Размещено на http://allbest.ru

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное автономное образовательное учреждение высшего образования

«Южно-Уральский государственный университет

(национальный исследовательский университет)»

Высшая школа электроники и компьютерных наук

Кафедра защита информации

КУРСОВАЯ РАБОТА

Принципы и общие методы обеспечения информационной безопасности

по дисциплине «Основы информационной безопасности»

Автор работы: студент Кулибаева А.Ж.

Руководитель: В.Ю. Бердюгин

доцент кафедры защиты информации

Челябинск 2020



Оглавление

Оглавление

Введение

Глава 1. Основные принципы обеспечения информационной безопасности

1.1 Правовые принципы обеспечения информационной безопасности

1.2 Организационные принципы обеспечения информационной безопасности

Глава 2. Методы обеспечения информационной безопасности

2.1 Правовые методы обеспечения информационной безопасности

2.2 Организационно-технические методы обеспечения информационной безопасности

2.3. Экономические методы обеспечения информационной безопасности

Заключение

Список использованной литературы



Введение

Актуальность. Мы живем в век информационных технологий. Информация - один из важнейших и ценнейших товаров нашей современности.

Даже толика важной информации дает возможность человеку или организации повлиять своими действиями на наш мир. Не зря существует выражение: «Кто владеет информацией, тот владеет миром!».

Также мы живем во времена, когда Интернет, социальные сети и другие прелести современных технологий стали частью нашей жизни, без которой уже невозможно комфортно существовать в нашем обществе. Мы постоянно выгружаем в Интернет часть информации о себе (будь то социальные сети, либо любые другие интернет сервисы), тем самым подвергая ее опасности. Ведь в руках злоумышленника она может быть обернута против нас самих.

Это же относиться и к различным организациям, предприятиям, и даже государству. Информация, принадлежащая данным субъектам, в руках злоумышленников может стать грозным оружием против общественности, нанести вред или же значительный ущерб.

Именно поэтому особую роль играет защита информации или же информационная безопасность.

Существуют принципы и методы обеспечения защиты информации, разработанные специально для того чтобы правильно и в полной мере обеспечить защиту информации. На данные принципы и методы специалисты по обеспечению безопасности опираются во время своей работы, что помогает им добиться лучшего результата.

Цель данной работы - изучение сущности процесса обеспечения информационной безопасности, заключающегося в принципах и методах защиты информации.

Для достижения поставленной цели в курсовой работе необходимо решить ряд задач:

1) Рассмотреть правовые и организационные принципы обеспечения информационной безопасности.

2) Рассмотреть правовые, организационно-технические, а также экономические методы обеспечения информационной безопасности.

Курсовая работа состоит из введения, двух глав, заключения и списка используемой литературы.



Глава 1. Основные принципы обеспечения информационной безопасности

Принципы защиты информации - основные идеи и важнейшие рекомендации по вопросам организации и осуществлению работ для эффективной защиты конфиденциальной информации [2] , или, другими словами, - главные правила, выполнение которых является обязательным на всех уровнях обеспечения информационной безопасности [6].

Данные принципы вырабатывались на протяжении длительной практики в организации работ по защите информации. При использовании данных принципов появляется возможность организовать работу системы безопасности эффективно, однако пренебрежение ими негативно сказывается на сохранении защищаемой информации.

Принципы обеспечения информационной безопасности можно условно разделить на две следующие группы:

-правовые принципы;

-организационные принципы;

1.1 Правовые принципы обеспечения информационной безопасности

Правовое регулирование защиты информации опирается на принципы информационного права. Данные принципы, базирующиеся на положениях основных конституционных норм, закрепляют информационные права и свободы, а также гарантируют их осуществление.

Кроме того, основные правовые принципы обеспечения защиты информации основываются на особенностях и юридических свойствах информации как полноценного объекта правоотношений. [3]

Классификация правовых принципов обеспечения информационной безопасности:

1. Законность. Законность - это политико-правовой принцип или реальное действие права в государстве, при котором граждане, должностные лица и государственные органы, строго соблюдают законы и правовые нормы. [4] Принцип законности в области защиты информации выражается, прежде всего, в том, что необходимо нормативно-правовое регулирование этой важной области общественных отношений в государстве. Законодательно должны быть:

? обозначены права различных субъектов в области защиты информации, на засекречивание информации и установление правил ее защиты;

? определено, что является государственной, коммерческой, иной охраняемой законом тайной;

? установлена уголовная, административная, материальная, моральная ответственность за незаконное покушение на защищаемую информацию и разглашение или передачу такой информации кому-либо, вследствие чего наступили или могли наступить вредные последствия для собственника (владельца) информации.

С другой стороны, должностные лица и другие работники предприятий и учреждений, которым по службе или работе доверяются секреты, в соответствии с действующими законами и подзаконными актами, должны наделяться правами, позволяющими им успешно осуществлять защиту доверенной им конфиденциальной или секретной информации, и на них должны налагаться обязанности по соблюдению соответствующего установленного режима, выполнение которого обеспечивает сохранность информации. [5]

Из вышеупомянутого определения следует, что данный принцип подразумевает собой полное и строгое соблюдение всеми субъектами права нормативно-правовых актов и основных в соответствии с ними иных юридических документов, а также обеспечение верховенства и единства законы, равенства всех перед законом и судом.

2. Приоритет международного права над внутригосударственным. Данный принцип подразумевает, что в случае, если нормами международного права предусмотрены иные меры, чем меры, предусмотренные национальным законодательством, применению будут подлежать нормы международного права.

Данный принцип помогает предотвратить проблемы более глобальные, международного уровня, избежать возникновения конфликтов между различными государствами, которые могу привести к потере доверия в международных отношениях, либо в худшем случае могут также привести к нанесению ущерба, вреда одной из сторон.

3. Принцип одинаковой секретности. Данный принцип будет способствовать укреплению мер доверия в международных отношениях, помогать устранению асимметрии режимных ограничений, сложившихся в различных странах.

Излишнее стремление по сокрытию информации от другой стороны всегда вызывает подозрение, так как такие действия обычно связывают с недобрыми намерениями одной стороны по отношению к другой. [5]

4. Собственность и экономическая целесообразность. Данный принцип подразумевает, под собой право собственников информации, объектов интеллектуальной собственности принимать меры к их защите с помощью различных правовых механизмов, в том числе с помощью патентов, норм авторского права, коммерческой тайны.

Лишь собственник (владелец) информации имеет право определять, какую информацию следует засекретить, и до какой степени и защищать как государственную или коммерческую тайну, или же запатентовать и защищать с помощью патента и оплачивать деятельность по защите любой охраняемой информации.

Секретность должна оцениваться как потребительское свойство и ее стоимость должна включаться в цену производимого продукта, за счет которой владельцем и будут осуществляться мероприятия, обеспечивающие режим секретности. Секретность должна быть экономической категорией, и ее соблюдение в условиях рыночной экономики - дело владельцев секретов, промышленной или банковской тайны, которые сами должны оценивать степень и время действия секретности с учетом полученной или упущенной выгоды. В области защиты государственной тайны действуют и другие (политические, военные и т.д.) факторы при решении проблем защиты информации. [5]

Принцип экономической целесообразности - стоимость средств защиты не должна превышать стоимость возможных потерь от нарушения информационной безопасности. [9]

Таким образом, правовые принципы обеспечения безопасности предполагают, что все действия, предпринимаемые для защиты информации, должны в полной мере соответствовать законам, принятым либо в том государстве, где находится защищаемый объект, либо на международном уровне, что позволяет избежать недопонимая и возникновения конфликтов между различными субъектами, которые в той или иной мере имеют отношение в защищаемому объекту - информации.

Также правовые принципы защиты информации подразумевают под собой то, что каждый субъект имеет права в соответствие с законами на выбор метода защиты своей собственности, то есть в нашем случае информации, и сам выбирает степень секретности в соответствии с экономической составляющей в условиях рыночной экономики.

1.2 Организационные принципы обеспечения информационной безопасности

Организационные принципы отражают общие по своей сути правила, подходы к защите информации. Они могут быть использованы при любой общественно-политической и экономической системе и при защите любого вида охраняемой информации (будь то государственная или коммерческая тайны).

Роль обеспечения организационной защиты информации определяется своевременностью и правильностью принимаемых руководством управленческих решений, при учете имеющихся в распоряжении средств, способов и методов защиты информации, также на основе действующих нормативно-методических документов.

Организационные принципы защиты информации включают в себя следующие принципы:

1. Научный подход к организации защиты информации. Данный принцип предполагает:

? с одной стороны, выявление и анализ возможных каналов утечки защищаемой информации с учетом объемов такой информации и носителей, на которых она накапливается, и ее важности;

? с другой стороны, изучаются и анализируются возможности конкурента по собиранию и добыванию защищаемой информации не вообще, а в каждом конкретном случае в отношении определенного предприятия, учреждения, отрасли или проблемы.

2. Системный и комплексный подход к организации защиты информации. Предполагает:

? обеспечение безопасности обслуживающего персонала, материальных и финансовых ресурсов от всех возможных угроз всеми доступными законными средствами, методами и мероприятиями;

? обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, во всех технологических процессах и операциях их создания, обработки, использования и уничтожения;

? способность системы защиты информации к развитию и совершенствованию в соответствии с изменяющимися внешними и внутренними условиями.[8]

Системный подход позволяет создать органически взаимосвязанную совокупность сил, средств и специальных методов по оптимальному ограничению сферы обращения засекреченной информации, предупреждению ее утечки. [5]

3. Ограничение числа лиц, допускаемых к защищаемой информации. Смысл данного принципа сводится к тому, что сохранность защищаемой засекреченной информации находится в зависимости от количества лиц, допущенных к обращению с ней. То есть чему уже данный круг лиц, тем выше вероятность сохранения в тайне данной информации.

Организационно данный принцип решается следующим образом: к секретным работам допускаются лица, имеющие, во-первых, на то соответствующее разрешение в виде допуска, и во-вторых, из числа лиц имеющих допуск, - получившие разрешение на работу с конкретной информацией в виде доступа, который получают только те, кто непосредственно связан по работе с этой информацией.

Своеобразным проявлением этого принципа возможно также дробление технологической цепочки производства какого-либо изделия, продукта на отдельные операции, знание одной из которых не дает возможность восстановить всю технологию. Каждая из операций засекречивается самостоятельно и переход специалиста с одной операции на другую или вообще бывает невозможен, или требует специального допуска и, следовательно, рассмотрения вопроса - с какой целью это делается, если происходит по инициативе работника. [6]

4. Персональная ответственность за сохранность доверенных секретов. Данный принцип подразумевает, что каждый сотрудник, допущенный к защищаемой информации, должен понимать и осознавать, что он несет персональную ответственность за сохранение в тайне этой информации. Важным фактором, повышающим ответственность сотрудников за сохранение доверенных им секретов, является обучение правилам защиты засекреченной информации и правилам обращения с конфиденциальными документами.

5. Единство в решении производственных, коммерческих, финансовых и режимных вопросов. В этом принципе заложено одно из проявлений комплексного подхода к организации защиты информации, имеющего, однако, относительно самостоятельное значение. Знание и учет этого принципа заключается в том, что лица, принимающие решения о засекречивании информации, болеющие больше, конечно, за решение производственных, финансовых, маркетинговых и иных подобных задач, не должны забывать и упускать из вида необходимость одновременного решения и режимных вопросов, там, где это необходимо.[7]

Данный принцип существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает целеустремленность должностных лиц на решение задач защиты информации. информация тайна конфиденциальный защита

6. Непрерывность защиты информации. Данный принцип заключается в том, что защита секретной или конфиденциальной информации должна начинаться с момента ее появления (получения, создания, генерирования) на всех этапах ее обработки, передачи, использования и хранения, вплоть до этапа ее уничтожения или рассекречивания.

Таким образом, организационные принципы обеспечения информационной безопасности отражают правила, подходы к защите информации, которые заключаются в научном подходе к защите информации, в распределении обязанностей и ответственности между сотрудниками, в принятии решений, которые затрагивают все области, участвующие в защите информации. Данные принципы помогают в полной мере обеспечить информационную безопасность.

Как вывод из первой главы следует еще раз упомянуть важность принципов обеспечения информационной безопасности, так как данные принципы вырабатывались на протяжении долгого времени и длительной практики и были закреплены в таких документах как Доктрина информационной безопасности РФ (утв. Указом Президента РФ от 5 декабря 2016 г №646)(статья 34), Федеральный закон от 28.12.2010 №390-ФЗ «О безопасности» (статья 2) и другие.

Придерживаясь данных принципов, специалист предотвращает возникновения многих проблем при защите информации, так как они являются общепризнанными и работают на практике, то есть применение вышеперечисленных принципов в совокупности ведет к качественному осуществлению защиты информации и обеспечению информационной безопасности.

Данные принципы используются в различных случаях, ситуациях, когда необходимо обеспечить защиту той или иной информацию, представление и предполагаемый способ использования которой могут быть представлены различными способами.

Пример использования некоторых принципов в государственной политике обеспечения информационной безопасности Российской Федерации, которая основывается на следующих основных принципах:

• соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации;

• открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;

• правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;

• приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.[9]



Глава 2. Методы обеспечения информационной безопасности

Метод - совокупность приёмов или операций практического или теоретического освоения действительности, подчинённых решению конкретной задачи. [13] В нашем случае, метод - совокупность мер, которые также прописаны в соответствующих документах, предназначенных для решения такой задачи, как защита информации.

Мера - это средство для осуществления чего-либо.[14]

Принято выделять следующие меры, применяемые в процессе организации защиты информации:

1. Законодательные (подразумевается работа с нормативно-правовыми актами);

2. Морально-этические (подразумевается работа, направленная на поддержание необходимой моральной атмосферы для персонала);

3. Физические (подразумевается работа по созданию физических препятствий для доступа посторонних лиц к защищаемой информации);

4. Административные (организационные) (подразумевается работа по организации соответствующего режима секретности, пропускного и внутреннего режимов);

5. Технические (подразумевается работа с техникой, электроникой или программным обеспечением для защиты информации).

Примеры документов РФ, в которых прописаны меры для определенных видов информации:

? Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

? ФСТЭК России. Методический документ «Меры защиты информации в государственных информационных системах» (утв. Федеральной службой по техническому и экспортному контролю 11 февраля 2014 г.);

? Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

? Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», и другие.

Исходя из определения понятия «метод», указанного ранее, можно сделать вывод, что методы по защите информации проистекают из заявленных выше мер, являются объединением, совокупностью этих самых мер.

Методы защиты информации почти всегда определялись формой представления самой информации и предполагаемыми способами ее использования.

Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.

Рисунок 1



2.1 Правовые методы обеспечения информационной безопасности

К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.

Наиболее важными направлениями этой деятельности являются:

• внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;

• законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

• разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;

• уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;

• законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи; • определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;

• создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.[9]

2.2 Организационно-технические методы обеспечения информационной безопасности

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

• создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;

• усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

• разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

• создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;

• выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;

• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

• совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

• контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;

• формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.



2.3 Экономические методы обеспечения информационной безопасности

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:

• разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;

• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.



Заключение

В данной курсовой работе были рассмотрены принципы и общие методы обеспечения информационной безопасности.

Исходя из всего вышесказанного, можно сделать вывод, что защита информации - это совокупность этих самых принципов и методов, в которых также заключается сущность процесса обеспечения информационной безопасности. Данные принципы и метода вырабатывались на протяжении довольно-таки продолжительной практики. Они способствуют успешному осуществлению процесса защиты информации, так как все они обладают в той или иной ситуации высокой эффективностью. Также они содержат в себе полезную для специалиста по обеспечению информационной безопасности информацию.

Исходя из полученной информации можно определить некоторые преимущества и недостатки того или иного метода и принципа.

Правовые принципы и методы помогают избежать проблем при помощи такой мощной силы, как закон. Организационные(технические) принципы и методы помогают предотвратить нанесения ущерба или вреда защищаемой информации с помощью организованной системы безопасности, техники и программных обеспечений. Экономические методы помогают рационально распределить имеющийся бюджет на обеспечение информации.

Таким образом, придерживаясь данных принципов и общих правил обеспечения информационной безопасности, можно (а главное нужно) обеспечить максимальную степень защищенности от различного рода посягательств.



Список использованной литературы

1) Доктрина информационной безопасности РФ (утв. Указом Президента РФ от 5 декабря 2016 г №646)

2) Куприянов, Л.В. Основы защиты информации / Л.В. Куприянов. - М.: Астрель, 2009. -220 с.

3) Домарев В.В. Безопасность информационных технологий / В.В. Домарев. - М. : Астрель, 2007. - 232 с.

4) Емельнов Б.М., Правкин С.А. Теория государства и права Ч.2. М.: МИЭМП, 2010. Гл. 23. Законность, правопорядок, общественный порядок.

5) https://moodle.kstu.ru/mod/page/view.php?id=28951

6) Башлы, П.Н. Основы информационной безопасности в таможенных органах РФ: учебник/ П.Н. Башлы.- Ростов н/Д: Российская таможенная академия, Ростовский филиал, 2014.

7) Галатенко, В.А. Стандарты информационной безопасности: учебное пособие. - 2-е изд./ Галатенко В.А., Бетелин В.Б. - М.: Интуит.ру, 2012

8) https://www.sites.google.com/site/inftech11/home/sam/materialy-lekcii-informacionnaa-bezopasnost-i-zasita-informacii

9) Астахова, Л. В. Теория информационной безопасности и методология защиты информации Текст учеб. пособие по специальности 090915 "Безопасность информ. технологий в правоохранит. сфере" и др. специальностям Л. В. Астахова ; Юж.-Урал. гос. ун-т, Каф. Безопасность инфформ. систем ; ЮУрГУ. - Челябинск: Издательский Центр ЮУрГУ, 2014.

10) Зегжда, Д. П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко ; под ред. А. М. Ивашко. - М. : Горячая линия-Телеком, 2000. - 452 с.

11) Ключевский, Б. Ю. Защита информации / Б. Ю. Ключевский. - М. : Изд. компания «Гротек», 1998. - 61 с.

12) Винер, Н. Кибернетика и общество / Н. Винер. - М. : «Издательство ДНТ», 1968. - 201 с.

13) https://gufo.me/dict/bse/Метод

14) Ожегов, С.И. Словарь русского языка / С.И Ожегов. - Москва : Просвещение, 1989. - 253 с.

Размещено на Allbest.ru

...