Сущность, методы и формы организационной защиты информации

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Реферат

по дисциплине «Организационно-правовые механизмы обеспечения информационной безопасности»

Сущность, методы и формы организационной защиты информации

Содержание

Введение

1. Понятие и сущность защиты информации

2. Методы и формы защиты информации

3. Организационно-правовые формы защиты информации

Заключение

Список использованной литературы

Введение

организационно-правовой защита информация

Во все времена информация была важнейшим фактором, наряду с человеческими, материальными и финансовыми ресурсами. Обмен информацией является необходимой основой для эффективного функционирования и развития различных сфер общественной жизни.

Для человека потребность в информации высока и постоянна. Например, в доисторический период знания о ядовитых растениях, опасных животных и т. д. были ключом к выживанию.

Информация о том, как добыть себе еду, воду, обустроить себе жилье и т. д. - жизненно необходима. Без использования механизма передачи и обмена информацией человечество было бы обречено на вымирание.

Постепенно информация стала не только средством накопления и обмена опытом, но и формой собственности, которая имеет определенную ценность. А если есть ценность, то возникает соблазн ее использования в корыстных целях. Поэтому возникла необходимость в защите информации. В современном мире информационные отношения затрагивают все сферы человеческой деятельности. Наряду с этим, помимо важной созидательной роли, возникает угроза национальной безопасности, связанная с нарушением установленных режимов использования информационных и коммуникационных систем, ущемлением прав граждан, распространением вредоносных программ, а так же использование современных технологий для террористических и других преступных действий. В связи с глобальным характером возникшей угрозы и появление международной киберпреступности, мировое сообщество должно создавать организационные структуры по координации работ в области защиты информационной безопасности.

В нашей стране все виды информационных отношений по защите информации подлежат обязательному регулированию. Результаты этой деятельности во многом зависят от целостности, достоверности и конфиденциальности информации. Эта деятельность регулируется законами Государства, такими как Конституция РФ, Федеральными законами, Доктриной о национальной безопасности и другими правовыми актами.

1. Понятие и сущность защиты информации

Перед тем, как раскрыть материал по данной теме, необходимо заглянуть в разные источники и определить, что же все-таки обозначает слово информация? Как оно трактуется в разных источниках и у разных авторов. Ведь этот термин в наши дни используется очень часто, широко и разносторонне и по-разному. Например, в словаре С.И.Ожегова и Т.Ф. Ефремовой под словом информация понимаются сведения об окружающем нас мире, а так же происходящих в нем процессах, предполагаемые человеком и воспринимаемые им. [1]

В середине 20-века научное сообщество рассмотрело информацию с позиции обмена информацией не только между людьми, а так же человеком и автоматом, автоматом и автоматом, и даже как обмен сигналами в растительном и животном мире, от клетки - к клетке, организма - к организму.

ГОСТ 7.0-99 «Информационно-библиотечная деятельность, библиография. Термины и определения» (введены в 2000 г.) дают формулировку: информация - это разъяснение, изложение, осведомление. Важно отметить, что в широком смысле - это общенаучное понятие, что это воспринимаемые человеком представления отражения фактов материального или духовного мира в процессе общения. Информация - это данные, уменьшающие неопределенность, неполноту знаний об объектах, процессах и явлениях окружающего мира. [2]

Федеральным законом от 27 июля 2006 г. N 149-ФЗ (в редакции от 14 июля 2022 г.) "Об информации, информационных технологиях и о защите информации" определено, что информация - это сведения о лицах, фактах, событиях, явлениях и процессах независимо от формы их представления. [3]

Из всего перечисленного следует, что это понятие очень широкое и распространенное, и трудно найти такую область, где бы оно ни использовалось.

С другой стороны важно отметить, что в наши дни, по сравнению с предыдущим периодом, роль информации сильно возросла. Это связано с увеличением её объема, развитием информационных технологий, с тем, что мир неустанно и быстро движется вперед. Следует подчеркнуть, что информация, знания, технологии становятся всё более востребованным товаром. В таких условиях повышается значение умения создавать, потреблять, распространять информацию, правильно ориентироваться в информационных потоках, возрастает значение информационной культуры человека. Прогрессивные информационные технологии передачи данных, накопления информации, ее хранение и использование расширяют возможности человека и общества в целом. Ведь благодаря более качественному уровню доступных операций с информацией человечество может выйти на новый уровень своего развития. Сегодня уровень развития страны во многом определяется уровнем ее информатизации, что, прежде всего, обеспечивает ее процветание и конкурентоспособность.

Как уже говорилось ранее, информация сегодня является не только средством передачи опыта и знаний, но и выступает формой собственности, а потому имеет определенную ценность, из этого следует, что одним из самых важных и актуальных вопросов, на мой взгляд, является вопрос информационной безопасности и защиты информации. Эти понятия включают в себя комплекс мер, мероприятий и действий, которые должны быть направлены на обеспечение ее достоверности, целостности и конфедициальности в процессе сбора, передачи, обработки и хранения. Информационная безопасность, в более широком смысле, понимается как совокупность организационно - правовых и технических мер по предотвращению угроз информационной безопасности и ликвидации их последствий.

Логика рассуждения по этому вопросу приводит к тому, что информационная безопасность определяется возможностями нейтрализовать опасные информационные воздействия, как состояние устойчивости основных сфер жизнедеятельности, каких как политика, экономика, культура, наука и др. по отношению к деструктивным и опасным информационным воздействиям, представляющим угрозу стране.

Из всего сказанного следует отметить, что защита информации - это комплекс мероприятий по созданию условий, ограничивающих распространение и затрудняющих незаконный доступ к засекреченной информации и ее носителям.

Еще раз следует подчеркнуть, что информационная безопасность становится важнейшим элементом всей системы национальной безопасности государства.

2. Методы и формы защиты информации

Мир не стоит на месте, развивается наука и техника и вместе с этим в каждую историческую меняются методы и средства защиты информации. Военные интересы государства определяют категорию защищаемой информации, как с экономической, военной, так и с политической точки зрения.

В своей работе « Системы защиты информации в ведущих зарубежных странах» В.И. Аверченков [4] считает, что эти этапы становления защиты информации можно условно разделить на три относительно самостоятельных периода. Автор полагает, что в основе такого деления лежит эволюция видов носителей информации.

На начальном этапе защита информации сводилась к предупреждению несанкционированного ее получения лицами, не имеющими на то полномочий. Для этого использовались формальные средства, функционирующие без участия человека и для опытных злоумышленников не составляли большой преграды. Поэтому объекты конфиденциальной информации защищали с помощью установления режима секретности, который обеспечивал строгий пропускной режим и жесткие правила ведения секретного документооборота.

Второй этап характеризовался осознанием необходимости комплексирования целей защиты, отличался интенсивными поисками, разработкой и реализацией способов и средств защиты. В этот период широко стала использоваться криптографическая защита. Распространение получило комплексное применение технических, программных и организационных методов и средств. Начали внедряться функциональные самостоятельные системы. Например, для паролей, но по усложненным процедурам, использовались такие признаки, как голос человека, отпечатки пальцев, рисунок сетчатки глаза, личная подпись, фотография. Однако к концу второго периода было отмечено, что максимально обеспечить защиту можно только с помощью комплексной защиты, а решить эту проблему нужно основываясь на научно-методологических основах защиты информации, с использованием более эффективных методов и средств.

Особенностью третьего этапа является использование всего наработанного опыта и формирование научного базиса защиты информации. А так же разработка целостной теории защиты информации. Защита информации находится в центре внимания в различных странах, и большой вклад в этот процесс внесли российские разработчики. Они разработали ряд методов и средств защиты информации. Рассмотрим некоторые из них.

Хотя существует много методов и средств способов защиты информации, но, по моему мнению, целесообразно остановиться на следующих: препятствие, маскировка, регламентация, управление, принуждение и побуждение. Одним из самых надежных и в то же время простых методов является препятствие. Это способ физический защиты информационных систем, при которой злоумышленники не могут попасть на охраняемую территорию. Помещения охраняются как людьми, так и специальными системами с парольной защитой.

С помощью маскировки информация преобразуется в такую форму данных, которые непригодны для восприятия посторонними лицами. Для этого метода используется криптография, древний способ для обеспечения секретности сообщений.

Управление соединяет в себе координацию управления всеми компонентами информационной системы.

Важным методом является регламентация, которая предполагает введение особых инструкций для манипуляции с охраняемыми данными. С регламентацией тесно связан метод принуждения, который вводит комплекс мер для обязательного выполнения работниками. Соблюдать установленный порядок помогает метод побуждения, который основан на нормах морали и этики.

Следует отметить, что методы защиты информации не могут существовать без инструментов защиты - определенного набора средств.

В.И. Аверченков под защитой информации в общем виде понимает соединение в единое целое отдельных элементов, механизмов, процессов, явлений, мер и программ их взаимосвязей, способствующих реализации целей защиты и обеспечению структурного построения системы защиты.

По мнению автора структурно - типовая система защиты информации представляет собой совокупность отдельных взаимосвязанных элементов, реализующих ее виды. При построении системы защиты информации в типовую модель вносят изменения, исходя из ценности информации. Так, например, в некоторых организациях средства правовой и организационной защиты рассматривают вместе, а в программно - аппаратной защите разделяют программные и аппаратные методы и средств защиты информации. Долгое время морально - этические и психологические элементы защиты информации рассматривались лишь в теории.

Еще раз отмечу, что для обеспечения защиты информации важно использовать как можно больше методов и средств и использовать их в комплексе.

3. Организационно-правовые формы защиты информации

В предыдущих разделах я рассмотрела важность и необходимость защиты информации. Наряду с правовой и инженерно-технической защитой информации, большая роль отводится мероприятиям организационно-правовой защиты.

Организационные формы защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы системы на всех этапах их жизненного цикла[5].

Организационная защита информации - составная часть системы защиты информации, определяющая и вырабатывающая порядок и правила функционирования объектов защиты и деятельности должностных лиц в целях обеспечения защиты информации. Данное определение в большей степени показывает сущность организационной защиты информации. Основные направления организационной защиты информации:

- организация внутри объектового пропускного режима и охраны

- организация работы с персоналом

- организация работы с носителями сведений

- организация работы с документами

- организация аналитической работы и контроля

- комплексное планирование мероприятий по защите информации

Организационная защита обеспечивает организацию охраны, режима, работу с кадрами и документами. Это далеко не полный перечень мероприятий по организационной защите информации. Все зависти от специфики предприятия и информации.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать только с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

Разработкой комплекса организационных средств защиты информации должна заниматься служба безопасности. Специалисты по безопасности разрабатывают внутреннюю документацию, устанавливают правила работы с конфиденциальной информацией. В обязательном порядке начальном этапе проводят инструктаж, а затем и периодические проверки персонала, инициируют подписание дополнительных соглашений об ответственности за разглашение информации. Так же разграничивают зоны ответственности, внедряют программные продукты для защиты от копирования и уничтожения информации. Составляют планы для восстановления системы в случае непредвиденной ситуации.

Организационно-правовая защита информации является основой, так называемым «ядром» в общей системе защиты конфиденциальной информации. От полноты и качества решения руководством предприятия, а так же должностными лицами организационных мер зависит эффективность функционирования системы в целом.

Роль и место организационной защиты информации в общей системе мер, направленных на защиту конфиденциальной информации предприятия, определяются исключительной важностью принятия руководством своевременных и верных управленческих решений с учетом имеющихся в его распоряжении сил, средств, методов и способов защиты информации и на основе действующего нормативно-методического аппарата.

Вопросы обеспечения информационной безопасности тесно связаны с правовым регулированием. Можно выделить следующие направления сфер деятельности:

- обеспечение связи и коммуникаций

- использование криптографических средств, в т.ч. шифрования и ЭЦП

- лицензирование, сертификация и аттестация объектов и средств защиты информации.

Основой проведения организационных мероприятий является использование и подготовка законодательных правовых средств защиты информационной безопасности, которые регулируют доступ к информации со стороны потребителей на правовом уровне.

В правовом обеспечении информационной безопасности можно выделить четыре уровня.

Первый уровень включает в себя международные и федеральные законы России. К ним относятся:

Конституция РФ;

Международные конвенции об охране интеллектуальной собственности и авторском праве;

Законы и другие нормативные акты РФ, регулирующие отношения в области безопасности;

Федеральный закон «О безопасности» N 390-ФЗ от 28.12.2010;

Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральный закон от 21.09.93 г. N 182 «О государственной тайне»;

Федеральный закон от 27.07.06 г. N 152-ФЗ «О персональных данных»;

Федеральный закон от 27.12.91 г. «О средствах массовой информации»;

Федеральный закон от 6.04.11 г. N 63-ФЗ «Об электронной подписи»;

Гражданский кодекс РФ (ч. 1, 2. 4);·

Уголовный кодекс РФ.

Второй уровень правового обеспечения информационной безопасности составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ.

Третий уровень правового обеспечения информационной безопасности составляют государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами. Например:

- ГОСТ Р 50922-96 «Защита информации. Основные термины и определения», ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» и др.;

- руководящие документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и др.

Четвертый уровень правового обеспечения информационной безопасности образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в компьютерной системе конкретной организации. К таким нормативным документам относятся:

- приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;

- трудовые и гражданско-правовые договоры, в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия, и др.

В целом организационные средства защиты информации имеют преимущества, они помогают решать множество разнообразных проблем, достаточно просты и понятны в реализации, позволяют быстро реагировать на нежелательные несанкционированные действия, имеют большие возможности модификации и развития. Но, наряду с этим существуют такие недостатки, как высокая зависимость от субъективных факторов, в том числе от организации работы в каждой конкретном подразделении, в каждой конкретной организации.

Заключение

В результате проведённого исследования можно сделать ряд выводов:

Во-первых, что проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Они требуют постоянного, неослабевающего внимания со стороны Государства и общества.

Развитие информационных технологий побуждает к постоянному приложению совместных усилий по совершенствованию методов и средств, позволяющих достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них.

Во-вторых, из вышеперечисленного анализа следует, что характеристика понятия «информация», выделение основных свойств информации являются ключевыми моментами при определении того, что же подлежит защите. Так же, что понятие информация широко и многогранно.

В-третьих, в ходе анализа выделены три основных свойства информации (конфиденциальность, целостность и доступность), защита которых обеспечивает сохранение ценности информации.

В-четвертых, из исследования по данной теме стало очевидно, что информация является объектом права собственности, и информационные отношения регулируются соответствующими законодательными и нормативными актами.

В-пятых, информационные ресурсы классифицируются в зависимости от вида отражаемой ими тайны.

И, в заключение, хочется вспомнить слова Натана Ротшильда: «Кто владеет информацией, тот владеет миром», но немного ее перефразировать: «Тот, кто владеет информацией и грамотно защищает ее, владеет миром».

Список использованной литературы

1. Ожегов С.И. Словарь русского языка. М.: Русский язык, 2009.

2. Нестеров А.К. Роль информации в современном обществе // Энциклопедия Нестеровых - https://odiplom.ru/lab/rol_informacii.html[Интернет-ресурс].

3. ГОСТ 7.0-99 «Информационно-библиотечная деятельность, библиография. Термины и определения» (введен в 2000 г.)

4. Аверченков В.И., Рытов М.Ю., Кондрашин Г.В., Рудановский М.В. Системы защиты информации в ведущих зарубежных странах: учебное пособие для вузов 5 изд., стер. - Москва: ФЛИНТА, 2021. -224 с.

5. Вострецова Е.В. Основы информационной безопасности : учебное пособие для студентов вузов. Екатеринбург: Изд-во Урал. ун-та, 2019. -- 204 с.

6. Справочно-правовая система «КонсультантПлюс».

Размещено на Allbest.ru