Защита информации и информационная безопасность

     Обеспечение безопасности информационных систем от вирусных атак традиционно заключается  в использовании такой службы защиты информации, как антивирусное ПО и сетевые экраны. Эти программные решения позволяют частично решить проблемы защиты информации, но, зная историю защиты информации, легко понять, что установка системы защиты коммерческой информации и системы защиты информации на предприятии на основе антивирусного ПО сегодня еще не решает проблему информационной безопасности общества завтра. Для повышения уровня надежности системы и обеспечения безопасности информационных систем требуется использовать и другие средства информационной безопасности, например, организационная защита информации, программно аппаратная защита информации, аппаратная защита информации.

     Вирусы  характеризуются тем, что они  способны самостоятельно размножаться и вмешиваться в вычислительный процесс, получая возможность управления этим процессом.

     То  есть, если Ваша программно аппаратная защита информации пропустила подобную угрозу, то вирус, получив доступ к  управлению информационной системой, способен автономно производить  собственные вычисления и операции над хранящейся в системе конфиденциальной информацией.

     Наличие паразитарных свойств у вирусов  позволяет им самостоятельно существовать в сетях сколь угодно долго  до их полного уничтожения, но проблема обнаружения и выявления наличия  вируса в системе до сих пор  не может носить тотальный характер, и ни одна служба информационной безопасности не может гарантировать 100-процентную защиту от вирусов, тем более, что информационная безопасность государства и любой другой способ защиты информации контролируется людьми.¹⁷

     Червь – программа, передающая свое тело или его части по сети. Не оставляет копий на магнитных носителях и использует все возможные механизмы для передачи себя по сети и заражения атакуемого компьютера. Рекомендацией по защите информации в данном случае является внедрение большего числа способов защиты информации, повышение качества программной защиты информации, внедрение аппаратной защиты информации, повышение качества технических средств защиты информации и в целом развитие комплексной защиты информации информационной системы.

     Перехватчик паролей – программный комплекс для воровства паролей и учетных  данных в процессе обращения пользователей  к терминалам аутентификации информационной системы.

     Программа не пытается обойти службу информационной безопасности напрямую, а лишь совершает попытки завладеть учетными данными, позволяющими не вызывая никаких подозрений совершенно санкционировано проникнуть в информационную систему, минуя службу информационной безопасности, которая ничего не заподозрит. Обычно программа инициирует ошибку при аутентификации, и пользователь, думая, что ошибся при вводе пароля, повторяет ввод учетных данных и входит в систему, однако, теперь эти данные становятся известны владельцу перехватчика паролей, и дальнейшее использование старых учетных данных небезопасно. ¹⁸

     Подводя итоги этой главы можно сказать, что на сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. Так же важно понимать, что большинство краж данных происходят не благодаря хитроумным способам, а из-за небрежности и невнимательности, поэтому понятие информационной безопасности включает в себя: информационную безопасность, аудит информационной безопасности, оценка информационной безопасности, информационная безопасность государства, экономическая информационная безопасность и любые традиционные и инновационные средства защиты информации.  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Глава II. Правовые основы защиты информации и законы о защите информации.

     Правовые  основы защиты информации – это  законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения  информационной безопасности информации и информационной безопасности предприятия.¹⁹

     Первый  уровень правовой основы защиты информации

     Первый  уровень правовой охраны информации и защиты состоит из международных  договоров о защите информации и  государственной тайны, к которым  присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.

     Правовое  обеспечение информационной безопасности РФ:

     Международные конвенции об охране информационной собственности, промышленной собственности  и авторском праве защиты информации в интернете;

     Конституция РФ (ст. 23 определяет право граждан  на тайну переписки, телефонных, телеграфных и иных сообщений);

     Гражданский кодекс РФ (в ст. 139 устанавливается  право на возмещение убытков от утечки с помощью незаконных методов  информации, относящейся к служебной  и коммерческой тайне);

     Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей);

     Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 определяет порядок защиты информации);

     Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную  тайну; ст. 8 — степени секретности  сведений и грифы секретности  их носителей: «особой важности», «совершенно  секретно» и «секретно»; ст. 20 — органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 — порядок сертификации средств защиты информации, относящейся к государственной тайне);

     Федеральные законы «О лицензировании отдельных  видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной  цифровой подписи» от 10.01.02 № 1-ФЗ, «Об  авторском праве и смежных  правах» от 09.07.93 № 5351-1, «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права — знак © с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).²⁰

     Второй уровень правовой защиты информации

     На  втором уровне правовой охраны информации и защиты (ФЗ о защите информации) – это подзаконные акты: указы  Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и  постановления пленумов ВС РФ.

     Третий  уровень правового обеспечения  системы защиты экономической информации

     К данному уровню обеспечения правовой защиты информации относятся ГОСТы  безопасности информационных технологий и обеспечения безопасности информационных систем.

     Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.

     Четвертый уровень стандарта информационной безопасности

     Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации.²¹

     2.1  Средства, методы и системы защиты информации.

     Защита  информации и информационная безопасность строится на следующих принципах:

     Построение системы информационной безопасности в России, также как и информационной безопасности организации требует к себе системного подхода, который предполагает оптимальную пропорцию между организационных, программных, правовых и физических свойств информационной безопасности РФ, подтвержденной практикой создания средств защиты информации по методам защиты информации, применимых на любом этапе цикла обработки информации системы.

     Непрерывность развития системы управления информационной безопасностью. Для любой концепции информационной безопасности, тем более, если используются методы защиты информации в локальных сетях и компьютерных системах, принцип непрерывного развития является основополагающим, ведь информационная безопасность информации постоянно подвергается все новым и новым с каждым разом еще более изощренным атакам, поэтому обеспечение информационной безопасности организации не может быть разовым актом, и созданная однажды технология защиты информации, будет постоянно совершенствоваться вслед за ростом уровня взломщиков.

     Принцип обеспечения надежности системы  защиты информации и информационная безопасность – это невозможность  снижения уровня надежности системы  во время сбоев, отказов, ошибок и  взломов.

     Обязательно необходимо обеспечить контроль и управление информационной безопасностью, для отслеживания и регулирования механизмов защиты.

     Обеспечение средств борьбы с вредоносным  ПО. Например, всевозможные программы  для защиты информации и система  защиты информации от вирусов.

     Экономическая целесообразность использования системы защиты информации и государственной тайны. Целесообразность построения системы защиты экономической информации заключается в превышении суммы ущерба при взломе системы защиты информации на предприятии над стоимостью разработки средства защиты компьютерной информации, защиты банковской информации и комплексной защиты информации.²²

     Методы  и средства информационной безопасности, защита информации в компьютерных сетях 

     Одним из методов защиты информации является создание физической преграды пути злоумышленникам к защищаемой информации (если она хранится на каких-либо носителях).

     Управление  доступом – эффективный метод  защиты информации, регулирующий использование  ресурсов информационной системы, для  которой разрабатывалась концепция информационной безопасности.

     Методы  и системы защиты информации, опирающиеся  на управление доступом, включают в  себя следующие функции защиты информации в локальных сетях информационных систем:

     Идентификация пользователей, ресурсов и персонала  системы информационной безопасности сети;

     Опознание и установление подлинности пользователя по вводимым учетным данным (на данном принципе работает большинство моделей  информационной безопасности);

     Допуск  к определенным условиям работы согласно регламенту, предписанному каждому отдельному пользователю, что определяется средствами защиты информации и является основой информационной безопасности большинства типовых моделей информационных систем;

     Протоколирование  обращений пользователей к ресурсам, информационная безопасность которых защищает ресурсы от несанкционированного доступа и отслеживает некорректное поведение пользователей системы.²³

     Информационная  безопасность банков и экономическая  информационная безопасность и других систем должна обеспечивать своевременное реагирование на попытки несанкционированного досутпа к данным посредством сигнализации, отказов и задержке в работе.