Концептуальные основы защиты информации в информационных системах

ВВЕДЕНИЕ

Обеспечение информационной безопасности в Российской Федерации является одним из ключевых элементов развития информационного общества.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяемое сочетанием сбалансированных интересов личности, общества и государства.
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

1.1. Понятие и сущность информационных систем и технологий

В информатике понятие «система» широко распространено и имеет множество смысловых значений. Чаще всего оно используется применительно к набору технических средств и программ. Системой может называться аппаратная часть компьютера.
Системой может также считаться множество программ для решения конкретных прикладных задач, дополненных процедурами ведения документации и управления расчетами.
Добавление к понятию «система» слова «информационная» отражает цель ее создания и функционирования. Информационные системы обеспечивают сбор, хранение, обработку, поиск, выдачу информации, необходимой в процессе принятия решений задач из любой области. Они помогают анализировать проблемы и создавать новые продукты.
Информационная система – взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели.
Современное понимание информационной системы предполагает использование в качестве основного технического средства переработки информации персонального компьютера.
В крупных организациях наряду с персональным компьютером в состав технической базы информационной системы может входить мэйнфрейм или супер ЭВМ.
Кроме того, техническое воплощение информационной системы само по себе ничего не будет значить, если не учтена роль человека, для которого предназначена производимая информация и без которого невозможно ее получение и представление.
Необходимо понимать разницу между компьютерами и информационными системами. Компьютеры, оснащенные специализированными программными средствами, являются технической базой и инструментом для информационных систем. Информационная система немыслима без персонала, взаимодействующего с компьютерами и телекоммуникациями.
Основное назначение информационной системы – реализовать информационные процессы в той области деятельности, где данная информационная система функционирует.
С этой точки зрения и правовая система в целом, и отдельные ее подсистемы (например, органы прокуратуры, суд, органы внутренних дел) могут и должны рассматриваться как информационные системы.
Во внутренней структуре правовой информационной системы можно выделить следующие составные части:
субъекты информационных процессов, протекающих в правовых образованиях: специалисты различных областей знания, обеспечивающие функционирование информационной системы, субъекты информационно-правового воздействия;[3]
социально-правовая информация, на основе сбора, систематизации и обработки которой информационная система решает поставленные задачи;
информационные технологии: совокупность логико-математических, лингвистических и других методов и методик исследования информационных объектов и вычислительных, телекоммуникационных, других технических и программных средств обработки социально-правовой информации.
Такой широкий подход к определению информационной системы невозможен для юридической науки. При анализе информационной системы как объекта права необходимо четко разграничить субъектный и объектный составы правоотношений.
В ст. 2 Закона об информации информационная система определяется как «совокупность содержащейся в базе данных информации и обеспечивающих ее обработку информационных технологий и технических средств».

1.2. Информационные системы: история и современность

В 1950-е годы учитывалась роль информации как важнейшего ресурса бизнеса, организации, региона и общества в целом; начали разрабатывать автоматизированные ИС всех видов.
Первые ИС предназначались исключительно для обработки счетов и расчета заработной платы и были реализованы на электромеханических учетных машинах. Это привело к некоторому сокращению затрат и времени на подготовку бумажных документов.
Сначала, когда появилась возможность обрабатывать информацию с помощью вычислительной техники, получил распространение термин «системы обработки данных» (СОД); этот термин широко использовался при разработке систем радиоуправления ракетами и другими космическими объектами, при создании систем сбора и обработки статистической информации о состоянии атмосферы, учетной информации предприятий и т. д.
По мере увеличения памяти компьютера основное внимание стало уделяться проблемам организации баз данных. Это управление в настоящее время сохраняет определенную независимость и в основном занимается разработкой и развитием технических и программных средств реализации обработки данных с использованием различных типов компьютеров.
Для сохранения этого направления в его развитии появились термины «база знаний» и «база целей», позволяющие расширить трактовку проблемы реального создания и обработки базы данных до задач, которые возникнут в будущем при разработке.
1960-е годы ознаменовались изменением отношения к информационным системам. Полученная через них информация стала использоваться для периодической отчетности по многим параметрам.
Для достижения этой цели организациям требовалось универсальное ИТ-оборудование, способное выполнять множество функций, а не только обрабатывать счета и рассчитывать зарплаты компаний, как это было раньше.
Основными характеристиками этого поколения интегральных схем являются:
- техническое обеспечение систем состояло из маломощных компьютеров 2-3 поколения;
- информационное обеспечение (ИС) состояло из таблиц данных (файлов), структура которых определялась программой, в которой они использовались;
- программное обеспечение – специализированные прикладные программы, например программа расчета заработной платы;
Архитектура ИС централизована. Обычно использовалась пакетная обработка задач. Конечный пользователь не имел прямого контакта с ИС; вся обработка и предварительный ввод информации осуществлялись сотрудниками ИС.
Недостатки этого поколения IP:
- прямая связь между программами и данными, т.е. изменения в области привели к изменению структуры данных, что заставило переосмыслить программы;
- сложность разработки и модификации систем;
сложность координации частей системы, разработанной разными людьми в разное время.
В 1970-х – начале 1980-х годов ИП предприятия начинает использоваться как инструмент управления производством, поддерживающий и ускоряющий процесс подготовки и принятия решений.

ГЛАВА 2. ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

2.1. Технологии защиты информации в информационных системах

Компания, владеющая секретной информацией, должна организовать специальную защиту этих данных. Вы можете попробовать построить такую систему самостоятельно, но это потребует много сил и времени. Гораздо проще использовать средства информационной безопасности (СПП), которые работают автоматически.
По сути, под информационной безопасностью понимаются системы и устройства, способные обеспечить защиту и надежность всех информационных полей и сообщить о возможных утечках и потерях данных.
Всю информационную безопасность можно разделить на виды
программное обеспечение – утилиты, которые отслеживают, шифруют информацию, удаляют определенные файлы, тестируют новые методы защиты;
технические – устройства, составляющие основу всей безопасности (фильтры или серверы);
смешанный – программный + технический;
организационные – способы оснащения помещений, где происходят все основные работы.
Для обеспечения максимальной защиты могут использоваться дополнительные методы.
Неофициальные обращения
Любая правовая защита обеспечивается прежде всего страной – государством. Любая защита информации контролируется законами, актами и Конституцией. Игнорирование закона влечет последствия, в том числе уголовную ответственность (которая определяется государством), предусмотренную статьями 272 УК РФ, 273 УК РФ или 272 УК РФ. Федерация. Российской Федерации.[4]
Организационные методы не менее важны. Они требуют существования определенных правил и положений внутри компании, предотвращающих любые попытки кражи данных. Обычно эти правила устанавливает служба безопасности — ограничение доступа к определенным сайтам или Интернету в целом, личным социальным сетям или ограничение переговорных комнат общим пространством.
Этические и моральные ориентиры также позволяют надежно защитить информационную сферу. Такие нормы не считаются обязательными, но их несоблюдение снижает авторитет человека внутри коллектива или вызывает осуждение со стороны компании.
Формальные меры информационной безопасности
Федеральная служба безопасности – все механизмы разного направления, основной целью которых является обеспечение защиты информации.
К физическим методам относятся любые замки, мониторы, ширмы, шторы или жалюзи. Сюда также входят камеры видеонаблюдения и датчики движения.
Аппаратное обеспечение скрывает информацию – серверы безопасности, специальные компьютеры и мониторы, система контроля всех сотрудников. Это также устройства, вычисляющие минимальную утечку секретной информации.
Такие программы, как DLP и SIEM-системы, используются для предотвращения утечек информации, анализа опасных источников и их устранения. Важно позаботиться о дополнительных установочных файлах, которые обеспечат бесперебойную работу системы.
Криптография считается самым безопасным методом защиты (она защищает не доступ к информации, а саму информацию). Криптографическая защита разрабатывается индивидуально для каждого клиента и имеет повышенный уровень безопасности. Сюда входит VPN, проверка ключей и цифровые подписи.
Прежде чем обеспечить защиту какой-либо информации, необходимо определить ее уровень важности, способы ее хранения и способы ее уничтожения.
Правовая охрана основывается на всех правилах и нормах (информационного) права, а также предполагает и юридически подтверждает взаимное сотрудничество предприятия и государства (в части обеспечения защиты информации).
Основными документами, подтверждающими конфиденциальность информации, являются Конституция Российской Федерации (ст. 23 и 24), федеральные законы (98ФЗ, 149ФЗ, 152ФЗ) и Гражданский кодекс.
Защита технической информации
Техническая защита информации – это комплексный комплекс методов – специальное оборудование, постоянная работа с командой, шифрование всех данных, регулярное обновление методов защиты.[5]
Чтобы ЧМТ была особенно надежной, вся информация должна быть разделена по ценности и специфике. Так защищаются базы данных, документы, секретные файлы и информация, связанная с производством или технологией изготовления.
Поскольку все сотрудники имеют доступ к данным и могут передать их кому-либо другому, обеспечение технической безопасности считается первоочередной задачей.

2.2. Анализ современных проблем в области защиты информации в информационных системах и пути их решения

Проблема информационной безопасности от зарождения до современного состояния прошла долгий и во многом противоречивый путь своего развития.
Изначально существовало два направления решения проблемы сохранения конфиденциальности: использование криптографических методов защиты информации в средах передачи и хранения данных и программно-аппаратный контроль доступа к данным и ресурсам компьютерных систем.
Следует отметить, что в начале 1980-х годов компьютерные системы были слабо распространены, технологии глобальных и локальных компьютерных сетей находились на начальной стадии развития, и эти проблемы можно было решить весьма успешно.
Позже, с появлением тенденции распределенной обработки информации, классический подход к организации совместного использования ресурсов и классические криптографические протоколы постепенно начали исчерпывать себя и развиваться.[11]
Проблемы аутентификации взаимодействующих элементов системы, а также методы управления криптографическими механизмами в распределенных вычислительных системах приобрели первостепенное значение.
При этом начинает формироваться мнение, что функции криптографической защиты имеют такое же значение, как и автоматизированная система, и их следует рассматривать наряду с другими функциями.
Эта теория послужила отправной точкой для разделения проблем самих средств безопасности (в частности, криптографических средств, средств контроля доступа и т. д.) и средств обеспечения их правильного функционирования [1].
ЗАКЛЮЧЕНИЕ

Проблемы, связанные с повышением безопасности информационной сферы, сложны, многогранны и взаимосвязаны. Они требуют постоянного и неустанного внимания со стороны государства и общества.