Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: VII Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 25 декабря 2012 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Пожиткова Т.А., Харламова В.В. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ // Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. VII междунар. студ. науч.-практ. конф. № 7. URL: http://sibac.info/archive/technic/7.pdf (дата обращения: 28.03.2024)
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ

Пожиткова Татьяна Александровна

студент 5 курса, кафедра «Товароведение и организация управления торговыми предприятиями» ТГУ, г. Тольятти

Е-mailKykyha1@yandex.ru

Харламова Валентина Владимировна

ст. преподаватель кафедры «Товароведение и организация управления торговыми предприятиями»ТГУ, г. Тольятти

 

Информация (от латинского informatio — разъяснение, изложение) — с середины ХХ века общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом, обмен сигналами в животном и растительном мире, передачу признаков от клетки к клетке, от организма к организму; одно из основных понятий кибернетики [5].

Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Согласно стандартам по обеспечению информационной безопасности главное в любой компании является:

·Определить цель для обеспечения защиты информации компьютерных систем;

·Получить максимально эффективную систему управления информационной безопасностью;

·Произвести вычисления совокупности как количественных, так и качественных показателей, насколько они подходят под поставленные цели;

·Применение всех мер для обеспечения информационной безопасности, постоянное наблюдение за текущим состоянием системы;

·Применять инструкции по управлению безопасностью, которые позволяют правдиво оценить имеющуюся защиту информации.

Для субъектов, использующих информационные системы, важны следующие признаки информационных ресурсов: конфиденциальность, доступность и целостность.

Конфиденциальность — это защита информации от несанкционированного доступа. Иначе говоря, есть полномочия на доступ — есть информация [2]. Примером может служить неразглашение организацией информации о зарплате рабочих.

Доступность — критерий, характеризующийся быстрым нахождением нужной информации.

Целостность — это правдивость и актуальность информации, её защита от недозволенного доступа и разрушения (изменения). Целостность является самым важным аспектом информационной безопасности, когда речь идет о, например, рецептуре лекарств, предписанных медицинских процедур, ходе технологического процесса –– если нарушить целостность информации всех перечисленных примеров, это может привести к непоправимым последствиям.

Проанализировав основные признаки информационных ресурсов, самым важным для пользователей ИС является доступность.

На полшага позади по важности стоит целостность — потому как нет смысла в информации, если она не правдива или искажена [3].

Помимо трех основных признаков моделей безопасности выделяют также другие, не всегда обязательные:

·     апеллируемость — невозможность отказа от авторства;

·     подотчётность — распознование субъекта доступа и регистрации его действий;

·     аутентичность или подлинность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Признак, гарантирующий, что информация идентична заявленной.

Информационной безопасности в разной степени могут наносить ущерб действия, называемые угрозами. Делят их на следующие категории:

1.Действия авторизованного пользователя. В категорию входят: целенаправленный ущерб (уничтожение данных на сервере, повреждение данных других пользователей по неосторожности)

2.Действия, осуществляемые хакерами. Имеются в виду, люди, профессионально занимающиеся компьютерными преступлениями. Хакеры используют метод DOS_атаки. Эта угроза несанкционированного проникновения может быть инструментом для уничтожения данных, использования конфиденциальной информации в незаконных целях, а также для кражи со счетов денежных средств и др. Атака типа DOS (сокр. от Denial of Service — «отказ в обслуживании») — атака извне на сетевые узлы организации, которые отвечают за её эффективную работу (почтовые сервера). Хакеры массово посылают пакеты данных на эти узлы, что влечет за собой их перегрузку, тем самым выводит на некоторое время из рабочего состояния. Что, в последствие, ведет за собой нарушения в бизнес-процессах, потере клиентов, репутации и др.

3.Компьютерные вирусы, вредоносные программы. Широко используются для проникновения на электронную почту, узлы корпоративной сети, на сам носитель и хранитель информации, что может повлечь за собой утрату данных, кражу информации. Из-за вирусов приостанавливается рабочий процесс, теряется рабочее время. Важно указать, что вирус может дать возможность злоумышленникам частичный или полный контроль над деятельностью организации.

4.Спам. Еще недавно спам можно было отнести к незначительным раздражающим факторам, но сейчас он превратился в одну из главных угроз для информации: спам вызывает у работников чувство психологического дискомфорта, отнимает массу времени на удаление его с электронных почтовых ящиков, что может повлечь за собой и удаление важной корреспонденции. А это, в свою очередь, потеря информации, потеря клиентов.

5.«Естественные угрозы». Помимо внутренних факторов, на безопасность информации могут влиять и внешние: неправильное хранение информации, кража носителей, форс-мажорные обстоятельства и др.

Можно подвести своеобразный итог: в современном мире наличие хорошо развитой системы по защите информации является одним из главных условий конкурентоспособности и даже жизнеспособности любой компании.

Чтобы обеспечить максимально полную информационную безопасность, различные средства защиты должны работать в системе, т. е. применяться одновременно и под централизованным управлением.

На настоящее время существуют множество методов для обеспечения информационной безопасности:

·     комплекс 3А (аутентификация, авторизация, администратирование);

·     средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

·     средства зашифровки важной информации, хранящейся на ПК;

·     межсетевые экраны;

·     средства контентной фильтрации;

·     средства антивирусной защиты;

·     системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Любое из перечисленных средств может применяться как индивидуально, так и в соединении с другими. Это делает спектр защиты информации более обширным, что, несомненно, является положительным фактором.

«Комплекс 3А». Идентификация и авторизация — это ведущие элементы информационной безопасности. При попытке доступа к любой защищенной информации идентификация устанавливает: являетесь ли вы авторизованным пользователем сети. Цель авторизации, выявить к каким информационным ресурсам данный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя отдельными расширенными возможностями, определения объема возможных для него действий в рамках данной сети.

Системы зашифровки информации позволяют снизить к минимуму потери в случае попытки несанкционированного доступа к данным, а также перехвата информации при пересылке или передачи по сетевым протоколам. Главная цель данного метода защиты — это обеспечение сохранение конфиденциальности. К системам шифрования применяются требования, такие как высокий уровень секретности замка (т. е. криптостойкость) и легальность использования.

Межсетевой экран действует как защитный барьер между сетями, контролирует и защищает от несанкционированного попадания в сеть или, наоборот, выведения из неё пакетов данных. Межсетевые экраны подвергают проверке каждый пакет данных на соответствие входящего и исходящего IP_адреса базе адресов, которые разрешены.

Важно контролировать и фильтровать поступающую и исходящую электронную почту, для сохранения и защиты конфиденциальной информации. Проверка вложений и самих почтовых сообщений на основе установленных в организации правил, позволяет защитить работников от спама, а организацию от ответственности по судебным искам.

Администратор, как и другой авторизованный пользователь, может иметь право на слежение за всеми изменениями информации на сервере благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это даёт возможность обнаружить несанкционированный доступ, проконтролировать любые действия над информацией (изменение, удаление и др.), а также идентифицировать активность вирусов. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC_сумм).

В настоящее время антивирусные технологии позволяют выявить почти все вирусные и вредоносные программы с помощью метода сравнения кода образца в антивирусной базе с кодом подозрительного файла. Подозрительные файлы могут помещаться в карантин, подвергаться лечению либо удаляться. Антивирусные программы могут быть установлены на файловые и почтовые сервера, межсетевые экраны, на рабочие станции, функционирующие под распространенными операционными системами (Windows, Unix- и Linux_системы, Novell) на процессорах различных типов.

Фильтры спама основательно снижают непроизводительные трудозатраты, связанные с отчисткой файлов от спама, снижают нагрузку серверов, способствуют улучшению психологического фона в коллективе. К тому же фильтры спама снижают риск заражения новыми вирусами, потому как они часто схожи по признакам со спамом и удаляются.

Для защиты от естественных угроз в организации должен быть создан и реализован план по предупреждению и устранению чрезвычайных ситуаций (пожар, потоп). Основным методом защиты данных является резервное копирование.

Существует множество средств технической защиты информации от несанкционированного доступа (НСД): замки разового пользования, пластиковые идентификационные карты, пломбы, оптические и инфракрасные системы, лазерные системы, замки (механические, электромеханические, электронные), видео системы охраны и контроля [6].

Политика информационной безопасности представляет собой набор правил, законов, рекомендаций и практического опыта, определяющих управленческие и проектные решения в области защиты информации. ПИБ является инструментом, с помощью которого происходит управление, защита, распределение информации в системе. Политика должна определять поведение системы в различных ситуациях.

Программа политики безопасности содержит в себе следующие этапы создания средств защиты информации:

1.  Нахождение информационных и технических ресурсов, которые необходимо защитить;

2.  Раскрытие полного множества потенциально возможных угроз и каналов утечки информации;

3.  Оценивание уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

4.  Диагностирование требований к системе защиты;

5.  Подборка средств защиты информации и их характеристик;

6.  Внедрение и организация использования выбранных мер, способов и средств защиты;

7.  Осуществление контроля целостности и управление системой защиты.

Оценка текущей ситуации подразделяется на две системы: это «исследование снизу вверх» и «исследование сверху вниз». Первая построена на том, что служба информационной безопасности, основываясь на всех известных видах атак, применяет их на практике, чтобы проверить, возможна ли данная атака со стороны реального правонарушителя.

Метод «сверху вниз» представляет собой подробное изучение всех существующих схем хранения и обработки информации. Первой ступенью метода является определение, какие информационные потоки следует защитить. Затем анализируется настоящее состояние системы информационной безопасности, для определения реализованных методик защиты, в каком объеме, и на каком уровне они реализованы. На третьей ступени осуществляется классификация всех информационных объектов на группы в соответствии с ее конфиденциальностью.

После этого необходимо выяснить насколько серьезный ущерб может быть нанесен, если информационный объект атакуют. Эта ступень именуется как «вычисление рисков». Рассчитывают возможный ущерб от атаки, вероятность такой атаки и их произведение. Полученный ответ и есть возможный риск.

На самом главном и ответственном этапе происходит сама разработка политики безопасности предприятия, которая обеспечит максимально полную защиту от возможных рисков. Но необходимо учитывать проблемы, которые могут возникнуть на пути инициации политики безопасности. К подобным проблемам можно отнести законы страны и международного сообщества, этические нормы, внутренние требования организации [1].

После создания как таковой политики информационной безопасности производится расчет её экономической стоимости.

В финале разработки программа утверждается у руководства фирмы и детально документируется. После этого должна следовать активная реализация всех компонентов, указанных в плане. Перерасчет рисков, и впоследствии модификация политики безопасности компании чаще всего проводится раз в два года [4].

Сама ПИБ оформляется в виде документированных требований на информационную систему. Существует три уровня таких документов (еще это называют детализация):

Документы верхнего уровня политики информационной безопасности показывают позицию организации к деятельности в области защиты информации, её готовность соответствовать государственным и международным требованиям в этой области. Например, они могут быть названы: «Концепция ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Документы верхнего уровня могут выпускаться в двух формах — для внешнего и внутреннего пользования.

Документы среднего уровня касаются отдельных сторон информационной безопасности. Здесь описаны требования на создание и эксплуатацию средств защиты информации по конкретной стороне защиты информации.

Документы нижнего уровня содержат правила и нормы работ, руководства по администрированию, инструкции по эксплуатации частных сервисов информационной безопасности [3].

Этапы жизненного цикла информационной системы делятся на: стратегическое планирование, анализ, проектирование, реализацию, внедрение (инициацию) и эксплуатацию. Рассмотрим каждый этап детально:

1.  Начальная стадия (стратегическое планирование).

На первой стадии определяется область применения системы, и ставят граничные условия. Для этого необходимо опознать все внешние объекты, с которыми будет взаимодействовать разрабатываемая система, определить характер этого взаимодействия. На стадии стратегического планирования определяются все функциональные возможности, а также приводятся описания наиболее важных из них.

2.  Стадия уточнения.

На стадии уточнения анализируется прикладная область, происходит разработка архитектурной основы информационной системы. Необходимо описать большую часть функциональных возможностей системы и учесть связь между отдельными составляющими. В конце стадии уточнения анализируются архитектурные решения и способы устранения ведущих рисков в программе.

3.  Стадия конструирования.

На данной стадии создаётся законченное изделие, готовое к передаче пользователю. По окончании конструирования определяется работоспособность полученного программного обеспечения.

4.  Стадия передачи в эксплуатацию (инициация).

Стадия представляет собой непосредственную передачу программного обеспечения пользователю. При использовании разработанной системы часто выявляются различного плана проблемы, которые требуют дополнительных работ и внесения корректировок в продукт. В конце данной стадии выясняют: достигнуты ли цели, поставленные перед разработчиками или нет.

5.  Выведение из эксплуатации и утилизация. В результате этого этапа данные переносятся в новую ИС.

Любая информационная система может оставаться максимально полезной в течение 3—7 лет. Далее требуется её модернизация. Следовательно, можно прийти к выводу, что с проблемой модернизации устаревших информационных систем сталкивается практически каждый создатель [7].

Для решения проблемы обеспечения информационной безопасности важно применение законодательных, организационных и программно-технических мер. Невнимательность хотя бы к одному из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.

 

Список литературы:

1.В.А. Игнатьев, Информационная безопасность современного коммерческого предприятия / В.А. Игнатьев — М: Старый Оскол: ТНТ, 2005. — 448 с.

2.Домарев В.В., Безопасность информационных технологий. Методология создания систем защиты (гл. 8) / ТИД Диа Софт / — 2002. [Электронный ресурс]. — Режим доступа. — URL: http://www.kpnemo.ws/ebook/2010/08/10/domarev_vv_bezopasnost_informatsionnyih_tehnologiy_metodologiya_sozdaniya_sistem_zaschityi(дата обращения 15.11.2012)

3.Жук Е.И., Концептуальные основы информационной безопасности [Электронный ресурс] // Электронное научно-техническое издание «Наука и образование», 2010. — № 4. — Режим доступа. — URL:http://techno-new.developer.stack.net/doc/143237.html(дата обращения 20.11.2012)

4.Медведев Н.В., Стандарты и политика информационной безопасности автоматизированных систем // Вестник МГТУ им. Н.Э. Баумана. Сер. Приборостроение. — 2010. — № 1. — С. 103—111.

5.Основы информационной безопасности: Учебное пособие / О.А. Акулов, Д.Н. Баданин, Е.И. Жук и др. — М.: Изд-во МГТУ им. Н.Э. Баумана, 2008. — 161 с.

6.Филин С.А., Информационная безопасность / С.А. Филин. — Альфа-Пресс, 2006. — 412 с.

7.Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. — 3-е изд. — М.: Академический Проект: Трикста, 2005 — 544 с.

Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.