Ю.Н. Сычев
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УЧЕБНО-МЕТОДИЧЕСКОЕ ПОСОБИЕ ДЛЯ СТУДЕНТОВ ВЕЧЕРНЕГО И ЗАОЧНОГО ОБУЧЕНИЯ
Москва 2014 год
СОДЕРЖАНИЕ
ПРЕДИСЛОВИЕ
В учебно-методическом пособии даны методические советы по самостоятельному изучению студентами заочного обучения курса «Информационная безопасность» и выполнению контрольной работы.
Изучение курса «Информационная безопасность» осуществляется в соответствии с учебным планом. Данный предмет изучается студентами заочного обучения на протяжении одного семестра и включает в себя 6 академических часов установочной лекции, выполнение контрольной работы и сдачей зачета.
На установочной лекции до студентов доводятся объем изучаемого материала, учебные темы и вопросы, даются рекомендации по методике самостоятельной работы и выполнению контрольной работы, разбираются наиболее сложные вопросы. Обязательным условием допуска к сдаче зачета является выполнение контрольной работы. В конце каждой темы Учебно-методического пособия приводятся перечни вопросов для самостоятельного контроля.
САМОСТОЯТЕЛЬНАЯ РАБОТА
Для студентов заочного обучения важность самостоятельной работы обусловлена прежде всего тем, что она является основной формой изучения ими предмета. Успех самостоятельной работы во многом зависит от высокой самодисциплины студентов, системного и целенаправленного накопления знаний.
Самостоятельная работа по изучению дисциплины «Информационная безопасность» включает следующие формы:
• работу с учебно-методическим пособием и дополнительной литературой;
• написание контрольной работы;
• подготовку к зачету.
С целью глубокого изучения дисциплины важно не только ознакомиться, прочитать, но и постараться осмыслить и понять учебный материал. После самостоятельного изучения темы, необходимо ответить на вопросы для самопроверки, размещенные в конце каждой темы.
КОНТРОЛЬНАЯ РАБОТА
Особой формой обучения студентов заочного обучения является выполнение контрольной работы. Написание контрольной работы преследует цель углубить, систематизировать и закрепить знания, полученные на установочной лекции и в процессе самостоятельного изучения материалов дисциплины.
Изложение материала должно носить творческий характер. Номера пунктов задания соответствуют номерам темам учебно-методического пособия. Не следует заниматься переписыванием учебника или скачивания материала из Интернета.
Контрольная работа представляется на проверку преподавателю до сдачи зачета. Контрольная работа оценивается по двухбалльной системе: "зачтено", "не зачтено". Если контрольная работа не будет зачтена, необходимо ее дополнить, с учетом замечаний преподавателя.
Контрольная работа заключается в создании отдела по информационной безопасности компании. Для выполнения этой задачи необходимо:
1. Выбрать или создать компанию и описать вид ее деятельности. Проанализировать и описать используемые в компании виды конфиденциальной информации. Определить какие виды компьютерных преступлений присущи этой компании. Обоснованно доказать, что для успешной работы этой компании необходимо создать отдел по информационной безопасности.
2. Выяснить виды угроз безопасности информации, которым может подвергнуться эта компания. Выявить возможные каналы утечки информации. Разработать неформальную модель нарушителя.
3. Проанализировать какие вредоносные программы и каким путем могут проникнуть в компьютерную систему компании.
4. На основании проведенного анализа, дать обоснованные предложения по закупке антивирусной программы.
5. На основании выявленных видов угроз безопасности информации и каналов утечки информации выбрать: меры обеспечения безопасности компьютерной системы компании,средства защиты от несанкционированного доступа.
6. Дать обоснованные предложения по закупке шифровальных средств для хранения и передачи по каналам связи информации компании.
7. Произвести оценку информационной безопасности компании до и после установки выбранных средств информационной безопасности.
Выводы.
Тема 1. Компьютерные преступления и их классификация
Основные понятия и определения
Информация – это осознанные сведения об окружающем мире, которые являются объектом хранения, преобразования, передачи и использования.
Информация является одним из объектов гражданского права том числе и прав собственности, владения, пользования.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Собственник информации – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Информационная безопасность – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений.
Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцам получить какой-либо выигрыш: материальный, политический, военный и т. д.
За последние 20 лет информационные технологии проникли во все сферы нашей жизни, управления и ведения бизнеса. Сам же бизнес из реального мира, давно переходит в мир виртуальный, а поэтому весьма зависим от вирусных, хакерских и прочих атак. Проблема надежного обеспечения сохранности информации является одной из важнейших проблем современности.
Деятельность любой организации в наше время связана с получением и передачей информации. Информация в настоящее время является стратегически важным товаром. Потеря информационных ресурсов или завладение секретной информацией конкурентами, как правило, наносит предприятию значительный ущерб и даже может привести к банкротству.
Цель защиты информации – предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.
Рост количества и качества угроз безопасности информации в компьютерных системах не всегда ведет к адекватному ответу на создание надежной системы и безопасных информационных технологий. В большинстве коммерческих и государственных организаций, не говоря о простых пользователях, в качестве средств защиты используются только антивирусные программы и разграничение прав доступа пользователей на основе паролей.
Рассмотрим, к чему приводит такое положение дел с защитой информации.
По данным американской компании Kroll, среди опрошенных в 2013 году 801 крупных компаний мира более 27% заявили, что за последние 12 месяцев столкнулись с фактами кражи данных в электронном виде. Годом ранее таких было лишь 18%. В то же время случаи краж данных на физических накопителях в прошлом году имели место в 27% опрошенных компаний, тогда как сейчас лишь в 20%.
Эти данные наглядно отражают изменяющуюся природу экономики. Все больше компаний понимают, что основная ценность – это инновации и идеи, говорит Ричард Плански, глава нью-йоркского офиса Kroll. По его словам, во время опроса выяснилось, что Китай стал самым проблемным в информационном плане рынком для многонациональных корпораций. 98% компаний, ведущих бизнес в этой стране, сообщили о случаях потери данных или их преднамеренных краж. В прошлом году таких компаний было 86%. На втором месте Колумбия, а замыкает тройку стран Бразилия.
В опросе также выяснилось, что объем ущерба от кражи данных в соотношении с объемом выручки компаний за последний год вырос примерно на 20% – до 1,7 млн. долларов на каждый миллиард долларов продаж. Годом ранее ущерб составлял 1,4 млн. долларов на каждый миллиард долларов выручки.
Невозможно обойти вниманием общемировую статистику, полученную американскими учеными и к сожалению применимую в России: 10 –15% всех людей являются нечестными по определению, 10 – 15% это абсолютно честные люди, а остальные 70 – 80% являются колеблющимися, то есть они поступят нечестно, если риск попасться будет минимальным.
Поэтому мошенничество сотрудников стало основной причиной вынужденного закрытия около 100 американских банков за последние 20 лет. 95% ущерба, понесенного в банковской сфере США, образуется при непосредственном участии персонала банков и только 5% за счет действий клиентов и иных лиц.
Рис. 1.1. Экономическая безопасность компании
Главной целью обеспечения безопасности компании является достижение максимальной стабильности функционирования, а также создание основы и перспектив роста для выполнения целей бизнеса, вне зависимости от объективных и субъективных угрожающих факторов (негативных воздействий, факторов риска).
Экономическая безопасность компании включает:
· кадровая безопасность –это процесс предотвращения негативных воздействий на экономическую безопасность компании за счет рисков и угроз, связанных с персоналом сотрудников, его интеллектуальным потенциалом и трудовыми отношениями в целом;
· финансовая безопасность рассматривает и регулирует вопросы финансово-экономической состоятельности компании, устойчивости к банкротству, определяет параметры платежеспособности и другие “денежные” характеристики;
· силовая безопасность занимается режимами, физической охраной объектов компании, личной охраной руководства и сотрудников, противодействием криминалу, взаимодействием с правоохранительными и другими государственными органами;
· информационная безопасность основана на защите различной информации компании, в том числе конфиденциальной, проводит деловую разведку, информационно-аналитическую работу с внешними и внутренними субъектами и т.д.;
· техническая безопасность предполагает создание и использование такой технической базы, оборудования и основных средств производства, таких технологий и процессов в бизнесе, которые усиливают конкурентоспособность компании;
· правовая безопасность подразумевает всестороннее юридическое обеспечение деятельности компании, грамотную правовую работу с контрагентами и властью, решения различных правовых вопросов.
Виды информации
В Федеральном законе «Об информации, информационных технологиях и защите информации» от 27.7.2006 г. № 149-ФЗ, определяется, что информация подразделяется на общедоступную информацию и информацию ограниченного доступа.
Разберем эти понятия.
Общедоступная информация – это информация, которую согласно Закону нельзя скрывать от общества. К ней относится:
· информация о состоянии окружающей среды;
· информация о деятельности органов государственной власти и органов местного самоуправления;
· документы, накапливаемые в открытых фондах библиотек и архивов;
· нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина;
· правовое положение организаций и полномочия государственных органов, органов местного самоуправления.
Информация ограниченного доступа – это информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании.
Информация ограниченного доступа подразделяется на информацию, составляющую государственную тайну и конфиденциальную информацию.
Государственная тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности государства.
В целях борьбы с разглашением государственной тайны установлен определенный порядок пользования сведениями, составляющими государственную тайну. За нарушение установленного порядка виновные привлекаются к уголовной ответственности
“Перечень сведений, отнесенных к государственной тайне” опубликован в законе Российской Федерации 1993 г. № 5485 “О государственной тайне”.
Конфиденциальная информация – это информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и охраняется её владельцем.
Перечень сведений конфиденциального характера опубликован в Указе Президента Российской Федерации от 6.03.97 г. № 188 «Об утверждении перечня сведений конфиденциального характера».
К конфиденциальной информации относится:
1. Персональные данные – сведения о фактах, событиях и обстоятельствах частой жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном федеральными законами случаях;
2. Тайна следствия и судопроизводства – сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ и другими нормативными правовыми актами Российской Федерации;
3. Служебная тайна – служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
4. Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);
5. Коммерческая тайна – сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
6. Сведения о сущности изобретения – сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Персональные данные (согласно Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных”) любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Коммерческая тайна – это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг, и получить иную коммерческую выгоду.
Перечень сведений, составляющих коммерческую тайну разрабатывается в организации.
Согласно Федерального закона "О коммерческой тайне" от 29.07.2004г.№98-ФЗ, к информации, составляющей коммерческую тайну (секрет производства) относятся:
1. Сведения производственные, технические, экономические, организационные и другие.
2. Сведения о результатах интеллектуальной деятельности в научно-технической сфере.
3. Сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, в отношении которых обладателем таких сведений введён режим коммерческой тайны.