Преподаватель который помогает студентам и школьникам в учёбе.

Политика информационной безопасности и принципы ее организации

Содержание:

Введение

Современные темпы развития информационных систем привели к тому, что безопасность и защита информации перестали быть чем-то, представляющим лишь теоретический интерес. Во многих компаниях сотрудникам запрещают пользоваться флешками и им подобными носителями, чтобы предотвратить возможную утечку данных.

Это легко объяснимо, если вспомнить, что в настоящее время информация часто может стоить значительно дороже, чем материальная вещь. Таковы тенденции развития. Неудивительно, что безопасность информации – это необходимость. Особенно это важно для компаний, работающих с цифровыми данными – почтовыми сервисами, хостингом, удаленными банковскими операциями и пр. Именно этим обусловлена актуальность выбранной темы курсовой работы.

Информация, которая подлежит защите, может быть представлена на любых носителях, может храниться, обрабатываться и передаваться различными способами и средствами.

Целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения.

Информационная безопасность - это состояние защищенности информации среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств.

Многочисленные публикации последних лет показывают, что злоупотребления информацией, циркулирующей в ИС или передаваемой по каналам связи, совершенствовались не менее интенсивно, чем меры защиты от них. В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально- этических мер противодействия и т.д.). Комплексный характер защиты проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для них информацию. В этом заключается теоретическая и практическая значимость представленной работы.

Цель курсовой работы – изучить виды и состав угроз информационной безопасности. В связи с поставленной целью в работе определены следующие задачи:

- изучить понятие безопасности информации;

- исследовать угрозы информационной безопасности;

- ознакомиться с информационной безопасностью автоматизированных систем: рассмотреть виды угроз и представить методы профилактики;

- изучить безопасность в сети интернет;

- представить политику информационной безопасности и принципы ее организации.

Структурно курсовая работа состоит из введения, основной части, представленной двумя разделами, заключения и списка использованной литературы.

Теоретические аспекты обеспечения безопасности информации

Понятие безопасности информации

В вышеуказанных областях используется сложный центр безопасности информации, контролирующий множество параметров. Хотя у каждой компании свой собственный подход к реализации безопасности, укажем некоторые основные моменты [11, c. 90]:

- Так как электронные системы требуют бесперебойного снабжения всех ключевых узлов электрической энергией, необходимым условием надежной работы и сохранности данных является наличие резервных линий электропитания. Это могут быть автономные генераторы, аккумуляторные батареи, запасные линии.

- Безопасность информации не может быть достаточной до тех пор, пока в автоматическом режиме не выполняется периодическое резервное копирование важных (или защищаемых) данных на дублирующий носитель.

- Для обеспечения бесперебойной работы всех вычислительных модулей, необходимо решить вопрос с условиями их эксплуатации: температура окружающей среды, пыль и влажность должны находиться в допустимых пределах.

Кроме этих трех пунктов, непременным условием, без которого безопасность информации немыслима, является наличие программных способов защиты. Это комплексные антивирусные системы, управление доступом, использование шифрования SSL.

Так как термин «безопасность информации» слишком обобщенный, в нашей статье пойдет речь о частном случае – защите цифровых данных в компьютере.

Иногда может показаться, что данные на носителе обычного пользователя не представляют особого интереса. Однако обилие кейлогеров, вирусов и прочих вредоносных программ заставляет задуматься о правильности такого убеждения.

Укажем на важнейший элемент любой защитной системы – это соблюдение определенных правил работы с данными в глобальной Сети и на сторонних носителях. А программные средства защиты информации – это надстройка над правилами.

Перечислим их [8, c. 80]:

- Следует избегать посещения подозрительных ресурсов. Обычно искомую информацию можно найти на других сайтах. Некоторые современные браузеры (Dragon, Chrome) предупреждают о попытке посещения страницы с вредоносным кодом. Их возможности можно расширить путем инсталляции дополнения WOT.

- Не следует лишний раз указывать на страницах сайтов свои данные: адрес электронной почты, номер мобильного телефона (никаких подтверждений!), коды доступа и пароли.

- Нельзя открывать письма, отправитель которых неизвестен.

Программная защита должна осуществляться комплексными системами. То есть одного лишь антивируса мало. Допустимо любое из двух решений: установка своеобразного комбайна, вобравшего все основные защитные решения. Это KIS, NOD Security Suite, Dr.Web Space или компоновка вручную. Например, вполне жизнеспособна связка Outpost Firewall + антивирус Avira.

Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации [9, c. 56].

Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки [7, c. 65].

Безопасность информации — состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность [12, c. 87].

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности [12, c. 78]:

Законодательная, нормативно-правовая и научная база.

Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.

Организационно-технические и режимные меры и методы (Политика информационной безопасности).

Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ).

Для построения и эффективной эксплуатации СОИБ необходимо:

выявить требования защиты информации, специфические для данного объекта защиты;

учесть требования национального и международного Законодательства;

использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;

определить подразделения, ответственные за реализацию и поддержку СОИБ;

распределить между подразделениями области ответственности в осуществлении требований СОИБ;

на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;

реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;

реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);

используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Угрозы информационной безопасности

К основным угрозам безопасности информации и нормального функционирования ИС относятся [11, c. 86]:

утечка конфиденциальной информации;

компрометация информации;

несанкционированное использование информационных ресурсов;

ошибочное использование информационных ресурсов;

несанкционированный обмен информацией между абонентами;

отказ от информации;

нарушение информационного обслуживания;

незаконное использование привилегий.

Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организации и их сотрудников. В настоящее время борьба с информационными инфекциями представляет значительные трудности, так как помимо невнимательности руководителей существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых – порча БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Вредоносные программы классифицируются следующим образом [12, c. 87]:

логические бомбы;

троянский конь;

компьютерный вирус;

червь;

захватчик паролей.

Приведенная классификация наиболее опасных вредоносных программ безопасности ИС не охватывает всех возможных угроз этого типа. И так как существует огромное количество угроз, было бы целесообразнее остановить свое внимание на одном из самых распространенных видов вредоносных программ, как компьютерный вирус.

Классификация угроз информационной безопасности содержит два основных типа: угрозы искусственные и естественные.

К последним относятся те виды угроз, которые могут нанести ущерб без влияния человека. Среди них наводнения, молнии, ураганы, пожары и так далее. Среди естественных причин основные угрозы информационной безопасности исходят от пожаров. Датчики возгорания, контроль соблюдения техники противопожарной безопасности, наличие в помещениях, в которых располагаются серверы и архивы с информацией средств для тушения пожара – это важные элементы борьбы за безопасность данных.

Если здание, в котором располагается защищаемая информация, находится рядом с большим водоемом, следует учитывать вероятность наводнения. В таком случае архивы с данными лучше размещать на последних этажах.

Очень серьезной угрозой для целостности материалов могут быть грозы с большим количеством молний. Близкие и мощные разряды вполне способны уничтожить компьютерное оборудование, причем это не только сами машины, но и различная сетевая инфраструктура. Для того чтобы минимизировать подобные потери применяются экранирование и заземления сетевых кабелей, соединяющих технику. Также очень желательно с теми же целями обеспечить всю вычислительную аппаратуру блоками бесперебойного питания.

Если постоянно следить за соблюдением всех перечисленных пунктов, угрозы информационной безопасности со стороны естественных причин будет минимальным.

Но есть и другой вид угроз – искусственные, их подразделяют на преднамеренные и непреднамеренные.

Если возникновение угрозы информационной безопасности предприятия вызвано любопытством персонала, либо проблемы начались из-за неосмотрительности ответственных лиц, такая ситуация считается непреднамеренной. Так бывает, например, когда сотрудник по собственному желанию устанавливает на рабочий компьютер скачанную из ненадежных источников программу. Как правило, неопытные пользователи редко понимают, к чему может привести подобная запрещенная активность.

Если такая программа вызвала нестабильную работу системы или потерю данных, то говорят, что безопасность данных была нарушена по искусственным и непреднамеренным причинам. Если же действия, направленные на создание угрозы информационной безопасности, проводились сознательно, с целью выведения системы из рабочего состояния, такую угрозу считают преднамеренной, она делится на внешнюю и внутреннюю. Наивно будет думать, что крупные убытки возможны только при атаке хакеров извне. Действия сотрудника, внедренного конкурирующей компанией, либо недовольного своей зарплатой, могут нанести не меньше, а то и больше вреда.

Системы, подключенные к сети Интернет для защиты от хакерских атак, должны быть оборудованы межсетевым экраном в софтверном, либо аппаратном исполнении. Если вы дорожите своей информацией и не хотите ее потерять из-за угроз, которые можно было предусмотреть заранее, обязательно следуйте перечисленным правилам.

Существует три различных подхода в определении угроз, которые включают в себя следующее:

1. угроза рассматривается как потенциально существующая ситуация (возможность, опасность) нарушения безопасности информации, при этом безопасность информации означает, что информация находится в таком защищённом виде, который способен противостоять любым дестабилизирующим воздействиям;

2. угроза трактуется как явление (событие, случай или возможность их возникновения), следствием которых могут быть нежелательные воздействия на информацию;

3. угроза определяется как реальные или потенциально возможные действия, или условия, приводящие к той или другой форме проявления уязвимости информации.

Основные типы угроз информационной безопасности [11, c. 88]:

1. Угрозы конфиденциальности – несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).

2. Угрозы целостности – несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств). 3. Угрозы доступности – ограничение или блокирование доступа к данным (например, невозможность подключится к серверу с базой данных в результате DDoS-атаки).

Источники угроз:

1. Внутренние:

а) ошибки пользователей и сисадминов;

б) ошибки в работе ПО;

в) сбои в работе компьютерного оборудования;

г) нарушение сотрудниками компании регламентов по работе с информацией.

2. Внешние угрозы:

а) несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т.п.);

б) компьютерные вирусы и иные вредоносные программы;

в) стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной информацией).

Любая угроза не сводится к чему-то однозначному, она состоит из определённых взаимосвязанных компонентов, каждый из которых сам по себе не составляет угрозу, но является её частью. Сама угроза возникает лишь при совокупном их взаимодействии.

Выводы: Информационная безопасность — состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.

Методы и способы обеспечения информационной безопасности

Информационная безопасность автоматизированных систем: виды угроз и методы профилактики

Увеличивается потребность в качественной продукции, вместе с ней растет число рутинных работ и обязанностей. Именно с ними призваны справляться автоматизированные системы. Они контролируют изготовление какой-либо продукции или определенные процессы. При этом результат всегда идентичен эталону. Подобными системами оснащены промышленные и финансовые предприятия, они контролируют практически все процессы, требующие автоматизации. Разумеется, через эти системы проходит масса важной информации, которую необходимо защитить. Информационная безопасность автоматизированных систем – главная проблема крупных предприятий.

Угрозы, которым подвержены информационные системы, имеют свою классификацию. Чаще всего целью кибер-атак становятся конфиденциальные данные, например, реквизиты финансовых предприятий. Проходя по локальным сетям, эта информация становится уязвимой, однако, ее извлечение доступно только высококлассным специалистам. Имеет свое слабое место и аппаратно-программная часть системы. Информационная безопасность компании не будет соблюдена, если злоумышленник уничтожит нужную программу, добавит в нее лишний элемент или изменит порядок, в котором расположены важные данные. Угрозе подвержены и сведения, доступные только определенному человеку или процессу.

Вышеперечисленные проблемы могут возникнуть в нескольких случаях. Иногда их порождают такие естественные факторы, как наводнение, пожар, ураган и прочие природные катаклизмы. Порой виноваты сбои, возникающие в системе, при которых теряются данные. Однако наиболее часто проблемы информационной безопасности возникают по вине человека. Такие угрозы бывают пассивными или активными. Если человек навредил системе неумышленно, например, ошибся при программировании, то проблема считается пассивной. Активной угроза становится, когда вред наносится умышленно, к примеру, похищается или уничтожается уникальная информация. Как правило, такие действия совершаются ради денег. Нанести вред системе человек может и дистанционно, внедрив в нее вредоносную программу (скрипт, код и пр.).

Как же сохраняется информационная безопасность автоматизированных систем. Существует несколько методов по защите сведений. Самым распространенным стал метод создания препятствий, когда путь злоумышленнику преграждает комплекс паролей или «охранная» программа. Обезопасить систему можно, управляя доступом в нее. Такое управление состоит из [9, c. 54]:

идентификации ресурсов, персонала и пользователей;

проверки на подлинность объекта или человека (соответствие установленному образцу или регламенту);

регистрации всех обращений к защищенным ресурсам;

ответной реакции на попытки каких-либо незаконных действий или несанкционированного проникновения в систему.

Информационная безопасность автоматизированных систем обеспечивается еще несколькими методами – маскировкой, регламентацией, принуждением и побуждением. Все эти методы делают подобного рода системы практически неуязвимыми для кибер-пиратов, что положительно влияет на их работу.

Безопасность в сети интернет

Безопасность в интернете – очень важная проблема нынешнего времени. И касается она всех, от детей до пенсионеров. Она становится все актуальнее в связи с массовым приходом в интернет пользователей, почти, а то и совсем, не подготовленных к угрозам, их поджидающим. Поэтому данная статья и буде посвящена такому вопросу, как безопасность в сети интернет. Ведь страдает не один пользователь, а и многие другие, объединенные в одну глобальную структуру.

Если сказать кратко, то существуют две основные возможности того, как может ваш компьютер стать жертвой. Первое – вы сами, странствуя по различным сайтам или устанавливая программное обеспечение с непроверенных источников, а иногда и с проверенных, заражаете свой компьютер. Второе – возможна также ситуация, когда злоумышленники преднамеренно, с помощью, например, троянских программ или вирусов, делают ваше устройство источником опасности.

В результате всего этого компьютер, иногда даже тайно от своего владельца, начинает выполнять рассылку спама, участвует в DDoS-атаках на различные сайты, крадет пароли. Бывает и так, что провайдер вынужден принудительно отключить такое устройство от глобальной сети. Получается, что если пользователь не осведомлен о том, что представляют собой основы безопасности в сети интернет, придется ему тяжело.

Зря обычный пользователь думает, что его компьютер никому не нужен. Это раньше хакеры часто писали вирусы просто ради интереса, сейчас же это делается почти всегда с коммерческой выгодой. Лет 20 тому назад злоумышленник получал удовольствие от того, что мог просто отформатировать жесткий диск. Или сделать так, что при включении компьютера вместо стандартного рабочего стола появятся какие-либо прикольные картинки. Сейчас же они делают все возможное, чтобы владелец ПК как можно дольше не знал о том, что его устройство заражено и втайне от него выполняет дополнительные функции.

Для чего все это делается. Кроме того, о чем было сказано выше, хакеры стараются получить доступ к вашим электронным почтам, кошелькам, аккаунтам в социальных сетях, форумах. Хакеры могут объединить множество зараженных компьютеров в единую мощную сеть, провести DDoS-атаку даже на мощные государственные серверы. Из самого простого, но также приносящего деньги: заблокируют работу операционной системы и потребуют деньги за устранение проблемы. И, кстати, деньги возьмут, но компьютер оставят заблокированным. Так что безопасность в сети интернет должна стать основой вашей работы в ней. Как злоумышленники проникают в компьютер.

Для того чтобы взломать защиту ПК, даже если она есть, хакеры применяют целый ряд способов, и пользователи зря думают, что, просто установив антивирус, они избавились от опасности, например, подцепить вредоносную программу. Поэтому, прежде чем искать информацию о том, как правильно соблюдать безопасность в сети интернет, нужно понять, а откуда берутся вирусы и трояны. Перечислим основные пути их проникновения и методы воровства различной информации.

Стоит отдавать предпочтение платным версиям. Так как Opera и Internet Explorer – самые распространенные браузеры, для них и вирусов существует более всего. Необходимо использовать альтернативные варианты: Apple Safari, Google Chrome и Mozilla Firefox. Не стоит пользоваться нелицензионным программным обеспечением, так как в нем изначально может быть установлено шпионское ПО. Если есть необходимость сделать покупки в онлайн-магазинах, то нужно пользоваться только проверенными вариантами. Это же относится и к любому иному онлайн-сервису. Нужно выполнять все эти требования, и тогда безопасность в сети интернет будет более-менее гарантирована.

В связи с развитием современных технологий все большее количество детей получает возможность выхода в интернет. И если раньше они в основном играли в игры, даже не выходя в сеть, то теперь все совсем по-другому, да вы и сами все знаете. Поэтому появилась новая задача – обеспечить безопасность детей в сети интернет. Это достаточно сложно, так как Всемирная паутина изначально развивается полностью бесконтрольно.

В ней есть очень много информации, доступа к которой у детей быть не должно. Ко всему прочему, их нужно научить, как не "наловить" вирусов и троянов. Кто же им поможет с этим, как не взрослые. К тому же очень важна и информационная безопасность в сети интернет, так как дети – совсем неискушенные пользователи. Они легко могут попасться на удочку опытного мошенника или злоумышленника.

Как научить детей правильно пользоваться интернетом.

Самый первый совет заключается в том, что первые сеансы в сети ребенок должен проводить с кем-нибудь из взрослых. Желательно пользоваться такими программами, как "Родительский контроль", чтобы контролировать все действия детей в интернете. Нужно ограничивать самостоятельное использование почты и чатов, ведь это может быть даже опасно.

Политика информационной безопасности и принципы ее организации

В современном мире понятие «политика информационной безопасности» может трактоваться как в широком, так и в узком смысле. Что касается первого, более широкого значения, она обозначает комплексную систему решений, которые приняты некоей организацией, документированы официально и направлены на обеспечение безопасности предприятия. В узком понимании под этим понятием кроется документ местного значения, в котором оговорены требования безопасности, система проводимых мер, ответственность сотрудников и механизм контроля.

Комплексная политика информационной безопасности является гарантией стабильного функционирования любой компании. Всесторонность ее заключается в продуманности и сбалансированности степени защиты, а также разработке правильных мер и системы контроля в случае каких-либо нарушений.

Все организационные методы играют важную роль в создании надежной схемы защиты информации, потому что незаконное использование информации является результатом злоумышленных действий, небрежности персонала, а не технических неполадок. Для достижения хорошего результата нужно комплексное взаимодействие организационно-правовых и технических мер, которые должны исключать все несанкционированные проникновения в систему.

Информационная безопасность – это гарантия спокойной работы компании и ее стабильного развития. Однако в основе построения качественной системы защиты должны лежать ответы на такие вопросы [1, c. 87]:

Какова система данных и какая степень серьезности защиты потребуется?

Кто в состоянии нанести урон компании при помощи нарушения функционирования информационной системы и кто может воспользоваться полученными сведениями?

Как можно свести подобный риск до минимума, не нарушая при этом слаженную работу организации?

Концепция информационной безопасности, таким образом, должна разрабатываться персонально для конкретного предприятия и согласно его интересам. Основную роль в ее качественных характеристиках играют организационные мероприятия, к которым можно отнести:

Организацию налаженной системы пропускного режима. Это делается с целью исключения тайного и несанкционированного проникновения на территорию компании посторонних лиц, а также контроль над пребыванием персонала организации в помещении и временем его ухода.

Работа с сотрудниками. Суть ее состоит в организации взаимодействия с персоналом, подборе кадров. Еще важно ознакомление с ними, подготовка и обучение правилам работы с информацией, чтобы сотрудники знали рамки ее секретности.

Политика информационной безопасности предусматривает также структурированное использование технических средств, направленных на накопление, сбор и хранение информации повышенной конфиденциальности.

Проведение работ, направленных на контроль над персоналом с точки зрения использования им секретной информации и разработке мер, которые должны обеспечивать ее защиту.

Затраты на проведение такой политики не должны превышать величину потенциального ущерба, который будет получен в результате ее утраты.

Политика информационной безопасности должна уделять значительное внимание обработке информации автоматизированными системами: независимо работающими компьютерами и локальными сетями. Следует правильно определить необходимую степень защиты серверов, шлюзов, а также правила использования сменных носителей информации.

Политика информационной безопасности и ее эффективность во многом зависит от количества предъявленных к ней требований со стороны компании, которые позволяют уменьшить степень риска до нужной величины.

Методы обеспечения безопасности информации в ИС [7, c. 43]:

Препятствие - физическое преграждение пути злоумышленнику к защищаемой информации (например, коммерчески важная информация хранится на сервере внутри здания компании, доступ в которое имеют только ее сотрудники).

Управление доступом – регулирование использования информации и доступа к ней за счет системы идентификации пользователей, их опознавания, проверки полномочий и т.д. (например, когда доступ в отдел или на этаж с компьютерами, на которых хранится секретная информация, возможен только по специальной карточке-пропуску. Или когда каждому сотруднику выдается персональный логин и пароль для доступа к базе данных предприятия с разными уровнями привилегий).

Криптография – шифрование информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи).

Противодействие атакам вредоносных программ (англ. «malware») – предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т.д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т.п.).

Регламентация – создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т.д.).

Принуждение – установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью (штрафы, закон «О коммерческой тайне» и т.п.).

Побуждение – призыв к персоналу не нарушать установленные порядки по работе с информацией, т.к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).

Средства защиты информации:

Технические (аппаратные) средства – сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, электронные ключи и т.д.

Программные средства – программы-шифровальщики данных, антивирусы, системы аутентификации пользователей и т.п.

Смешанные средства – комбинация аппаратных и программных средств.

Организационные средства – правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

Выводы: Защита информационных ресурсов предприятия включает деятельность руководства, должностных лиц и структурных подразделений предприятия по принятию правовых, организационных и технических мер, направленных на [11, c. 76]:

- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

- соблюдение конфиденциальности информации ограниченного доступа; - реализацию права на доступ к информации.

Таким образом, обеспечение информационной безопасности есть совокупность деятельности по недопущению вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой, и субъектов, а также средств этой деятельности.

Деятельность по обеспечению информационной безопасности — комплекс планируемых и проводимых в целях защиты информационных ресурсов мероприятий, направленных на ликвидацию угроз информационной безопасности и минимизацию возможного ущерба, который может быть нанесен объекту безопасности вследствие их реализации.

Под субъектами обеспечения информационной безопасности понимаются государственные органы, предприятия, должностные лица, структурные подразделения, принимающие непосредственное участие в организации и проведении мероприятий по обеспечению информационной безопасности. Средства осуществления деятельности по обеспечению информационной безопасности — это системы, объекты, способы, методы и механизмы, предназначенные для непосредственного решения задач обеспечения информационной безопасности.

Заключение

Угрозы защищаемой информации связаны с её уязвимостью, то есть неспособностью информации самостоятельно противостоять дестабилизирующим воздействиям, нарушающим её статус. А нарушение статуса защищаемой информации состоит в нарушении её физической сохранности, логической структуры и содержания, доступности для правомочных пользователей, конфиденциальности (закрытости для посторонних лиц), и выражается по средствам реализации шести форм проявления уязвимости информации.

Прежде всего угроза должна иметь какие-то сущностные проявления, а любое проявление принято называть явлением, следовательно, одним из признаков и вместе с тем одной из составляющих угроз должно быть явление.

В основе любого явления лежат составляющие причины, которые являются его движущей силой и которые в свою очередь обусловлены определёнными обстоятельствами или предпосылками. Эти причины и обстоятельства относятся к факторам, создающим возможность дестабилизирующего воздействия на информацию. Таким образом, факторы являются её одним признаком и составляющей угрозы.

Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты. Одной из основных задач защиты информации является организация эффективной антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных сетей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.

Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.

Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.

Использование высокоэффективных информационных систем является обязательным условием успешной деятельности современных организаций и предприятий. Безопасность информации — это один из основных показателей качества информационной системы. Поданным статистики, наиболее успешными методами реализации угроз безопасности информации в автоматизированных системах являются вирусные атаки. На их долю приходится около 57% инцидентов с безопасностью информации и около 60% реализованных угроз из числа зафиксированных и попавших в статистические обзоры.

Список использованной литературы

Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2016. - 136 c.
Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2015. - 474 c.
Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2015. - 324 c.
Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2015. - 384 c.
Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография. / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ, 2015. - 239 c.
Запечников, С.В. Информационная безопасность открытых систем. Том 2. Средства защиты в сетях: Учебник для вузов. / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. - М.: ГЛТ , 2016. - 558 c.
Конотопов, М.В. Информационная безопасность. Лабораторный практикум / М.В. Конотопов. - М.: КноРус, 2016. - 136 c.
Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации / А.А. Малюк. - М.: ГЛТ, 2014. - 280 c.
Мельников, Д.А. Информационная безопасность открытых систем: учебник / Д.А. Мельников. - М.: Флинта, 2015. - 448 c.
Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2015. - 432 c.
Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2015. - 296 c.
Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2016. - 277 c.
Чипига, А.Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. - М.: Гелиос АРВ, 2016. - 336 c.
Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2016. - 416 c.
Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2015. - 544 c.