- •1. Понятие информационной безопасности и защиты информации.
- •2. Уровни защиты информации (законодательный, административный, процедурный, программно-технический).
- •3. Защита персональных данных (пДн)
- •4. Охрана интеллектуальной собственности.
- •10. Компьютерные преступления
- •11. Угрозы информационной безопасности.
- •12. Правовое обеспечение информационной безопасности.
- •13. Обеспечение доступа к эвм: идентификация и аутентификация.
1. Понятие информационной безопасности и защиты информации.
Информационная безопасность (ИБ) – это защищенность информации, информационных ресурсов и инфраструктуры от случайных или преднамеренных воздействий, способных нанести ущерб владельцу или пользователю.
Защита информации (ЗИ) – это комплекс организационно-технических мероприятий, направленных на обеспечение информационной безопасности (ИБ).
На практике под этим понимается поддержание целостности, доступности и конфиденциальности вводимой, обрабатываемой, хранимой и передаваемой информации.
Целостность – защита от несанкционированного изменения информации и ресурсов;
Доступность – защита от несанкционированного блокирования доступа к информации и ресурсам;
Конфиденциальность – защита от несанкционированного получения информации.
2. Уровни защиты информации (законодательный, административный, процедурный, программно-технический).
В зависимости от того, какие меры принимаются для обеспечения информационной безопасности, выделяют следующие уровни защиты информации:
законодательный;
административный;
процедурный;
программно-технический.
Законодательный уровень
К данному уровню относят весь комплекс мер, направленных на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям информационной безопасности.
Основным на законодательном уровне является обеспечение того, чтобы процесс разработки согласовывался с развитием информационных технологий.
Необходимо, чтобы законы не слишком сильно отставали от жизни.
Одним из недостатков современного российского законодательства является слабая позитивная направленность (поощрительных информационно-правовых норм значительно меньше, чем карательных).
Ещё одна задача, которая должна решаться на законодательном уровне ЗИ, – это приведение российских стандартов в соответствие с международным уровнем информационной безопасности
Административный уровень
Меры административного уровня принимаются руководством конкретной организации.
Основной из таких мер является создание политики безопасности.
Политика безопасности – это совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности определяет стратегию организации в области информационной безопасности и строится на основе анализа рисков, которые признаются реальными для информационной системы организации.
После анализа рисков и определения стратегии защиты информации составляется программа по реализации обеспечения информационной безопасности.
Под данную программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Особенности политики безопасности организации зависят от особенностей данной организации, поэтому при её составлении необходимо опираться не только на основные принципы разработки политики безопасности, но и на готовые шаблоны для наиболее важных разновидностей организаций.
Процедурный уровень
К процедурному уровню относятся меры безопасности, реализуемые людьми.
Можно выделить следующие группы процедурных мер:
управление персоналом;
физическая защита информации;
поддержание работоспособности оборудования;
реагирование на нарушения режима безопасности;
планирование восстановительных работ.
Для каждой группы в каждой организации должен существовать набор регламентов, определяющих действия персонала.
Исполнение этих регламентов следует отработать на практике.
Программно-технический уровень
Данный уровень представляет собой комплекс программно-технических мероприятий, направленных на обеспечение информационной безопасности.
Примеры подобных мероприятий:
идентификация и проверка подлинности пользователей (см. вопрос 14);
управление доступом;
протоколирование и аудит;
криптография;
экранирование;
обеспечение высокой доступности (то есть, принятие всевозможных мер для того, чтобы запрашиваемая пользователями была доступна, чтобы всякого рода проблемы с оборудованием не препятствовали этому).
Протоколирование – сбор и накопление информации о событиях, происходящих в информационной системе (кто и когда пытался входить в систему, чем завершилась попытка входа, какая информация как и кем изменялась и т.д.).
Аудит – это анализ накопленной информации, проводимый практически в реальном времени, или периодически.
Протоколирование и аудит проводятся с целью обеспечения возможности восстановления последовательности событий, обнаружения попыток нарушения информационной безопасности и предоставления информации для выявления и анализа проблем.
Криптография – наука о том, как обеспечить секретность сообщения.
Криптоанализ – это наука о том, как вскрыть зашифрованное сообщение, не зная ключа.
В процессе экранирования могут осуществляться следующие типы защиты информации:
блокировка нежелательного трафика (трафик в данном случае – это информация, передаваемая по компьютерной сети);
направление входящего трафика (то есть, пришедшей из сети информации) только к надежным внутренним системам;
скрытие уязвимых систем, которые нельзя обезопасить от атак из Интернета другим способом;
протоколирование трафика;
обеспечение более надежной аутентификации, чем та, которую представляют стандартные приложения (об аутентификации см. вопрос 14).