ефективно отворено общество осигуряват достъп до почти всички материални и духовни блага, умножават интелектуалните ресурси, а оттам и всички други ресурси, насърчаващи развитието. Без информационните технологии е невъзможно да се осигури ефективен икономически растеж, да се подобри нивото на образование и квалификация на населението, да се създаде модерна кредитна и финансова система, да се установи рационално управление на социалните процеси и да се подобри стандартът на живот на гражданите. Информационното общество е средство за постигане на национално благополучие, разбирано като просперитет, комфорт, духовно и интелектуално богатство, свобода, справедливост и сигурност.

Разширяването на информационното пространство на икономическата дейност изисква гарантиране на сигурността на производителите, собствениците и потребителите на информация. Съвременната „зависимост“ на бизнеса от информационните технологии може да повлияе негативно на икономическата сигурност на предприятието, тъй като високата степен на централизация на корпоративната информация го прави особено уязвим и увеличава риска от изтичане на данни. Така един от компонентите на икономическата сигурност е информацията.

  • информация- информация за лица, предмети, факти, събития, явления и процеси, независимо от формата на тяхното представяне;
  • информатизация- организационен социално-икономически и научно-технически процес за създаване на оптимални условия за задоволяване на информационните нужди и реализиране на правата на гражданите, държавните органи, местните власти, организациите, обществените сдружения въз основа на формирането и използването на информационни ресурси;
  • документирана информация (документ) -информация, записана на материален носител с подробности, позволяващи нейното идентифициране;
  • информационни процеси- процеси на събиране, обработка, натрупване, съхраняване, търсене и разпространение на информация;
  • Информационна система -организационно подреден набор от документи и информационни технологии;
  • информационни ресурси - отделни документи и масиви от документи в информационни системи (библиотеки, архиви, фондове, банки данни, други информационни системи);
  • информация за граждани (лични данни) -информация за факти, събития и обстоятелства от живота на гражданин, които позволяват да се идентифицира неговата личност;
  • конфиденциална информация- документирана информация, достъпът до която е ограничен в съответствие със законодателството на дадена държава.

Информационната сигурност на държавата се разбира като състояние на защита на нейните национални интереси в информационната сфера, което се определя от съвкупността от балансирани интереси на индивида, обществото и държавата.

Интересите на личността в информационната сфера се състоят в осъществяването на конституционните права на човека и гражданина на достъп до информация, на използване на информация в интерес на извършване на дейности, незабранени със закон, физическо, духовно и интелектуално развитие, както и за защита на информацията, която гарантира личната безопасност.

Интересите на обществото в информационната сфера са осигуряване на интересите на индивида в тази област, укрепване на демокрацията, създаване на правова социална държава, постигане и поддържане на обществена хармония.

Интересите на държавата в информационната сфера са да се създадат условия за хармоничното развитие на информационната инфраструктура, прилагането на конституционните права и свободи на човека в областта на получаването и използването на информация, за да се гарантира неприкосновеността на конституционната система, суверенитета. и териториална цялост на държавата, политическа, икономическа и социална стабилност, при безусловно осигуряване на законност и ред, развиване на равноправно и взаимноизгодно международно сътрудничество.

Въз основа на националните интереси на държавата в информационната сфера се формират стратегически и текущи задачи на вътрешната и външната политика на държавата за осигуряване на информационна сигурност.

Четири са основните компоненти на националните интереси в информационната сфера:

  • 1) спазване на конституционните права и свободи на човека в областта на получаването и използването на информация, запазването и укрепването на моралните ценности на обществото, традицията, патриотизма и хуманизма, културния и научен потенциал на страната;
  • 2) информационна подкрепа за държавната политика, свързана с предоставянето на обществеността на надеждна информация за държавната политика, нейните приоритети и официалната позиция по обществено значими събития, осигуряване на достъп на гражданите до отворени държавни информационни ресурси;
  • 3) развитие на съвременните информационни технологии, вътрешната информационна индустрия, включително индустрията на информационните технологии, телекомуникациите и комуникациите, задоволяване на нуждите на вътрешния пазар със своите продукти и навлизането на тези продукти на световния пазар, както и осигуряване на натрупване, съхраняване и ефективно използване на местни информационни ресурси. В съвременните условия само на тази основа могат да бъдат решени проблемите за създаване на високотехнологични технологии, технологично преоборудване на промишлеността и увеличаване на постиженията на местната наука и технологии;
  • 4) защита на информационните ресурси от неоторизиран достъп, осигуряване на сигурността на информационните и телекомуникационни системи.

Основен целиинформационната сигурност са:

  • защита на националните интереси на държавата в контекста на глобализацията на информационните процеси, формирането на глобални информационни мрежи и стремежа на развитите страни за информационно господство;
  • предоставяне на органи и управление, предприятия и граждани на надеждна, пълна и навременна информация, необходима за вземане на решения, както и предотвратяване на нарушения на целостта и незаконно използване на информационни ресурси;
  • осъществяване на правата на гражданите, организациите и държавата да получават, разпространяват и използват информация.

Към обектиинформационната сигурност включва:

  • информационни ресурси, независимо от формата на съхранение, съдържащи информация, представляваща държавна тайна и ограничен достъп, търговска тайна и друга поверителна информация, както и отворена (публично достъпна) информация и знания;
  • система за формиране, разпространение и използване на информационни ресурси, включително информационни системи от различни класове и предназначения, библиотеки, архиви и банки с данни, информационни технологии, правила и процедури за събиране, обработка, съхранение и предаване на информация, научни, технически и сервизни персонал;
  • информационна инфраструктура, включително центрове за обработка и анализ на информация, обмен на информация и телекомуникационни канали, механизми за осигуряване на функционирането на телекомуникационни системи и мрежи, включително системи и средства за информационна сигурност;
  • система за формиране на обществено съзнание (светоглед, морални ценности и др.), базирана на медиите;
  • правата на гражданите, предприятията и държавата да получават, разпространяват и използват информация, защита на поверителна информация и интелектуална собственост. Създава информационна сигурност на изброените обекти

условия за надеждно функциониране на държавни и обществени институции, както и формиране на обществено съзнание, което отговаря на прогресивното развитие на страната.

Необходимо е да се прави разлика между понятията „информационна сигурност“, „информационна сигурност“ и „защита на информацията“. Както беше показано по-горе, много общото понятие „сигурност“ означава „състоянието на защита на жизнените интереси на индивида, обществото и държавата от вътрешни и външни заплахи“. В тази връзка той може да бъде разложен на два компонента:

  • безопасност на съдържанието (смисъла) на информацията - липсата в него на подтикване на човек към негативни действия, умишлени механизми за отрицателно въздействие върху човешката психика или отрицателно въздействие върху друг блок информация (например информация, съдържаща се в компютърна програма, т.нар. компютърен вирус);
  • защита на информацията от външни въздействия (опити за незаконно копиране, разпространение, модификация (промяна на значението) или унищожаване).

Вторият компонент на понятието „информационна сигурност” ще бъде наречен информационна сигурност. Така се изгражда поредица от три научни категории: информационна сигурност, информационна сигурност и защита на информацията. Освен това всяка следваща категория е неразделна част от предходната.

Събитие, което може да причини смущение във функционирането на икономически субект (фирма, предприятие, организация и др.), включително изкривяване, унищожаване или неразрешено използване на обработваната информация, е заплаха. Възможността за реализиране на заплахи зависи от наличието на уязвимости. Съставът и спецификата на уязвимостите се определя от вида на задачите, които се решават, естеството на обработваната информация, хардуерните и софтуерните характеристики на обработката на информация в предприятието, наличието на защитно оборудване и техните характеристики.

Източници на заплахиИнформационната сигурност може да бъде разделена на външна и вътрешна.

ДА СЕ външни източницивключват: неприятелска политика на чужда държава в областта на глобалния информационен мониторинг, разпространение на информация и нови информационни технологии; дейност на външното разузнаване и специалните служби; дейност на чуждестранни икономически структури, насочена срещу интересите на дадена държава; престъпни действия на международни групи, формирования и лица; природни бедствия и катастрофи.

Вътрешенизточници на заплахи са: незаконна дейност на политически и икономически структури в областта на формирането, разпространението и използването на информация; неправомерни действия на държавни органи, водещи до нарушаване на законните права на гражданите и организациите в информационната сфера; нарушаване на установените правила за събиране, обработка и предаване на информация; хардуерни повреди и софтуерни повреди в информационни и телекомуникационни системи.

Има два основни класа заплахи за информационната сигурност.

  • 1. Неумишленоили произволни, действия, изразяващо се в неадекватна поддръжка на механизми за сигурност и грешки в управлението (например, ако потребителите напишат пароли на листчета хартия и ги залепят на монитори, не може да се говори за защита на информацията).
  • 2. Умишлени заплахи -неоторизирано придобиване на информация и неоторизирано манипулиране на самите данни, ресурси и системи (например твърди (оптични) устройства и магнитни ленти, попадащи в ръцете на неупълномощени лица, често води до изтичане на поверителна информация). Днес, например, широкото разпространение на мобилни устройства за съхранение на информация, като флаш памети, твърди дискове iBVинтерфейс и др., доведе до появата на нов клас заплахи за информационната сигурност. Неразрешеното използване на такива устройства от нелоялни служители може да доведе до изтичане на информация от корпоративната мрежа. Единствената алтернатива на физическото дезактивиране на III-портовете може да бъде използването на специална система за информационна сигурност Повечето специалисти по информационна сигурност смятат, че мобилните устройства са основната заплаха за бизнеса днес (фиг. 12.1).

Интернет пейджъри

Мобилно съхранение

електронна поща

Интернет (уеб поща, форуми)

Печатащи устройства

Консумативи за снимки

2008 2007 г

Ориз. 12.1. Най-честите канали за изтичане на информация

Имейлът отдавна заема водеща позиция в класацията на най-опасните канали за изтичане на информация. Причината е, че мобилното хранилище е по-дискретно: миниатюрни устройства за съхранение, които могат да съхраняват десетки гигабайта данни - капацитет, сравним с капацитета на твърдите дискове. Техният капацитет, мобилност и лесна връзка са основните причини за тяхното разпространение като вътрешни оръжия. От друга страна, имейлът в повечето фирми се следи отблизо от сигурността. Освен това очевидно е трудно да се изпрати голямо количество данни по този начин. Не винаги е възможно просто да се забрани използването на мобилни устройства, тъй като много често се изискват флаш карти поради производствени причини. В същото време днес вече има богат избор от специализиран софтуер, който може да предотврати течове програмно.

Методите за въздействие върху заплахите за обектите на информационната сигурност се разделят на информационни, софтуерни и математически, физически, радиоелектронни, организационни и правни.

ДА СЕ информационенметодите включват: нарушения на насочването и своевременността на обмена на информация, незаконно събиране и използване на информация; неоторизиран достъп до информационни ресурси; манипулиране на информация (дезинформация, укриване или изопачаване на информация); незаконно копиране на данни в информационни системи; използване на медиите от позиции, противоречащи на интересите на граждани, организации и държави; кражба на информация от библиотеки, архиви, банки и бази данни; нарушение на технологията за обработка на информация.

Софтуер и математикаметодите включват: въвеждане на вирусни програми; инсталиране на софтуерни и хардуерни устройства; унищожаване или модифициране на данни в информационни системи.

Физическиметодите включват: унищожаване или унищожаване на средства за обработка на информация и комуникация; унищожаване, унищожаване или кражба на машина и други оригинални носители за съхранение; кражба на софтуерни ключове и средства за криптографска защита на информацията; въздействие върху персонала; доставка на „заразени“ компоненти на информационни системи.

Радиоелектронниметодите са: прихващане на информация по технически канали за нейното изтичане; въвеждане на устройства за електронно прихващане на информация в технически съоръжения и помещения; прихващане, дешифриране и налагане на невярна информация в мрежи за данни и комуникационни линии; въздействие върху системите с паролен ключ; радиоелектронно потискане на комуникационни линии и системи за управление.

Организационно-правниметодите включват: закупуване на несъвършени или остарели информационни технологии и информационни средства; неспазване на законовите изисквания и забавяне на приемането на необходимите нормативни разпоредби в информационната сфера; незаконосъобразно ограничаване на достъпа до документи, съдържащи важна за гражданите и организациите информация.

IN икономиканай-податливи на заплахи за информационната сигурност:

  • система за държавна статистика;
  • източници, които генерират информация за търговската дейност на икономическите субекти от всички форми на собственост, за потребителските свойства на стоките и услугите;
  • системи за събиране и обработка на финансова, борсова, данъчна, митническа информация, информация за външноикономическата дейност на държавата и търговските структури.

Системата на държавната статистика трябва да има достатъчна защита от сериозни и масови изкривявания. Основният акцент трябва да бъде върху защитата на първичните източници на информация и обобщените отчетни данни. В крайна сметка информацията в тази система трябва да притежава пълнота, достоверност, достатъчност, съпоставимост и редовност - свойства, необходими за вземане на национални решения на ниво държава, отрасъл, предприятие за провеждане на общоикономически анализи и прогнозиране на икономическото развитие.

Нормалното функциониране на стопански субекти е нарушено поради липсата на правни разпоредби, определящи отговорността на източниците на информация за търговската дейност и потребителските свойства на стоките и услугите за недостоверност и укриване на информация (за резултатите от реалната икономическа дейност, инвестициите и др. .). От друга страна, могат да бъдат причинени значителни икономически щети на държавни и бизнес структури поради разкриването на информация, съдържаща търговска тайна.

В системите за събиране и обработка на финансова, борсова, данъчна и митническа информация най-голямата опасност от гледна точка на информационната сигурност е кражбата и умишленото изкривяване на информация, чиято възможност е свързана с умишлено или случайно нарушаване на технология за работа с информация, неоторизиран достъп до нея, който се дължи на недостатъчни мерки за сигурност информация. Същата опасност съществува и при органите, участващи в формирането и разпространението на информация за външноикономическата дейност.

Сериозна опасност за нормалното функциониране на икономиката като цяло представляват все по-сложните компютърни престъпления, свързани с проникването на криминални елементи в компютърни системи и мрежи.

Най-високата степен на автоматизация, към която се стреми информационното общество, го прави зависимо от степента на сигурност на използваните от него информационни технологии, от които от своя страна зависят благосъстоянието и дори живота на много хора.

Във връзка с масовата компютъризация на информационните процеси, увеличаването на стойността и значението на информационните ресурси в икономическото развитие, проблемът с надеждната защита на информацията, циркулираща в критични информационни системи, става особено остър. предотвратяване на неговото изопачаване и унищожаване, неразрешено модифициране, незаконно получаване и използване. Добре известните факти красноречиво показват актуалността на проблема със сигурността на информационните технологии: на всеки 20 секунди в Съединените щати се случва престъпление, използващо софтуер. Освен това, в повече от 80% от компютърните престъпления, „крадците“ проникват в атакуваната система през глобалния интернет.

Интензивното развитие на информационните процеси не може да не доведе до увеличаване на незаконните действия. Към компютърните грешки се прибавя компютърната престъпност, която заплашва да се развие в проблем, чиито икономически, екологични, политически и военни последици могат да бъдат катастрофални. Престъпните групи и общности започват активно да използват най-новите постижения на науката и технологиите в своята дейност.

Уязвимостта на информацията нараства. В същото време има особена опасност "информационен тероризъм"използване на глобални компютърни мрежи, чиято превенция е трудна, а отстраняването на последствията е изключително скъпо.

Както вече беше отбелязано, използването на съвременни средства и методи на масмедиите осигурява контролируемост на обществото. Говорейки за проблема "нова колонизация"Руският философ А. Зиновиев, сред историческите видове колонизация, по свой собствен начин изтъкна улавянето с принудителна трансформация. Този тип колонизация съответства на сегашното време. Тук се има предвид не военно превземане, а идеологическо: въвеждане на необичайни идеали и стремежи в структурата на жизнените ценности на колонизираната страна, т.е. провеждане на информационна война. Резултатът от този процес, според Зиновиев, „западняване“ е, че в „колонизираната страна насилствено се създава социално-политическата система на колониалната демокрация. Колониалната демокрация е нещо изкуствено, наложено на страната отвън и противно на съществуващите възможности и тенденции на еволюция. Привидността на суверенитет се запазва. Създават се центрове на икономика в западен стил под контрола на западни банки или под формата на съвместни предприятия.

Днес списъкът на информационно колонизираните страни не се изчерпва със списъка на така наречените страни от третия свят, тъй като единното информационно пространство изисква обединяване на информационните и телекомуникационни технологии на всички страни - субекти на мрежовото пространство, и степента на необходимата днес информатизация може да бъде постигната само в общество с висок научен, технически и индустриален потенциал и достатъчно културно и образователно ниво на населението. Това дава възможност на мощни постиндустриални сили, като САЩ и Япония, да укрепят своето икономическо, политическо и военно превъзходство чрез лидерство в информационните технологии, да упражняват глобален информационен контрол върху световната общност и реално да налагат своите норми и правила.

Информационно-културната и информационно-идеологическата експанзия на западните лидери, осъществявана чрез глобалните телекомуникационни мрежи, предизвиква безпокойство в различни страни по света. Перспективата за зависимост и възможността за загуба на независимост тревожи както държавните ръководители, така и обществените институции и гражданите. Много държави вече предприемат мерки за защита на своята култура, традиции и духовни ценности от чуждо информационно влияние, изграждайки ефективна система за осигуряване на информационна сигурност.

  • См.: Зиновиев А.А.Без илюзии. L'Age d'Homme. Лозана, 1979 г.