Информационная безопасность предприятия — это защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.
Файлы: 1 файл
Информационная безопасность предприятия — это защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.
Целью обеспечения информационной безопасности предприятий является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются.
Информационная безопасность. Основы информационной безопасности.
1. Теоретические основы защиты информации на предприятии
1.1 Сущность и задачи защиты информации на предприятии
Обеспечение информационной безопасности является одним из необходимых аспектов ведения бизнеса в условиях рыночной экономики.
В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.
Рассматривая информацию как товар, можно сказать, что информационная безопасность в целом может привести к значительной экономии средств, в то время как ущерб, нанесенный ей, приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и как следствие нарушения информационной безопасности, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления.
Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.
На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:
- целостность данных – защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;
- конфиденциальность информации;
- доступность информации для всех авторизованных пользователей.
Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации, циркулирующей в компьютерных системах, от несанкционированного доступа.
Какие профессии есть в сфере информационной безопасности
Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних нарушителей, так и со стороны внутренних нарушителей.
В области защиты информации и компьютерной безопасности в целом наиболее актуальными являются три группы проблем 1 :
- нарушение конфиденциальности информации;
- нарушение целостности информации;
- нарушение работоспособности информационно-вычислительных систем.
Защита информации превращается в важнейшую проблему государственной безопасности, когда речь идет о государственной, дипломатической, военной, промышленной, медицинской, финансовой и другой доверительной, секретной информации. Огромные массивы такой информации хранятся в электронных архивах, обрабатываются в информационных системах и передаются по телекоммуникационным сетям. Основные свойства этой информации — конфиденциальность и целостность, должны поддерживаться законодательно, юридически, а также организационными, техническими и программными методами.
Конфиденциальность информации (от лат. confidentia — доверие) предполагает введение определенных ограничений на круг лиц, имеющих доступ к данной информации. Степень конфиденциальности выражается некоторой установленной характеристикой (особая важность, совершенно секретно, секретно, для служебного пользования, не для печати и т.п.), которая субъективно определяется владельцем информации в зависимости от содержания сведений, которые не подлежат огласке, предназначены ограниченному кругу лиц, являются секретом. Естественно, установленная степень конфиденциальности информации должна сохраняться при ее обработке в информационных системах и при передаче по телекоммуникационным сетям.
Другим важным свойством информации является ее целостность (integrty). Информация целостна, если она в любой момент времени правильно (адекватно) отражает свою предметную область. Целостность информации в информационных системах обеспечивается своевременным вводом в нее достоверной (верной) информации, подтверждением истинности информации, защитой от искажений и разрушения (стирания).
Несанкционированный доступ к информации лиц, не допущенных к ней, умышленные или неумышленные ошибки операторов, пользователей или программ, неверные изменения информации вследствие сбоев оборудования приводят к нарушению этих важнейших свойств информации и делают ее непригодной и даже опасной. Ее использование может привести к материальному и/или моральному ущербу, поэтому создание системы защиты информации, становится актуальной задачей. Под безопасностью информации понимают защищенность информации от нежелательного ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.
Безопасность информации в информационной системе или телекоммуникационной сети обеспечивается способностью этой системы сохранять конфиденциальность информации при ее вводе, выводе, передаче, обработке и хранении, а также противостоять ее разрушению, хищению или искажению. Безопасность информации обеспечивается путем организации допуска к ней, защиты ее от перехвата, искажения и введения ложной информации. С этой целью применяются физические, технические, аппаратные, программно-аппаратные и программные средства защиты. Последние занимают центральное место в системе обеспечения безопасности информации в информационных системах и телекоммуникационных сетях.
Задачи обеспечения безопасности 2 :
— защита информации в каналах связи и базах данных криптографическими методами;
— подтверждение подлинности объектов данных и пользователей (аутентификация сторон, устанавливающих связь);
— обнаружение нарушений целостности объектов данных;
— обеспечение защиты технических средств и помещений, в которых ведется обработка конфиденциальной информации, от утечки по побочным каналам и от возможно внедренных в них электронных устройств съема информации;
— обеспечение защиты программных продуктов и средств вычислительной техники от внедрения в них программных вирусов и закладок;
— защита от несанкционированных действий по каналу связи от лиц, не допущенных к средствам шифрования, но преследующих цели компрометации секретной информации и дезорганизации работы абонентских пунктов;
— организационно-технические мероприятия, направленные на обеспечение сохранности конфиденциальных данных.
1.2 Меры и методы защиты информации
Для обеспечения безопасности информации в офисных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации». Система защиты информации – это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.
Традиционные меры для противодействия утечкам информации подразделяются на технические и организационные 3 .
К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.
К организационным мерам можно отнести охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).
Несанкционированный доступ к информации может происходить во время профилактики или ремонта компьютеров за счет прочтения остаточной информации на носителях, несмотря на ее удаление пользователем обычными методами. Другой способ – прочтение информации с носителя во время его транспортировки без охраны внутри объекта или региона.
Современные компьютерные средства построены на интегральных схемах. При работе таких схем происходят высокочастотные изменения уровней напряжения и токов, что приводит к возникновению в цепях питания, в эфире, в близрасположенной аппаратуре и т.п. электромагнитных полей и наводок, которые с помощью специальных средств можно трансформировать в обрабатываемую информацию. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность такого рода съема и расшифровки информации увеличивается.
Несанкционированное ознакомление с информацией возможно также путем непосредственного подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.
Традиционными методами защиты информации от несанкционированного доступа являются идентификация и аутентификация, защита паролями. 4
Идентификация и аутентификация. В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основе построения таких систем находится принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.
Ключевыми понятиями в этой системе являются идентификация и аутентификация. Идентификация – это присвоение какому-либо объекту или субъекту уникального имени или образа. Аутентификация – это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.
Конечная цель процедур идентификации и аутентификации объекта (субъекта) – допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.
Объектами идентификации и аутентификации могут быть: люди (пользователи, операторы и др.); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные носители информации; информация на экране монитора и др.
Установление подлинности объекта может производиться аппаратным устройством, программой, человеком и т.д.
Защита паролями. Пароль – это совокупность символов, определяющая объект (субъекта). При выборе пароля возникают вопросы о его размере, стойкости к несанкционированному подбору, способам его применения. Естественно, чем больше длина пароля, тем большую безопасность будет обеспечивать система, ибо потребуются большие усилия для его отгадывания. При этом выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базой и быстродействием.
В случае применения пароля необходимо периодически заменять его на новый, чтобы снизить вероятность его перехвата путем прямого хищения носителя, снятия его копии и даже физического принуждения человека. Пароль вводится пользователем в начале взаимодействия с компьютерной системой, иногда и в конце сеанса (в особо ответственных случаях пароль нормального выхода может отличаться от входного). Для правомочности пользователя может предусматриваться ввод пароля через определенные промежутки времени.
Источник: www.yaneuch.ru
Обеспечение информационной безопасности в компьютерных сетях
Обеспечение информационной безопасности является одним из необходимых аспектов ведения бизнеса в условиях агрессивной рыночной экономики.
В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.
Рассматривая информацию как товар, можно сказать, что обеспечение информационной безопасности в целом может привести к значительной экономии средств, в то время как ущерб, нанесенный ей, приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и как следствие нарушения информационной безопасности, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления.
Согласно ГОСТ Р 50922-2006, обеспечение информационной безопасности — это деятельность, направленная на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для предприятий, так и для госучреждений. С целью всесторонней защиты информационных ресурсов и осуществляются работы по построению и разработке систем информационной безопасности.
Список типовых решений по проектированию и разработке систем информационной безопасности:
· Защита периметра информационной системы
· Защищенный удаленный доступ к информационным ресурсам
· Защищенный доступ в Интернет
· Защищенный информационный портал
· Автоматизированные системы в защищенном исполнении
· Защита от действий инсайдера
· Защита персональных данных
· Защита от вредоносного мобильного кода
· Высокопроизводительные системы защиты каналов (VPN)
· Системы анализа защищенности информационных ресурсов
Проектирование и разработка систем информационной безопасности – это всегда индивидуальные решения, основанные на специфике бизнеса заказчика, поэтому информационная безопасность может быть обеспечена множеством способов, и, вполне вероятно, что конкретное обеспечение информационной безопасности не попадет в список типовых решений.
Обеспечение информационной безопасности и проектирование системы по защите информации, как правило, начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Это обусловлено тем, что для разных категорий субъектов характер задач по обеспечению информационной безопасности может существенно различаться. Например, задачи, решаемые администратором информационной системы в государственной организации или администратором локальной сети в частной компании, в значительной степени отличаются от задач, решаемых пользователем на домашнем компьютере. Обеспечение информационной безопасности для каждого из этих случаев будет строиться различными способами и при помощи различных инструментов.
Информация с точки зрения информационной безопасности обладает следующими категориями:
· конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена;
· целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений (нарушение этой категории называется фальсификацией сообщения);
· аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор;
· апеллируемость – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой.
В отношении информационных систем применяются иные категории:
· надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано;
· точность – гарантия точного и полного выполнения всех команд;
· контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются;
· контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса
· контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает
· устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.
Особенности защиты на разных уровнях АС
| Уровни | Назначение | Особенности защиты |
| Прикладное программное обеспечение (ПО) | взаимодействие с пользователем | встроенные защитные модули достаточно эффективны, однако в большинстве случаев применяются атаки на уровне ОС с целью получить доступ к информации средствами ОС |
| Система управления базами данных (СУБД) | хранение и обработка данных АС | СУБД имеет строго определенную внутреннюю структуру и четко заданные допустимые операции над своими элементами, что упрощает решение задачи защиты; атаки на уровне ОС |
| Операционная система (ОС) | обслуживание СУБД и прикладного ПО | защищать ОС гораздо сложнее, чем прикладное ПО, поскольку внутренняя структура современных ОС чрезвычайно сложна |
| Сеть | взаимодействие узлов АС | сетевое ПО является наиболее уязвимым, потому что канал связи, по которому передаются сообщения, чаще всего не защищен |
Наиболее эффективными являются методы защиты компьютерной информации на уровне ОС. От уровня реализации безопасности в каждой конкретной ОС во многом зависит и общая безопасность информационной системы. Однако не все операционные системы могут считаться защищенными
Ошибки, приводящие к возможности атак на информацию
Двумя основными классами ошибок при разработке программного обеспечения, приводящими к потенциальной возможности проведения атак на информацию, являются интерференция данных и нарушение неявных ограничений.
Интерференция (непредусмотренное взаимодействие) данных между собой и данных с кодом является менее распространеным, но более опасным синдромом, чем описываемая ниже проблема ограничений по умолчанию. Практически единственным способом вызвать наслоение данных друг на друга либо данных на код программы является попытка дойти при операции записи до границы области памяти, отведенной под данный блок информации, и преодолеть ее – то есть умышленное переполнение буфера. Естественно, что это возможно только в тех ситуациях, когда программный код не производит проверки длины записываемого значения.
Проблема ограничений, которые разработчик программы считает само собой разумеющимися, но которые на самом деле могут не выполняться, встречается гораздо чаще, но реже приводит к каким-либо серьезным последствиям. Чаще всего результатом обработки подобных данных становится прерывание работы программы с сообщением об ошибке или просто «зависание». То есть данный класс атак используется с целью проведения атаки «отказ в сервисе».
Типовые методы защиты информации в АС
| Направление защиты | Методы защиты |
| конфиденциальность | · разграничение доступа к данным; · парольная защита; · шифрование (криптографические методы); · скрытие данных; · уничтожение остаточных данных; · защита от копирования |
| целостность | · резервирование (создание копий) данных; · обеспечение доступа к файлам и данным в режиме «только чтение»; · запрет удаления файлов и папок; · антивирусная защита; · разграничение доступа к данным; · скрытие данных |
| доступность | · внесение избыточности: на уровне данных – резервное копирование, на уровне приложений – использование альтернативного программного обеспечения, · на аппаратном уровне – использование дублирующих периферийных устройств, дублирующей ЭВМ; · антивирусная защита |
Компьютерным вирусом называется специально написанная программа, способная создавать свои копии и внедрять их в файлы, системные области компьютера, вычислительные сети и т.п. При этом копии сохраняют способность дальнейшего распространения.
Деятельность компьютерных вирусов может ограничиваться лишь уменьшением доступной памяти, звуковыми, графическими эффектами или привести к серьезным сбоям в работе, потере программ, уничтожению данных и полной деградации системы.
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru
Обеспечение информационной безопасности гостиничного предприятия
С интенсивным развитием компьютерных и информационных технологий неизмеримо возросла важность защиты информации. Давно известно, что информация бывает настоящим сокровищем. Именно поэтому часто много усилий затрачивается как на её охрану, так и на её получение. Информацию нужно защищать в тех случаях, когда есть опасения, что она станет доступной для посторонних, которые могут обратить её во вред законному пользователю.
Цель реферата — рассмотреть меры по обеспечению информационной безопасности. Для этого мы рассмотрим само понятие информационная безопасность и необходимость в защите информации.
Ведение 3
1. Сущность понятия информационная безопасность 4
2.Необходимость информационной безопасности 5
3. Обеспечение информационной безопасности гостиничного предприятия 6
Заключение 10
Список литературы 11
Работа состоит из 1 файл
РОССИЙСКИЙ НОВЫЙ УНИВЕРСИТЕТ
Факультет бизнес — технологий в туризме
По дисциплине «Системы безопасности в гостиничном бизнесе»
на тему: «Обеспечение информационной безопасности гостиничного предприятия»
Студент 5 курса очной формы обучения
к.б.н., доцент Маврина Н.Ф.
1. Сущность понятия информационная безопасность 4
2.Необходимость информационной безопасности 5
3. Обеспечение информационной безопасности гостиничного предприятия 6
Список литературы 11
Любое предприятие, в том числе гостиничные предприятия, располагает различными видами информации, представляющими интерес для злоумышленников. Прежде всего, это коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные. Вся эта информация находится на бумаге, на компьютерах, передаётся по телефону, факсу, обрабатывается, записывается и воспроизводится на магнитофонах, диктофонах, видеомагнитофонах, наконец, просто содержится в разговорах. Вопрос безопасности в самом широком значении этого слова, едва ли не самый важный в жизни любого человека и организации. Понимание значимости вопросов безопасности и их влияния на нормальное протекание основных процессов в гостиничной сфере позволит избежать многих ошибок и обеспечить лучшие экономические результаты предприятия.
На сегодняшний день проблема обеспечения безопасности является одной из самых актуальных в бизнесе. Если компания достигла каких-либо успехов в своём бизнесе, можно не сомневаться в том, что она вызывает немалый интерес со стороны компаний-конкурентов. Любая информация о работе фирмы будет привлекать повышенное внимание с их стороны. Поэтому защита информации становится важнейшей частью современной системы безопасности бизнеса.
С интенсивным развитием компьютерных и информационных технологий неизмеримо возросла важность защиты информации. Давно известно, что информация бывает настоящим сокровищем. Именно поэтому часто много усилий затрачивается как на её охрану, так и на её получение. Информацию нужно защищать в тех случаях, когда есть опасения, что она станет доступной для посторонних, которые могут обратить её во вред законному пользователю.
Цель реферата — рассмотреть меры по обеспечению информационной безопасности. Для этого мы рассмотрим само понятие информационная безопасность и необходимость в защите информации.
1. Сущность понятия информационная безопасность
Словосочетание «информационная безопасность» в разных контекстах может иметь различный смысл. В общем смысле, информационная безопасность — деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»). Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности.[1]
Информационная безопасность — защита конфиденциальности, целостности и доступности информации. Конфиденциальность: обеспечение доступа к информации только авторизованным пользователям. Целостность: обеспечение достоверности и полноты информации и методов её обработки. Доступность: обеспечение доступа к информации и связанным с ней авторизованных пользователей по мере необходимости.[2]
В Законе РФ «Об участии в международном информационном обмене» (гл1. ст.2) Информационная безопасность — состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.[3]
В доктрине информационной безопасности Российской Федерации термин «информационная безопасность» понимается, как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.[4]
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры (средств распространения переработки информации) от преднамеренных или случайных воздействий (потеря, хищение, порча, подмена), которые могут привести к ущербу владельцам и пользователям информации и туристическому предприятию в целом.[5]
2. Необходимость информационной безопасности
В первую очередь необходимо защищать информацию:
о конкурентных преимуществах, которыми владеет компании;
о технологиях её работы;
о движении денежных и материальных потоков компании;
о стратегических планах компании
о новых продуктах.[6]
В зависимости от характера деятельности компании список объектов информационной защиты может быть расширен. Так, большинству компаний есть смысл хранить в тайне от конкурентов также информацию: о своих клиентах, о персонале компании.
Важно понять, что предприятие должно оберегать далеко не всю информацию, которой оно владеет, а лишь ту, использование которой третьими лицами может нанести ущерб деятельности компании. Напротив, существует и такая информация, которую компании просто необходимо разглашать. Излишняя закрытость компании может стать причиной негативного отношения к ней со стороны потенциальных партнёров, клиентов и инвесторов. Особенно это касается фирм, планирующих проводить размещение своих ценных бумаг. Для того чтобы этого не произошло, компания должна изначально определить, какую информацию, в каком объёме и с какой регулярностью ей следует раскрывать.
Что же касается той информации, которая не подлежит разглашению, то организация должна классифицировать её по степени секретности и выработать нормы информационной безопасности для каждой категории.
В своей деятельности предприятие сталкивается с различными организациями, составляющими её окружение. Это: компании-конкуренты, клиенты, партнёры, налоговые органы, регулирующие органы и ущерб от утечки разного рода информации, может оказаться невосполнимым.
Существует две большие группы средств и методов экономической разведки или промышленного шпионажа: методы сбора информации с применением специальной техники и методы фрагментарного сбора информации.
К промышленному шпионажу, связанному с применением специальной техники, относятся: прослушивание телефонных разговоров, прослушивание помещений, телевизионное наблюдение, слежка, вторжение в компьютерную сеть, считывание информации с мониторов.
К методам фрагментарного сбора информации относятся: телефонная разведка, лжепереговоры, переманивание сотрудников, внедрение в штат конкурента собственных сотрудников.[7]
3. Обеспечение информационной безопасности гостиничного предприятия
Обеспечение информационной безопасности является одним из необходимых аспектов ведения бизнеса.
Согласно ГОСТ Р 50922-2006, обеспечение информационной безопасности — это деятельность, направленная на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.[8]
В федеральном законе «Об обеспечении информационной безопасности», который регулирует отношения, возникающие между государственными органами, организациями и гражданами при обеспечении информационной безопасности, термин обеспечение информационной безопасности понимается, как деятельность государственных органов, должностных лиц, организаций и физических лиц, направленная на защиту их прав и законных интересов в информационной сфере. Для защиты информации граждане и организации вправе:
1) ограничивать доступ к информации путем принятия правовых, организационных и технических мер ограничения (пресечения) доступа,
2) устанавливать режим доступа к информации и работы с ней,
3) использовать технические (в том числе программные) средства защиты информации, при условии соблюдения ограничений, установленных федеральным законом в отношении некоторых средств защиты информации и видов деятельности в этой области (регистрации, сертификации средств защиты информации, лицензирования деятельности по защите информации).[9]
В целом обеспечение информационной безопасности сводится к решению двух важнейших задач:
o обеспечение целостности и сохранности информации;
o защита информации от несанкционированного доступа.[10]
Рассмотрим меры по обеспечению целостности и сохранности информации. Как правило, для хранения информации используются: бумажные носители, электронные носители.
На бумажных носителях, как правило, хранятся документы. Количество копий документов ограничено, иногда они могут существовать в единственном экземпляре. Тогда их потеря сделает невозможным восстановление. Чтобы этого не произошло, необходимо вести строгий учёт всех документов, хранить их в соответствующих условиях и обеспечивать контроль доступа к ним
В настоящее время наблюдается явная тенденция к расширению использования электронных носителей. Во многих компаниях весь документооборот осуществляется в электронном виде. Неотъемлемой частью информационной структуры компаний являются различные электронные
базы данных. И в то же время именно электронная информация является наиболее уязвимой в плане уничтожения и порчи. Дело в том, что электронные носители не слишком долговечны, а неправильное обращение с техникой может привести к случайному уничтожению информации. Другой серьёзнейшей опасностью являются компьютерные вирусы, получившие громадное распространение в последнее время. В качестве мер, используемых для защиты электронной информации от повреждения и уничтожения, обычно используют:
1. резервное копирование информации. Осуществляется ежедневно и обеспечивает возможность восстановления информации на глубину не более суток. Ежедневные копии, как правило, хранятся отдельно от компьютерной сети.
2. наличие резервных серверов в локальной сети. Позволяет при отказе основного сервера не прекращать работу.
3. использование источников бесперебойного питания. Позволяет защитить компьютерную сеть компании от потерь информации, связанных с неполадками в электрической сети.
4. создание архивов информации. Вся наиболее важная информация архивируется, записывается на съемные носители и хранится в специально оборудованном помещении. Причём для повышения надежности следует делать несколько копий и хранить их независимо друг от друга. При выборе носителя следует особое внимание уделять его надёжности и долговечности.
5. антивирусная защита. Для эффективной защиты компьютерной сети от вирусной атаки следует контролировать все файлы, приходящие извне. Для этого рекомендуется отключать дисководы на рабочих станциях локальной сети, а все внешние файлы записывать только через сетевого администратора после соответствующей антивирусной проверки.
Рекомендуется запретить использование дискет в организации. Наибольшую вирусную опасность таит в себе использование Internet. Необходимо так построить систему антивирусной защиты, чтобы все файлы, приходящие через Internet, перед использованием проходили проверку. Необходимо также проводить ежедневную профилактическу проверку перед резрвным копирование.
6. ограничение доступа. Во избежание случайного повреждения или удаления необходимой информации или программного обеспечения следует ограничивать доступ каждого пользователя локальной сети компании только к необходимой ему информации. В тех случаях, когда информацию следует защищать от самого пользователя, следует применять доступ “только для чтения”. [11]
Теперь рассмотрим меры по защите информации от несанкционированного доступа.
Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Так же иногда несанкционированным доступом называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.[12]
Источник: www.freepapers.ru