Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

контролья БЖД.doc

Скачиваний:

Добавлен:

29.07.2019

Размер:

83.46 Кб

Скачать

☆

<<< < Предыдущая 12 / 22

1. Информационная безопасность.

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Информационная безопасность организации - состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие.

В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

- Конфиденциальность - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;

-Целостность - избежание несанкционированной модификации информации;

-Доступность - избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

-неотказуемость или апеллируемость

-подотчётность

-достоверность

-аутентичность или подлинность

Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий:

1. Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий.

2. «Электронные» методы воздействия, осуществляемые хакерами. Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся: несанкционированное проникновение в компьютерные сети; DOS_атаки.

Целью несанкционированного проникновения извне может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры, кража средств со счетов и т.п.

Атака типа DOS (сокр. от Denial of Service - «отказ в обслуживании») это внешняя атака на узлы, компьютерные вирусы, спам, «естественные» угрозы и многое другое.

3. К методам и способам защиты информации в информационных системах относятся:

1) методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от несанкционированного доступа);

2)методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от утечки по техническим каналам).

Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с "Порядком" проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г., регистрационный N 11462).

Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных.

3.1. Методы и способы защиты информации от несанкционированного доступа

Методами и способами защиты информации от несанкционированного доступа являются:

1)реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

2)ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

3)разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

4)регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

5)учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

6)резервирование технических средств, дублирование массивов и носителей информации;

7)использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

8)использование защищенных каналов связи;

9)размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

10)организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

11)предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.

При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными выше, основными методами и способами защиты информации от несанкционированного доступа являются:

1)межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;

2)обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

3)анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);

4)защита информации при ее передаче по каналам связи;

5)использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;

6)использование средств антивирусной защиты;

7)централизованное управление системой защиты персональных данных информационной системы.

Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно-телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с "Указом" Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919).

Для обеспечения безопасности персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации помимо методов и способов, указанных ранее, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:

1)фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);

2)периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;

3)активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;

4)анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов.

Для реализации указанных методов и способов защиты информации могут применяться межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации.

Для обеспечения безопасности персональных данных при удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных ранее, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:

1)проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных;

2)управление доступом к защищаемым персональным данным информационной сети;

3)использование атрибутов безопасности.

Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных ранее, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:

1)создание канала связи, обеспечивающего защиту передаваемой информации;

2)осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.

Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных ранее, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:

1)создание канала связи, обеспечивающего защиту передаваемой информации;

2)аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;

3)обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;

4)обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.

Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов.

Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.

Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

В зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных.

3.2. Методы и способы защиты информации от утечки по техническим каналам.

Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществляется в случаях, когда при определении угроз безопасности персональных данных и формировании модели угроз применительно к информационной системе являются актуальными угрозы утечки акустической речевой информации, угрозы утечки видовой информации и угрозы утечки информации по каналам побочных электромагнитных излучений и наводок, определенные на основе методических документов, утвержденных в соответствии с "пунктом 2" Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.

Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в информационных системах 1 класса могут применяться следующие методы и способы защиты информации:

1)использование технических средств в защищенном исполнении;

2)использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

3)размещение объектов защиты в соответствии с предписанием на эксплуатацию;

4)размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;

5)обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

6)обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.

В информационных системах 2 класса для обработки информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники.

При применении в информационных системах функции голосового ввода персональных данных в информационную систему или функции воспроизведения информации акустическими средствами информационных систем для информационной системы 1 класса реализуются методы и способы защиты акустической (речевой) информации.

Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при голосовом вводе персональных данных в информационной системе или воспроизведении информации акустическими средствами.

Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки персональных данных в информационной системе.

Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.

ЗАКЛЮЧЕНИЕ

Проблема защиты информации появилась задолго до разработки компьютерной техники, а появление ЭВМ лишь перевело ее на новый уровень. И как показывает практика: лучшая защита от нападения это не допускать его. Нельзя защиту информации ограничивать только техническими методами. Основной недостаток защиты - это человеческий фактор и поэтому надежность системы безопасности зависит от отношения к ней.

Для поддержания защиты на высоком уровне необходимо постоянно совершенствоваться вместе с развитием современной техники и технологий, так сказать двигаться в ногу со временем. Процесс информатизации затронул практически все стороны жизни общества. Информатизация является характерной чертой жизни современного общества. Она пропитывает все направления человеческой деятельности. С появлением новых информационных технологий информация становится необходимым атрибутом обеспечения деятельности государств, юридических лиц, общественных объединений и граждан. От качества и достоверности информации, от её оперативности получения зависят многие решения, принимаемые на самых разных уровнях - от глав государств до рядового гражданина.

Обеспечение информационной безопасности - комплексная задача, потому что сама информационная среда есть сложный и многоплановый механизм, где могут присутствовать такие компоненты, как персонал, электронное оборудование, программное обеспечение и т. д.

Использованная литература:

1. Приложение к Приказу ФСТЭК России от 5 февраля 2010 г. N 58 ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

2. Зарегистрировано в Минюсте РФ 19 февраля 2010 г. N 16456

3. Виноградова Л., Виноградов К. Защита информации: квантовая

криптография// PC World Ukraine. – 2004.

4. Громов В.И., Васильев Г.А. Энциклопедия безопасности. – М.: NT Press. –

2007.

5. Мельников В. Защита информации в компьютерных системах. М.: Финансы и статистика, Электронинформ, 1997 г

6. Лопатин, В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. М.: 2000.

<<< < Предыдущая 12 / 22

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
18.05.2015594.94 Кб75Контрольная работа.doc
#
05.05.201954.6 Кб5КОНТРОЛЬНАЯ РАБОТА_2012.docx
#
19.03.201636.35 Кб17Контрольные система СМИ.doc
#
15.09.201927.29 Кб5контрольные вопросы.кр1.docx
#
18.05.2015157.18 Кб9контрольные по ит в менджменте.doc
#
29.07.201983.46 Кб4контролья БЖД.doc
#
19.03.201618.31 Mб39Концепции современного естествознания-ШИЦ.doc
#
15.07.20192.83 Mб1КООРДИНАЦИЯ И РЕГУЛЯЦИЯ.doc
#
15.07.2019539.65 Кб5корданные передачи.doc
#
18.05.2015535.46 Кб116КП Кивель.docx
#
18.05.20154.04 Mб570КП РБ Василевич.pdf