Введение
В современном мире информация имеет
определенную, а часто и очень высокую
ценность. Защита информации необходима
от потерь из-за случайного удаления, сбоев,
вирусов, несанкционированного доступа
к информации.
К мероприятиям по защите информации
относятся самые разнообразные способы
защиты, начиная от простейших, но очень
эффективных защит паролем до использования
сложнейших технических систем.
Особое внимание следует обращать не
только на системы защиты, но и на различные
организационные вопросы – подбор людей,
допускаемых к секретной информации, тщательное
соблюдение правил работы с ней и т.д.
Система защита информации должна быть
такой, чтобы на ее взлом потребовалось
больше времени, чем время, которое эта
информация должна оставаться секретной.
К практической части контрольной работы
я ставлю цель:
Выявление источников угрозы информации
и определение способов защиты от них.
Задачи:
- Выявить основные источники угрозы информации.
- Найти и описать методы защита информации в информационных системах
и информационных технологиях управления
организацией.
Теоретическая часть
Защита информации
и информационная безопасность.
Основные понятия.
Информационная безопасность –
это комплекс организационных, технических
и технологических мер по защите информации
от неавторизованного доступа, разрушения,
модификации, раскрытия и задержек в доступе.
Угроза безопасности
информации - это события или действия, которые могут
привести к искажению, несанкционированному
использованию или даже к разрушению информационных
ресурсов управляемой системы, а также
программных и аппаратных средств.
Активные угрозы имеют
целью нарушение нормального функционирования
информационных систем (далее по тексту
ИС) путем целенаправленного воздействия
на ее компоненты. К активным угрозам относятся,
например:
- вывод из строя компьютера или его операционной
системы;
- искажение сведений в БиД;
- разрушение ПО компьютеров;
- нарушение работы линий связи и т.д.
Источником
активных угроз могут быть действия взломщика,
вредоносные программы и т.п.
Несанкционированный
доступ - это противоправное преднамеренное
овладение конфиденциальной информацией
лицом, не имеющим права доступа к охраняемым
сведениям.
Несанкционированное использование
информационных ресурсов, с одной стороны,
является последствиями ее утечки и средством
ее компрометации. С другой стороны, оно
имеет самостоятельное значение, так как
может нанести большой ущерб управляемой
системе, вплоть до полного выхода информационных
технологий (далее по тексту ИТ) из строя,
или ее абонентам.
Нарушение информационного
обслуживания - угроза, источником которой
является сама ИТ. Задержка с предоставлением
информационных ресурсов абоненту может
привести к тяжелым для него последствиям.
Отсутствие у пользователя своевременных
данных, необходимых для принятия решения,
может вызвать его нерациональные действия.
Незаконное использование
привилегий.
Любая защищенная система содержит
средства, используемые в чрезвычайных
ситуациях, или средства которые способны
функционировать с нарушением существующей
политики безопасности.
Под взломом системы понимают
умышленное проникновение в систему, когда
взломщик не имеет санкционированных
параметров для входа. Способы взлома
могут быть различными, и при некоторых
из них происходит совпадение с ранее
описанными угрозами.
Политика безопасности - представляет собой набор
законов, правил и практического опыта,
на основе которых строятся управление,
защита и распределение конфиденциальной
информации.
В сфере управления организацией,
защита информации в ИС и ИТ, представляет
собой защиту от утечки конфиденциальной
информации.
Утечка конфиденциальной
информации — это бесконтрольный выход конфиденциальной
информации за пределы ИС или круга лиц,
которым она была доверена по службе или
стала известна в процессе работы. Эта
утечка может быть следствием:
- разглашения конфиденциальной
информации;
- ухода информации по различным,
главным образом техническим, каналам;
- несанкционированного доступа
к конфиденциальной информации различными
способами.
Любые способы утечки конфиденциальной
информации могут привести к значительному
материальному и моральному ущербу как
для организации, где функционирует ИС,
так и для ее пользователей.
Менеджерам следует помнить,
что довольно большая часть причин и условий,
создающих предпосылки и возможность
неправомерного овладения конфиденциальной
информацией, возникает из-за элементарных
недоработок руководителей организаций
и их сотрудников. К примеру, к причинам
и условиям, создающим предпосылки для
утечки коммерческих секретов, могут относиться:
- недостаточное знание работниками
организации правил зашиты конфиденциальной
информации и непонимание крайне важности
их тщательного соблюдения;
- использование не аттестованных
технических средств обработки конфиденциальной
информации;
- слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;
- текучесть кадров, в том числе
владеющих сведениями, составляющими
коммерческую тайну;
- организационные недоработки,
в результате которых виновниками утечки
информации являются люди — сотрудники
ИС и ИТ.
Большинство из перечисленных
технических путей несанкционированного
доступа поддаются надежной блокировке
при правильно разработанной и реализуемой
на практике системе обеспечения безопасности.
Методы и средства
построения систем информационной безопасности.
Структура создание систем
информационной безопасности (СИБ) в ИС
и ИТ основывается на следующих принципах:
- Системный подход к построению
системы зашиты.
- Принцип непрерывного развития
системы.
- Разделение и минимизация полномочий
по доступу к обрабатываемой информации
и процедурам обработки.
- Полнота контроля и регистрации
попыток несанкционированного доступа.
- Обеспечение надежности системы
защиты.
- Обеспечение контроля за функционированием системы защити.
- Обеспечение всевозможных средств
борьбы с вредоносными программами.
- Обеспечение экономической
целесообразности использования системы
защиты, что выражается в превышении возможного
ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.
Практическая часть
Оплата услуг ЖКХ
через портал государственных услуг РФ.
В качестве изучения практического
вопроса мной выбрана услуга оплаты ЖКХ,
из каталога предоставляемых услуг портала
«Госуслуги».
Сроки оказания
услуги:
В режиме реального времени.
Стоимость услуги:
Услуга предоставляется бесплатно.
Поставщик услуг
для местонахождения: г. Нижний Тагил, ЭнергосбыТ
Плюс Свердловский ф-л
Для входа в систему портала
госуслуг необходимо зайти на сайт https://www.gosuslugi.ru. На главной странице сайта
заходим в раздел «Каталог услуг». Из предоставленного
списка услуг данного раздела выбираем
подраздел «Квартира, строительство и
земля» кликаем мышкой путь «оплата ЖКХ»
(или «все услуги» - «оплата ЖКХ») далее
выбираем путь «Получить услугу» и таким
образом мы выходим на страницу где осуществляется
поиск счетов для оплаты. Выбрать поставщика
услуг, кликая на раздел «Оплата ЖКУ (ГИС
ЖКХ) появится зеленая галочка подтверждения
выбранного раздела. Ниже на этой странице
вводим номер ИНН и нажимаем «далее». Таким
образом мы переходим на следующую страницу
где выходить информация получателя платежа.
Здесь необходимо выбрать «наименование
банка» и кликаем «далее». Перейдя на
другую страницу нам нужно в поля внести
свои данные, а именно «Фамилия», «Имя»,
«Отчество», «Адрес», «Лицевой счет получателя»,
«Назначение платежа» и «Сумма». Кликаем
«далее» и на перешедшей старице выбираем
способ оплаты (в моем случае оплата
с помощью банковской карты). Таперь вносим
реквизиты карты, а именно «Номер карты»,
«Срок действия», «Фамилию и имя, как
на карте», «CVV2/CVC 2» с оборота карты и жмем
«далее». Проверяем информацию платежа
и если все верно то кликаем «Оплатить».
Заключение
В заключении хотелось бы отметить,
что защита информации в информационных
системах и информационных технологиях
управления организацией имеет не маловажную
роль в обеспечении безопасности информации.
Никакие аппаратные, программные
и любые другие решения не смогут гарантировать
абсолютную надежность и безопасность
данных в компьютерных сетях.
В вычислительной технике понятие
безопасности является весьма широким.
Оно подразумевает и надежность работы
компьютера, и сохранность ценных данных,
и защиту информации от внесения в нее
изменений неуполномоченными лицами,
и сохранение тайны переписки в электронной
связи.
Список литературы:
Романов Ю.Д. Информационные технологии
в управлении персоналом; учебник и практикум
для прикладного бакалаврната /Ю.Д. Романов, Т.Д. Винтова, П.Е. Коваль. – 2е изд.
- Мельников,В.П.Информационная безопасность и защита информации. / В.П.Мельников, С.А.Клейменов, А.М.Петраков // 3-е изд., стер. - М.: Академия, 2008. — 336 с.
- Портал госуслуг https://www.gosuslugi.ru.