ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ - Студенческий научный форум

X Международная студенческая научная конференция Студенческий научный форум - 2018

Личный портфель

ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ

Затулин А.Г. 1
1Балаковский инженерно-технологический институт Национального исследовательского ядерного университета МИФИ
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
ВВЕДЕНИЕ

В Российской Федерации конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определенным сведениям (сообщениям, данным) независимо от формы их представления, требование не передавать их третьим лицам, без согласия лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Выше был приведен список сведений, которые относят к конфиденциальным. Но закон «Об информации» разрешает обладателю информации наделять её статусом конфиденциальности самостоятельно.

1.ОСНОВНЫЕ ПОНЯТИЯ

К нарушениям конфиденциальности информацию можно отнести:

  • хищение (копирование) информации и средств ее обработки;

  • утрата (неумышленная потеря, утечка) информации и средств ее обработки.

Доступность информации – это свойство информации быть доступной для аутентифицированных законных ее владельцев или пользователей.

Нарушения при обеспечении доступности:

  • блокирование информации;

  • уничтожение информации и средств ее обработки.

Целостность информации – это свойство информации быть неизменной в семантическом смысле при воздействии на нее случайных или преднамеренных искажений, или разрушающих воздействий.

Нарушения при обеспечении целостности:

  • модификация (искажение) информации;

  • отрицание подлинности информации;

  • навязывание ложной информации.

2.ОТВЕТСТВЕННОСТЬ ЗА ПОСЯГАТЕЛЬСТВО НА ИНФОРМАЦИЮ

Правонарушения, связанные с хищением информации, могут принимать различные формы в зависимости от характера системы, в отношении которой осуществляется несанкционированный доступ. Информация, являющаяся объектом преступного посягательства, может быть отнесена к одному из четырех типов: персональные данные; корпоративная информация, составляющая коммерческую тайну; объекты интеллектуальной собственности и материалы, защищенные авторским правом; глобальная информация, имеющая значение для развития отраслей промышленности, экономики отдельных регионов и государств.

Кроме охраны от несанкционированного доступа очень важно обеспечить целостность коммерческой информации в информационной системе и ее доступность на законных основаниях.

Значение целостности информации очевидно, например, при осуществлении платежей посредством передачи электронных документов по открытым каналам связи, заключении договоров аналогичным образом. Доступность информационного ресурса означает получение законным пользователем запрошенных данных в приемлемое время.

Как уже говорилось, большинство организаций имеют доступ к сети Интернет. Последняя, в свою очередь, будучи открытой информационной средой, представляет широкие возможности для различных злоумышленных действий, в том числе в отношении информационных ресурсов конфиденциального характера [1].

Выделим две наиболее серьезные угрозы, которые таит в себе доступ к информации через компьютерные сети.

Первая - вредоносные программы для ЭВМ, которыми в соответствии со ст.273 УК РФ являются программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Самой распространенной разновидностью вредоносных программ является вирус - компьютерная программа, способная создавать свои копии и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия.

При этом копии вируса сохраняют способность дальнейшего распространения (ГОСТ Р. Защита информации. Испытания программных средств на наличие компьютерных вирусов). За создание вредоносных программ, их использование либо распространение установлена уголовная ответственность ст.273 УК РФ .

Второй серьезной угрозой для корпоративных вычислительных систем являются компьютерные злоумышленники - хакеры. Объектами информационных атак хакеров могут стать конфиденциальная информация, объекты интеллектуальной собственности, имидж, деловая репутация компании.

2.1. Обеспечение конфиденциальности информации

Защита информации осуществляется с помощью средств, методов и организационных мероприятий, исключающих несанкционированный доступ к конфиденциальной информации, ее раскрытие, изменение, уничтожение или хищение. Для защиты информации создается система защиты информации, которая включает: физические и технические (программные и аппаратные) средства защиты; организационные мероприятия; совокупность специальных мер правового и административного характера; специальный персонал, выполняющий функции обеспечения безопасности автоматизированных систем. Система должна предупреждать несанкционированный доступ к хранящейся, обрабатываемой или передаваемой информации с целью ее неразрешенного использования, преднамеренного искажения, или уничтожения [1].

Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, то есть отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним. Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальной информации или доступ к ним ограничивается. Так, федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РФ «О банках и банковской деятельности» ограничивает доступ к сведениям по операциям и счетам клиентов и корреспондентов банка.

Однако не, по всем сведениям, составляющим конфиденциальную информацию, применяется прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это, в частности, относятся к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ и являются следующими:

  • соответствующая информация неизвестная третьим лицам;

  • К данной информации не установлено на законном основании свободного доступа;

  • меры по обеспечению конфиденциальности информации принимает собственник информации.

Конфиденциальная информация подразделяется на:

  • предметную,

  • служебную.

Предметная информация - это сведения о какой-то области реального мира, которые, собственно, и нужны злоумышленнику, например, чертежи подводной лодки или сведения о месте нахождения Усамы Бен-Ладена. Служебная информация не относится к конкретной предметной области, а связана с параметрами работы определенной системы обработки данных. К служебной информации относятся в первую очередь пароли пользователей для работы в системе. Получив служебную информацию (пароль), злоумышленник с ее помощью может затем получить доступ к предметной конфиденциальной информации.

Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации [2].

2.2. ОСОБЫЕ ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ

Запрет на требование от гражданина (физического лица) предоставления информации о его частной жизни, а также на получение такой информации помимо его воли.

обеспечение защиты информации от неправомерного доступа:

установление ответственности за разглашение конфиденциальной информации

установление ответственности за несанкционированный доступ конфиденциальной информации с точки зрения ее создания и т.д.

Дефектная информация– информация, имеющая различные дефекты, возникающие в ходе ее изготовления, сбора или иных действий.

Дефекты – это те недостатки информации, которые превратили ее в недостоверную, незаконную, не дающую права использовать ее в законном порядке.

Виды дефектов:

дефекты сбора информация:

  • доказательства, полученные с нарушением закона, не имеют юридической силы

  • дефект содержания информации

  • информация, разжигающая расовую или национальную рознь,

  • клевета

  • дефекты предоставления и распространения информации

  • Информация, распространяемая без использования СМИ, не включает достоверных сведений о ее обладателе или об ином лице, распространяющем информацию.

3.КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ УГРОЗ

Угрозы классифицируются по нескольким критериям:

Угрозы целостности – физическое уничтожение или порча носителей информации. Например, похититель может сломать карту памяти с курсовой работой.

О изменении информации, в последствии которой информация перестает нести в себе реальное положение дел, из-за чего она становиться противоречивой. Например, злоумышленник может изменить количество средств на своём счету.

Классификация угроз доступности:

О прекращении функционирования системы электронной обработки данных в последствии поломки обеспечивающей инфраструктуры. Например, система может перестать функционировать в последствии перебоя питания, отключения системы кондиционирования, из-за чего температура повыситься до недопустимой температуры, или прорыва водопровода.

О прекращение функционирования системы вследствие поломки оборудования (компьютеров, коммуникационного оборудования и т.д.)

Например, если в железнодорожной кассе сломается компьютер, подключений к системе автоматизированной продажи билетов, то пассажиры не смогут купить в данной кассе.

4.Классификация методов защиты информации

Кроме того, в информационных системах выделяют следующие группы средств и соответствующих им методов защиты информации:

  • средства защиты от НСД;

  • системы анализа и моделирования информационных потоков (CASE-системы);

  • системы мониторинга сетей;

  • анализаторы протоколов;

  • антивирусные средства;

  • межсетевые экраны;

  • криптографические средства;

  • системы резервного копирования;

  • системы бесперебойного питания;

  • системы аутентификации;

  • средства предотвращения взлома корпусов и хищения оборудования;

  • средства контроля доступа в помещения;

  • инструментальные средства анализа системы защиты.

Техническими называются такие средства защиты информации (ТСЗИ), в которых основная защитная функция реализуется техническим устройством.

С точки зрения сопряженности со средствами вычислительной техники ТСЗИ бывают:

  • Автономные – средства, выполняющие свои защитные функции независимо от функционирования средств вычислительной техники.

  • Сопряженные – средства, выполненные в виде самостоятельных устройств, но выполняющие защитные функции в сопряжении с основными средствами вычислительной техники.

  • Встроенные – средства, которые конструктивно включены в состав аппаратуры вычислительной техники.

С точки зрения выполняемых функций защиты ТСЗИ относятся к средствам:

  • Внешней защиты – защита от воздействия дестабилизирующих факторов, проявляющихся за пределами зоны ресурсов.

  • Опознавания – специфическая группа средств, предназначенных для опознавания людей по различным индивидуальным характеристикам.

  • Внутренней защиты – защита от воздействия дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации.

Дальнейшая детализация функциональной классификации ТСЗИ указана на рисунке.

С точки зрения степени сложности устройства ТСЗИ делятся на:

  • Простые устройства – несложные приборы и приспособления, выполняющие отдельные процедуры защиты.

  • Сложные устройства – комбинированные агрегаты, состоящие из некоторого количества простых устройств, способные к осуществлению сложных процедур защиты.

  • Системы – законченные технические объекты, способны осуществлять некоторую комбинированную процедуру защиты, имеющую самостоятельное значение.

ЗАКЛЮЧЕНИЕ

В информационной сфере жизнедеятельности общества всегда наблюдалось жесткое противостояние между законными владельцами информации и лицами, которые пытаются получить к ней доступ незаконными методами. Появление новых видов атак на информационные ресурсы толкает прогресс к созданию новых мер защиты (юридических, технических, организационных), а для их преодоления создаются следующие виды атак. Круг замкнут. Поэтому владельцы коммерчески ценных информационных ресурсов должны постоянно быть в курсе таких изменений, заблаговременно принимая необходимые меры по предотвращению вторжений в свои корпоративные сети.

СПИСОК ЛИТЕРАТУРЫ

1.Обеспечение конфиденциальности [Электронный ресурс]. – Режим доступа: http://pandia.ru. – Заглавие с экрана. – (Дата обращения: 12.01.2018).

2.Классификация по аспекту информационной безопасности [Электронный ресурс]. – Режим доступа: http:// studopedia.ru. – Заглавие с экрана. – (Дата обращения: 12.01.2018).

Просмотров работы: 712