Информационная безопасность. 23
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«КРАСНОДАРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
КУЛЬТУРЫ И ИСКУССТВ»
КАФЕДРА ВАЛЕОЛОГИИ И БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ
КУРСОВАЯ РАБОТА
по дисциплине:
«БЕЗОПАСНОСТЬ
на тему: «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
Выполнил: студентка 1 курса ОДО
Самсонова Оксана
факультет РСКД, группа РСО-13
Краснодар 2013
Содержание
Введение…………………………………………………………
ГЛАВА 1. ОБЩИЕ ХАРАКТЕРИСТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1 Понятие информационной безопасности…………….…………………….…..
1.2 Основные составляющие информационной
безопасности….................
1.3 Важность и сложность проблемы информационной безопасности………….8
1.4 Основные определения и критерии классификации угроз………………....10
ГЛАВА 2. ИСТОЧНИКИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОСНОВНЫЕ ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.1 Наиболее распространенные угрозы доступности…………………...…….12
2.2 Нормативные документы в области информационной безопасности……....14
2.3 Органы, обеспечивающие информационную безопасность………………...15
2.4 Программно-технические способы
и средства обеспечения информационной
безопасности………………………………………………
2.5 Законодательные акты по защите компьютерной информации…………….17
2.6 Системы обеспечения информационной безопасности данного объекта.….18
2.7 Исторические аспекты возникновения
и развития информационной безопасности………………………………………………
Заключение…….…………………..……………………
Список литературы………………………..……
Введение
Современное Российское законодательство
находится в состоянии
Также идет процесс ревизии фактически утративших силу нормативных актов советского периода. Это актуализирует проблемы, связанные с совершенствованием процесса систематизации действующего в России законодательства, происходящего, как с использованием традиционных видов, так и путем создания новых, компьютерных приёмов, которые максимально полно смогли бы воплотить идею общей систематизации и унификации требований к правовым актам.
Особенностью современного периода - является переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами называют элементы экономического потенциала, которыми располагает общество и которые могут быть использованы для достижения конкретной цели хозяйственной деятельности. Но вот появилось понятие информационные ресурсы, и хотя оно узаконено, то осознано пока ещё недостаточно. Информационные ресурсы - это отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивов, фондах, и т.д.). Информационные ресурсы являются собственностью, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение такой информации - весьма трудоемкий и дорогостоящий процесс. Ценность информации определяется в первую очередь приносимыми доходами.
Целями защиты информации являются: предотвращение разглашения, утечки и несанкционированный доступ к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработки, производстве и применении информационных систем, технологии и средств их обеспечения.
Темой данной курсовой работы является: «Информационная безопасность».
Цель курсовой работы - рассмотреть особенности информационной безопасности в современном мире.
Для достижения данной цели необходимо решение следующих задач:
- ознакомиться с общими
характеристиками
- рассмотреть источники
угроз, основные задачи
Объектом исследования является информация в современном мире. Предметом исследования являются методы и средства защиты информации, а так же борьбы с угрозами информационной безопасности.
ГЛАВА 1. ОБЩИЕ ХАРАКТЕРИСТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1 Понятие информационной безопасности
Под информационной безопасностью
понимается защищенность информации и
поддерживающей ее инфраструктуры от
любых случайных или
В свою очередь защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с
методологической точки зрения подход
к проблемам информационной безопасности
начинается с выявления субъектов
информационных отношений и интересов
этих субъектов, связанных с использованием
информационных систем (ИС). Угрозы информационной
безопасности – это оборотная
сторона использования
Из этого положения можно вывести два важных следствия:
1) Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
2) Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Возвращаясь к вопросам терминологии, что термин «компьютерная безопасность» представляется слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих.
Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал.
1.2 Основные составляющие информационной безопасности
Информационная безопасность
– многогранная, можно даже сказать,
многомерная область
Доступность – это возможность за приемлемое время получить требуемую информационную услугу.
Под целостностью
Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.
Информационные системы
создаются (приобретаются) для получения
определенных информационных услуг. Если
по тем или иным причинам предоставить
эти услуги пользователям становится
невозможно, это, очевидно, наносит
ущерб всем субъектам информационных
отношений. Поэтому, не противопоставляя
доступность остальным
Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы. Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность.
1.3 Важность и сложность
проблемы информационной
Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.
Для иллюстрации этого
положения ограничимся
- В Доктрине информационной безопасности Российской Федерации (здесь, подчеркнем, термин "информационная безопасность" используется в широком смысле) защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.
- По распоряжению президента США Клинтона (от 15 июля 1996 года, номер 13010) была создана Комиссия по защите критически важной инфраструктуры как от физических нападений, так и от атак, предпринятых с помощью информационного оружия. В начале октября 1997 года при подготовке доклада президенту глава вышеупомянутой комиссии Роберт Марш заявил, что в настоящее время ни правительство, ни частный сектор не располагают средствами защиты от компьютерных атак, способных вывести из строя коммуникационные сети и сети энергоснабжения.
- Американский ракетный крейсер "Йорктаун" был вынужден вернуться в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе Windows NT 4.0 (Government Computer News, июль 1998). Таким оказался побочный эффект программы ВМФ США по максимально широкому использованию коммерческого программного обеспечения с целью снижения стоимости военной техники.
- Заместитель начальника управления по экономическим преступлениям Министерства внутренних дел России сообщил, что российские хакеры с 1994 по 1996 год предприняли почти 500 попыток проникновения в компьютерную сеть Центрального банка России. В 1995 году ими было похищено 250 миллиардов рублей (ИТАР-ТАСС, AP, 17 сентября 1996 года).
При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий – области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.
К сожалению, современная
технология программирования не позволяет
создавать безошибочные программы,
что не способствует быстрому развитию
средств обеспечения ИБ. Следует
исходить из того, что необходимо конструировать
надежные системы (информационной безопасности)
с привлечением ненадежных компонентов
(программ). В принципе, это возможно,
но требует соблюдения определенных
архитектурных принципов и
1.4 Основные определения и критерии классификации угроз
Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС. Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.
Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:
1) должно стать известно о средствах использования пробела в защите;
2) должны быть выпущены соответствующие заплаты;
3) заплаты должны быть установлены в защищаемой ИС.
Новые уязвимые места и средства их использования появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - как можно более оперативно.
Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.
Наиболее распространенные угрозы, которым подвержены современные информационные системы. Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Слишком много мифов существует в сфере информационных технологий, поэтому незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.
Само понятие "угроза"
в разных ситуациях зачастую трактуется
по-разному. Например, для подчеркнуто
открытой организации угроз
Угрозы можно классифицировать по нескольким критериям:
1) по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
2) по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
3) по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
4) по расположению источника угроз (внутри/вне рассматриваемой ИС).
ГЛАВА 2. ИСТОЧНИКИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОСНОВНЫЕ ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.1 Наиболее распространенные угрозы доступности
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
Иногда такие ошибки и
являются собственно угрозами (неправильно
введенные данные или ошибка в
программе, вызвавшая крах системы),
иногда они создают уязвимые места,
которыми могут воспользоваться
злоумышленники (таковы обычно ошибки
администрирования). По некоторым данным,
до 65% потерь - следствие непреднамеренных
ошибок. Пожары и наводнения не приносят
столько бед, сколько безграмотность
и небрежность в работе. Очевидно,
самый радикальный способ борьбы
с непреднамеренными ошибками - максимальная
автоматизация и строгий
1) отказ пользователей;
2) внутренний отказ информационной системы;
3) отказ поддерживающей инфраструктуры.
Обычно применительно
к пользователям
1) нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);
2) невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);
3) невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).
Основными источниками внутренних отказов являются:
1) отступление (случайное или умышленное) от установленных правил эксплуатации;
2) выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
3) ошибки при (пере) конфигурировании системы;
4) отказы программного и аппаратного обеспечения;
5) разрушение данных;
6) разрушение или повреждение аппаратуры.
По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
1) нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
2) разрушение или повреждение помещений;
3) невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).
Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред организации - "обидчику", например:
1) испортить оборудование;
2) встроить логическую бомбу, которая со временем разрушит программы и/или данные;
3) удалить данные.
Опасны стихийные бедствия и события, воспринимаемые как стихийные бедствия,- пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный - перебой электропитания) приходится 13% потерь, нанесенных информационным системам.
2.2 Нормативные документы в области информационной безопасности
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
- Акты федерального законодательства:
- Международные договоры РФ;
- Конституция РФ;
- Законы федерального уровня (включая федеральные конституционные законы, кодексы);
- Указы Президента РФ;
- Постановления правительства РФ;
- Нормативные правовые акты федеральных министерств и ведомств;
- Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
К нормативно-методическим документам можно отнести:
- Методические документы государственных органов России:
- Доктрина информационной безопасности РФ;
- Руководящие документы ФСТЭК (Гостехкомиссии России);
- Приказы ФСБ;
- Стандарты информационной безопасности, из которых выделяют:
- Международные стандарты;
- Государственные (национальные) стандарты РФ;
- Рекомендации по стандартизации;
- Методические указания.
2.3 Органы, обеспечивающие информационную безопасность
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
- Комитет Государственной думы по безопасности;
- Совет безопасности России;
- Федеральная служба по техническому и экспортному контролю (ФСТЭК);
- Федеральная служба безопасности Российской Федерации (ФСБ России);
- Министерство внутренних дел Российской Федерации (МВД России);
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);
- Службы, организующие защиту информации на уровне предприятия;
- Служба экономической безопасности;
- Служба безопасности персонала (Режимный отдел);
- Отдел кадров;
- Служба информационной безопасности.
2.4 Программно-технические способы и средства обеспечения информационной безопасности
В литературе предлагается
следующая классификация
Средства защиты от несанкционированного доступа (НСД):
Средства авторизации;
Мандатное управление доступом;
Избирательное управление доступом;
Управление доступом на основе ролей;
Журналирование (так же называется Аудит).
Системы анализа и моделирования информационных потоков (CASE-системы).
Системы мониторинга сетей:
Системы обнаружения и предотвращения вторжений (IDS/IPS).
Системы предотвращения утечек конфиденциальной информации (DLP-системы).
Анализаторы протоколов.
Антивирусные средства.
Межсетевые экраны.
Криптографические средства:
Шифрование;
Цифровая подпись.
Системы резервного копирования.
Системы бесперебойного питания:
Источники бесперебойного питания;
Резервирование нагрузки;
Генераторы напряжения.
Системы аутентификации:
Пароль;
Сертификат;
Биометрия.
Средства предотвращения взлома корпусов и краж оборудования.
Средства контроля доступа в помещения.
Инструментальные средства анализа систем защиты:
Мониторинговый программный продукт.
2.5 Законодательные акты по защите компьютерной информации
Компьютерное право и защита интеллектуальной собственности в России. - Представленные материалы по защите интеллектуальной собственности в области информационных технологий, несомненно, заинтересуют многих разработчиков программного обеспечения. Подборка материалов включает в себя рубрики по информационным технологиям и праву, интеллектуальной собственности в России, преступлениям в сфере компьютерной информации, законы Российской Федерации, международные законодательные акты, источники правовой информации в Интернете и, в частности:
- Международно-правовые акты, регулирующие защиту авторских прав
- Информационное общество и государство
- Информационные технологии и право
- Интернет и право
- Интернет и правовое регулирование
- Преступления в сфере
компьютерной информации - Преступления
в области компьютерной

- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная база финансового менеджмента
- Информационная база формирования бухгалтерской (финансовой) отчетности на примере организации ОАО "Актанышский Мукомольный завод"
- Информационная база, цели и подходы аудита финансовой отчетности
- Информационная база, цели и подходы к проведению аудита финансовой отчетности
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность