Фрагмент для ознакомления
2
1.1 Анализ способов и средств обеспечения информационной безопасности
В современном мире, характеризующемся стремительным развитием информационных технологий и автоматизацией научных исследований, вопрос информационной безопасности приобретает критическую значимость.
Защита данных – это уже не просто желательное условие, а абсолютная необходимость, влияющая на стабильность функционирования организаций, сохранность коммерческой тайны, защиту личных данных граждан и даже национальную безопасность государства. Обеспечение информационной безопасности (ИБ) – сложная задача, требующая комплексного подхода и применения многоуровневой защиты, включающей в себя целый арсенал методов и средств.
Рассмотрим подробнее основные методы обеспечения информационной безопасности. Для обеспечения защиты информации используются различные методы, можно выделить основные (рисунок 1.1):
- препятствие,
- маскировка,
- регламентация,
- управление доступом,
- принуждение,
- побуждение.
Рисунок 1.1 – Перечень методов и средств обеспечения ИБ
Первый и, пожалуй, самый очевидный – это «Препятствование» несанкционированному доступу. Этот метод реализуется через создание разнообразных барьеров, начиная от физической охраны серверных помещений и использования биометрических систем аутентификации, заканчивая сложными системами сетевой безопасности, такими как межсетевые экраны (файрволы), системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS). Они призваны блокировать попытки неавторизованного проникновения в информационные системы и предотвращать несанкционированное копирование, изменение или удаление данных. Эффективность этого метода во многом зависит от качества и сложности используемых технических средств и уровня профессионализма специалистов, отвечающих за их настройку и обслуживание. Система препятствования должна быть многослойной, чтобы даже при прорыве одного уровня защиты другие продолжали функционировать.
Следующий метод – «Маскировка», или, как её чаще называют, криптографическое шифрование. Это, пожалуй, самый надежный способ защиты информации от копирования и НСД при её передаче и хранении. Суть метода заключается в преобразовании данных в нечитаемый вид с использованием специальных алгоритмов и ключей. Даже при перехвате данных злоумышленник не сможет их расшифровать без соответствующего ключа. Шифрование может быть симметричным (один ключ для шифрования и расшифрования) или асимметричным (два ключа – открытый и закрытый), и выбор типа шифрования зависит от конкретных требований к безопасности и условий использования. Важно понимать, что безопасность криптографических методов во многом зависит от надежности самих алгоритмов и секретности ключей. Необходимо регулярно обновлять криптографические ключи и использовать алгоритмы, устойчивые к современным методам криптоанализа.
«Регламентация» – это методология, направленная на минимизацию рисков несанкционированного доступа путем установления строгих правил и процедур работы с информацией. Это включает разработку и внедрение внутренних инструкций, регламентирующих порядок доступа к данным, их обработки, хранения и уничтожения. В основе регламентации часто лежат государственные стандарты и отраслевые рекомендации (ГОСТы), которые определяют требования к обеспечению безопасности информации в различных сферах деятельности. Важно не только разработать регламентирующие документы, но и обеспечить их строгое соблюдение персоналом, а также проводить регулярные аудиты и проверки на соответствие этим правилам.
«Управление доступом» – это комплексный метод, включающий в себя идентификацию пользователей, аутентификацию (проверку подлинности), авторизацию (предоставление прав доступа) и аудит действий пользователей. Система управления доступом должна четко определять, какие пользователи имеют право доступа к каким данным и каким операциям они могут производить. Разделение полномочий, когда доступ к критически важным функциям распределяется между несколькими сотрудниками, является одним из ключевых принципов эффективного управления доступом.
«Принуждение» – метод, основанный на установлении строгих правил и санкций за их нарушение. Он тесно связан с регламентацией и предполагает применение дисциплинарных мер к сотрудникам, нарушившим правила работы с конфиденциальной информацией. Этот метод призван дисциплинировать персонал и предотвратить утечки информации в результате халатности или умышленных действий. Однако важно помнить, что принуждение должно быть справедливым и применяться в соответствии с законодательством.
И наконец, «побуждение» – это метод, основанный на использовании этических и моральных норм, поощрении сотрудников к соблюдению правил безопасности и формировании у них высокого уровня информационной культуры. Этот метод работает на предотвращение нарушений еще до того, как они произойдут, путем воспитания у сотрудников чувства ответственности и понимания важности защиты информации. Побуждение включает в себя проведение обучающих мероприятий, разъяснение последствий утечки информации и стимулирование сотрудников к добросовестному выполнению своих обязанностей.
Все эти методы должны работать комплексно и дополнять друг друга. Надежная система защиты информации – это многослойная, многоуровневая система, которая учитывает все возможные угрозы и обеспечивает необходимый уровень безопасности в соответствии с конкретными потребностями организации. И, конечно же, не следует забывать о постоянном совершенствовании системы безопасности, адаптации её к изменяющимся угрозам и регулярном обновлении используемых средств и методов защиты. Только комплексный подход, сочетающий технические, организационные и правовые меры, может гарантировать эффективную защиту информации в условиях постоянно растущих угроз кибербезопасности.
Средства защиты информации делятся на формальные и неформальные ( рисунок 1.1).
Формальные средства защиты - средства, выполняющие функции защиты по заранее предусмотренным процедурам непосредственного участия человека. К формальным средствам защиты информации относятся технические и программные средства.
Неформальные средства защиты - средства, определяющиеся целенаправленной деятельностью человека, или регламентирующие эту деятельность. К неформальным средствам защиты информации относятся организационные, законодательные и психологические средства [1].
1.2 Структура системы защиты от несанкционированного копирования
Современный мир бизнеса все больше зависит от автоматизированных систем и информационных технологий. Компании, активно внедряющие автоматизацию производственных процессов, управления и коммуникаций, становятся все более уязвимыми перед киберпреступностью. Парадокс заключается в том, что переход к виртуальному пространству, несмотря на все его преимущества в эффективности и скорости, создает принципиально новые сложности в обеспечении безопасности. Если охрана физической территории, пусть и обширной, опирается на относительно понятные и контролируемые методы (охрана, ограждения, системы видеонаблюдения), то защита информационного пространства – задача куда более многогранная и сложная.
Угроза – это потенциально возможное событие, действие, которое может привести к нанесению ущерба в результате случайных действий или специального вмешательства в систему.
Как правило, возможные варианты угроз, которые могут быть реализованы в отношении конфиденциальных данных, а также сетей связи, подразделяют на следующие категории: получение несанкционированного доступа к конфиденциальным данным(раскрытие), повреждение данных или их целостности (изменение данных или их удаление), а также отказ в обслуживании. На рисунке 1.2 представлена модель построения системы защиты информации.
Рисунок 1.2 – Модель построения системы защиты информации
В рамках методов и средств обеспечения ИБ рассмотрим структуру защиты от несанкционированного копирования. Масштаб и сложность данной задачи требуют комплексного подхода к защите информации в автоматизированных системах, особенно в таких критически важных областях, как научно-исследовательские разработки, где утечка информации может иметь катастрофические последствия. В данной работе рассматриваются конкретные методы защиты информации, применимые к автоматизированным системам, которые могут быть использованы в сфере ИБ.
Эти методы можно условно разделить на два основных класса, согласно рисунка 1.1: методы препятствования атакам и методы маскировки информации.
- Методы препятствования нацелены на предотвращение проникновения злоумышленников в систему. Ключевыми инструментами здесь выступают:
1. Антивирусная защита: Это, пожалуй, самый распространенный и, казалось бы, очевидный метод. Антивирусные программы, используемые как отдельными пользователями, так и крупными корпорациями, предназначены для обнаружения и обезвреживания вредоносного программного обеспечения (вирусы, трояны, черви, ransomware). Однако важно понимать, что эффективность антивируса во многом зависит от его актуальности (своевременного обновления баз вирусов), а также от уровня осведомленности пользователей об опасностях, подстерегающих их в сети Интернет. Даже самая совершенная антивирусная система не может гарантировать 100% защиту от всех возможных угроз, особенно от новых, неизвестных вирусов (так называемых "zero-day" уязвимостей), которые появляются постоянно.
2. HIPS (Host Intrusion Prevention System, система отражения локальных угроз): Эта система представляет собой более продвинутый уровень защиты по сравнению с простым антивирусом. HIPS мониторит активность внутри операционной системы, анализируя поведение программ и процессов в реальном времени. Она способна обнаруживать и блокировать вредоносные действия, даже если вредоносное ПО не распознаётся как известный вирус антивирусной программой. HIPS анализирует отклонения от нормального поведения системы, что позволяет выявлять скрытые угрозы и предотвращать атаки, основанные на эксплойтах (программные уязвимости, используемые злоумышленниками для проникновения в систему). Эффективность HIPS зависит от набора правил и настроек, которые должны быть тщательно подобраны с учетом специфики защищаемой системы.
- Методы маскировки направлены на то, чтобы даже в случае успешного проникновения злоумышленника в систему, ценная информация оставалась недоступной для него.
К основным методам маскировки относятся:
1. Криптографическая защита информации: Это комплекс методов, обеспечивающих конфиденциальность данных путем их шифрования. Шифрование преобразует исходную информацию в нечитаемый вид (шифротекст), который может быть расшифрован только с помощью специального ключа. Существует множество криптографических алгоритмов, каждый из которых обладает своими преимуществами и недостатками, в зависимости от уровня безопасности, скорости шифрования/дешифрования и других параметров. Выбор оптимального алгоритма зависит от конкретных требований к защите информации. Криптографическая защита является профилактическим методом, эффективным для предотвращения доступа к информации, но бесполезным, если атака уже совершена и злоумышленник получил доступ к ключу.
2. Защита шифрованием локальных сетей: Локальные сети (LAN) являются важнейшей частью инфраструктуры любой организации, обеспечивая взаимодействие компьютеров и устройств. Они также являются привлекательной целью для злоумышленников, поскольку проникновение в локальную сеть открывает доступ ко многим ресурсам.
3. Защита трафика через сеть интернет.
Шифрование сетевого трафика (например, с помощью VPN или IPSec) затрудняет перехват данных злоумышленниками, даже если они получили доступ к сети. Отказ от локальных сетей в автоматизированных системах – вариант возможный, но это значительно осложнит взаимодействие между компонентами системы, снизит производительность и увеличит стоимость развертывания и обслуживания. Поэтому шифрование сетевого трафика остается более практичным решением. Шифрование не обеспечивает мгновенной реакции на атаки, но предупреждает потенциальные угрозы безопасности в будущем.
- Организационные методы
В качестве организационных методов выбраны следующие практические средства:
1. Регламентация. Регламентация — это метод организационной защиты, который помогает разработать правила работы с конфиденциальными данными, подобрать кадры и организовать работу с документами и носителями информации. Эти правила устанавливаются руководством компании вместе со специалистами по безопасности и поставщиком систем безопасности.
2. DLP система. Технология DLP (англ. Data Leak Prevention) предотвращает утечку конфиденциальной информации из информационной системы. Она анализирует потоки данных, пересекающих периметр защищаемой системы, и помогает предотвратить утечку информации.
- Методы управления доступом
В качестве методов управления доступом выбраны следующие практические средства:
1. SIEM система. SIEM анализирует информацию из разных источников, таких как DLP-системы, IDS, антивирусы и другие, для выявления отклонений от установленных критериев. Эта технология позволяет оперативно реагировать на угрозы безопасности и предотвращать возможные ущербы.
2. Защита баз данных. База данных представляет собой структурированную информацию, хранящуюся в файлах или группах файлов. Для работы с базами используются программные средства защиты и управления — системы управления базами данных (СУБД).
- Методы правового регулирования.
В качестве методов принуждения выбраны следующие практические средства:
1. Законодательные меры. Законодательство обеспечивает правовую основу информационной безопасности. Защита данных регулируется международными соглашениями, Конституцией, федеральными законами «Об информации, информационных технологиях и защите информации», а также законами Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
2. Административные (организационные) меры. Административные мероприятия играют важную роль в создании эффективного механизма защиты информации. Возможности несанкционированного доступа к конфиденциальным данным в значительной степени зависят от человеческого фактора, а не только от технических аспектов.
Защита от несанкционированного копирования информации является важным аспектом информационной безопасности организации. Внедрение комплексных мер, включающих организационные, правовые и технические методы, позволяет эффективно защищать данные и предотвращать их несанкционированное использование. Регулярное обновление защитных систем, обучение сотрудников и внедрение современных технологий значительно снижают риски утечек и копирования информации. Организациям необходимо уделять постоянное внимание развитию и совершенствованию своих систем защиты для обеспечения безопасности своих данных и поддержания конкурентоспособности на рынке.
Фрагмент для ознакомления
3
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Сабанов А. А. Некоторые аспекты защиты электронного документооборота // Соnnесt! Мир связи. - 2010. - № 7. - С. 62-64.
2. Системs электронного документооборота// Информационные сегменты веб-сайта. - 2010 [Электронный ресурс]. URL: http://www.еvfrаt.ru/аbоut/е-dосs/
3. Титоренко, Г.А. Информационные системы в экономике : учебник для студентов вузов / Г.А. Титоренко. - М. : ЮНИТИ-ДАНА, 2008. - 463 с.
4. Интегрированная система охраны «FоrtNеt» [Электронный документ] URL: http://bоlid.ru/prоduсtiоn/оriоn/
5. Protect Sensitive Data in Motion with SafeNet Carrier Ethernet Encryption. [Электронный документ] URL: https://safenet.gemalto.com/
6. Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
7. Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;
8. Оков И. Н. Криптографические системы защиты информации СПб, ВУС, 2011, 236с.
9. Соколов А. М., Степанюк О.М. Защита объектов и компьютерных сетей (Шпионские штучки). - М.: ACT, СПб.: Полигон, 2012. 272с.
10. Партыка Т.Л., Попов И.И. Информационная безопасность. Учебное пособие для студентов учреждений среднего профессионального образования.— М.: ФОРУМ: ИНФРА-М, 2014.
11. Крысин А.В. Информационная безопасность. Практическое руководство — М.: СПАРРК, К.:ВЕК+,2013.
12. Савицкая Г.В. Анализ хозяйственной деятельности предприятия: Учебник. – 3-е изд., перераб. И доп. – М.: ИНФРА-М, 2012. – 425 с.
13. Цывин М.Н. Терминологические проблемы изучения дисциплины "Электронный документооборот" / М.Н. Цывин // Библиотековедение. Документоведение. Информология. - 2010. - № 1. - C. 7 - 11.
14. Мельников П. П. Защита информации в автоматизированных системах финансовых и коммерческих организаций, М.: ФА, 2011. –76с.
15. Баймакова И.А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных. Методическое пособие / И.А. Баймакова. – М.: 1С-Паблишинг, 2010. – 214 с.
16. Стельмашонок Е.В., Васильева И.Н. (ред.) Информационная безопасность цифрового пространства. СПб.: СПбГЭУ, 2019. — 155 с. — ISBN 978-5-7310-4465-3.
17. Воробьева А.А., Коржук В.М. Системы защиты информации в ведущих зарубежных странах. Учебно-методическое пособие. – СПб: Университет ИТМО, 2019.– 32 с.
18. Бирюков В.А., Дмитриева О.В., Степанова Г.Н. Теоретико-методологические аспекты реализации стратегии защиты информации в ЛВС медиаорганизации в современных условиях. Монография. — М.: Буки Веди, 2019. — 160 с.
19. Ананченко И.В., Зудилова Т.В., Хоружников С.Э. Средства резервного копирования, восстановления, защиты данных в операционных системах Windows. Учебное пособие. — СПб.: Университет ИТМО, 2019. — 50 с.
20. Козлов Сергей. Защита информации. Устройства несанкционированного съема информации и борьба с ними. М.: Трикста, 2018. — 289 с.
21. Масалков А.С. Особенности киберпреступлений: инструменты нападения и защиты информации. М.: ДМК Пресс, 2018. — 226 с.: ил.
22. Сычев Ю.Н. Стандарты защиты информации в ЛВС. Защита и обработка конфиденциальных документов. М.: РЭУ им. Г.В. Плеханова, 2017. — 207 с.
23. Нохрина Г.Л. Информационная безопасность. Курс лекций. — Екатеринбург: Уральский государственный лесотехнический университет, 2017. — 133 с.
24. Пелешенко В.С., Говорова С.В., Лапина М.А. Менеджмент инцидентов защиты информации в ЛВС защищенных автоматизированных систем управления. Учебное пособие. — Ставрополь: Изд-во СКФУ, 2017. — 86 с.
25. Денисов Д.В Методические указания по дипломному проектированию для специальности «Информационные системы и технологии», «Безопасность информационных систем» Денисов Д.В., Дик В.В., Емельянов А.А., Жильцов А.И.,М. МПФУ 2013 г.
26. Статистика уязвимостей корпоративных информационных систем.Positive technologies. Режим доступа www. www.ptsecurity.ru
27. Свод правил естественное и искусственное освещение: СП 52.13330.2011: утв. М-вом регионального развития Рос. Федерации 27 12 2010 г. N 783 : введ. в действие с 20.05.2011 г. М.: Изд-во стандартов, 2011.
28. Галимова, Е.О. Безопасность труда при монтаже, обслуживании и ремонте электрооборудования предприятий: справочник. / Е.О. Галимова. - М.: КноРус, 2011. - 288 c.
29. Сибикин, Ю.Д. Безопасность труда при монтаже, обслуживании и ремонте электрооборудования предприятий / Ю.Д. Сибикин. - М.: КноРус, 2016. - 264 c.
30. Правила техники безопасности при эксплуатации электроустановок потребителей. - 4-е изд., перераб. и доп. - М: Энергоатомиздат, 2017. - 174 с.