ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: УГРОЗЫ И МЕТОДЫ ЗАЩИТЫ

INFORMATION SECURITY: THREATS AND METHODS OF PROTECTION

Аннотация. В этой статье полностью раскрыта тема по информационной и системной безопасности, рассматривается понятие информационной безопасности и о её угрозах, общий смысл, методы и способы защиты информации.

Abstract. This article fully covers the topic of information and system security, discusses the concept of information security and its threats, the general meaning, methods and ways to protect information.

Ключевые слова: информационная безопасность, угрозы, вирусы, черви, фишинговые атаки, троянские кони, методы защиты.

Keywords: information security, threats, viruses, worms, phishing attacks, trojan horses, protection methods.

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере, все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы, используемые в автоматизированной системе.

Чтобы стандартизировать эту дисциплину, ученые и специалисты сотрудничают и стремятся установить базовые рекомендации, политики и отраслевые стандарты в отношении паролей, антивирусного программного обеспечения, брандмауэра, программного обеспечения для шифрования, юридической ответственности и стандартов обучения пользователей/администраторов. Эта стандартизация может в дальнейшем основываться на разнообразных законах и нормативных актах, которые влияют на доступ, обработку, хранение и передачу данных. Однако реализация любых стандартов и руководств внутри организации может  иметь ограниченный эффект, если не принимать культуру постоянного улучшения.[1]

Угрозы информационной безопасности бывают разных форм, одними из наиболее распространенных сегодня угроз являются программные атаки, кража интеллектуальной собственности, кража личных данных, кража оборудования или информации, саботаж и вымогательство информации. Большинство людей испытали какие-то программные атаки. Вирусы, черви фишинговые атаки и троянские кони- вот несколько распространенных примеров программных атак. По аспекту информационной безопасности, на который направлены угрозы:

• Угрозы конфиденциальности(неправомерный доступ к информации). Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой информации ограниченного доступа, хранящейся в вычислительной системе или передаваемой от одной системы к другой
• Угрозы целостности(неправомерное изменение данных). Угрозы нарушения целостности – это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами – от умышленных действий персонала до выхода из строя оборудования.
• Угрозы доступности(осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы). Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.

Правительства, военные, корпорации, финансовые учреждения, больницы и частные предприятия накапливают много конфиденциальной информации о своих сотрудниках, клиентах, продуктах, исследованиях и финансовом положении. Если конфиденциальная информация о клиентах, финансах или новой линейке продуктов попадет в руки конкурента или хакера, то бизнес и его клиенты могут понести повсеместные, непоправимые финансовые потери, а также нанести ущерб репутации компании. С точки зрения бизнеса информационная безопасность должна быть сбалансирована с затратами; модель Гордон-Loeb обеспечивает математически-экономический подход для решения этой проблемы.[2]

Для человека информационная безопасность оказывает существенное влияние на конфиденциальность, которая рассматривается в разных культурах по-разному. Возможные ответы на угрозу безопасности или риск:

• уменьшить/смягчить-внедрить меры защиты и контрмеры для устранения уязвимостей или блокирования угроз
• назначить/передать-разместить стоимость угрозы для другой организации или организации, например, для покупки страховки или аутсорсинга
• принять-оценить, перевешивает ли стоимость контрмер возможную стоимость потери из-за угрозы.[3]

Методы и способы защиты информации содержат в себе конкретные меры и технологии к решению проблем по информационной безопасности предприятия. На текущий момент методы защиты можно разделить на несколько основных групп. Итак, классификация методов и способов защиты выглядит следующим образом: способы изменение вида и структуры передачи информации в сети и ее хранения, например применение криптографических методов защиты; организационные методы защиты данных, основанные на управлении информационными системами и регламентирование правил безопасности; технические и технологические методы защиты информации, подразумевающие использования специальных программных и аппаратных средств. Комплексная защита информации создается на объектах для блокирования (парирования) всех возможных или наиболее вероятных угроз безопасности информации. Для парирования той или иной угрозы используется определенная совокупность средств и методов защиты, некоторые из них защищают от нескольких угроз одновременно.

Среди методов защиты имеются и универсальные методы, являющиеся базовыми при построении любой системы защиты.

Правовые методы защиты информации служат основой легитимного построения и использования системы защиты любого назначения

Организационные методы защиты информации используются для парирования нескольких угроз, кроме того, их использование в любой системе защиты обязательно.[4]

На крупных предприятиях методами, защищающими информационную безопасность, должна заведовать специальная служба безопасности компании. Ее сотрудники должны искать способы воздействия на информацию и устранять всевозможные прорывы злоумышленников. По локальным актам разрабатывается политика безопасности, которую важно строго соблюдать. Стоит обратить внимание и на исключение человеческого фактора, а также поддерживать в исправности все технические средства, связанные с безопасностью информации. Задержки у атакующей информационную безопасность стороны возможны только в связи с прохождением системы защиты. Абсолютных способов обезопасить себя от угроз не существует, поэтому информационную систему защиты требуется всегда усовершенствовать, поскольку мошенники тоже усовершенствуют свои методики. Пока не придуман универсальный способ, который подходит каждому и дает стопроцентную защиту. Важно остановить проникновение злоумышленников на раннем уровне.

Список литературы:

1. Счлиенгер, Томас, Теуфель, Стефани «Культура информационной безопасности - от анализа к изменениям». SAICSIT:. 2003
2. Гордон, Лоуренс, Леб, Мартин «Экономика информационной безопасности инвестиций». АСМ ТИСС 2002. с. 438–457.
3. Стюарт, Джеймс.CISSP Сертифицированное профессиональное учебное пособие по безопасности информационных систем. Канада: 2012 с. 255–257.
4. А.А.Безбогов, А.В.Яковлев, В.Н.Шамкин «Методы и средства защиты компьютерной информации». ТГТУ:2006 с. 18