Защита конфиденциальной информации

Размещено на http://www.allbest.ru/

«Национальный исследовательский ядерный университет МИФИ»

Реферат

по Средствам и методам защиты информации

на тему: Защита конфиденциальной информации

Выполнил:

Студент 1 курса

группы Р02-206

Коршунов Артур

Преподаватель:

Бонч-бруевич А.М.

Москва 2014г.



Содержание

Введение

1. Общие сведения о конфиденциальности

1.1 Понятие конфиденциальность и ее виды

1.2 Угрозы защиты конфиденциальной информации

1.3 Каналы распространения и утечки конфиденциальной информации

2. Информационная безопасность и защита конфиденциальной информации

2.1 Защита конфиденциальной информации

2.2 Организация систем защиты конфиденциальной информации

Заключение конфиденциальный информация логический

Список используемой литературы



Введение

Проблемы защиты информации в автоматизированных системах (АС) не теряют своей актуальности вот уже почти 40 лет. Это объясняется тем, что накапливаемая, хранимая и обрабатываемая в АС информация является достаточно уязвимой как с точки зрения опасности ее искажения или уничтожения (нарушения физической целостности), так и с точки зрения несанкционированного доступа к ней лиц, не имеющих на это полномочий.

Если первую опасность можно было предположить с самого начала развития технологии автоматизированной обработки информации, то вторая возникла не так давно и явилась в значительной степени неожиданностью для специалистов и пользователей АС, В зарубежной печати начиная с 70-х годов, периодически публиковались сведения(причем нередко сенсационные) о конкретных данных хищения информации, находящейся в АС. Внезапность, возможность дальнейшего эффективного использования похищенной информации и некоторая детективность указанного явления способствовала тому, что защина информации сконцентрировалась в последнее время именно вокруг предупреждения ее несанкционированного получения. В связи с этим для развития методов и средств защиты характерно постоянное противоборство злоумышленников и специалистов по обеспечению безопасности информации.

Развитие методов защиты информации в АС от нарушения ее физической и логической целостности, а также от несанкционированного доступа происходило параллельно с развитием самих электронных средств обработки данных, что обусловливалось их тесной взаимосвязью. Совершенствуясь и развиваясь от сравнительно простых вычислительных устройств 50-х годов до современных суперЭВМ и компьютерных сетей, вычислительные машин в принципе сохранили те же основные элементы: блоки памяти, процессоры, устройства ввода и вывода. Аналогично формировались и основные подходы к разработке методов и способов защиты данных и программ, которые в настоящее время предполагают использование специально создаваемых аппаратных и программных средств, а также определенных организационных процедур обработки. Однако это не исключает возможности коренного изменения в будущем самого подхода к разработке новых изначально защищенных информационных технологий, попытки создания которых подготавливаются бурным процессом информатизации общества.

Постоянное расширение сфер информатизации, значительный рост в связи с этим количества практически встречающихся критичных к соблюдению требований безопасности информации ситуаций требуют обобщения основных принципов и способов организации систем защиты.



1. Общие сведения о конфиденциальности

1.1 Понятие конфиденциальности и виды

Значение определения "конфиденциальность" в переводе с английского означает доверие и трактуется как необходимость предотвращения утечки (разглашения) какой-либо информации. С точки зрения этимологии, слово "конфиденциальный" происходит от латинского confidentia - доверие и в современном русском языке означает "доверительный, не подлежащий огласке, секретный".

Конфиденциальная информация может быть любая информация с ограниченным доступом, не отнесённая действующим законодательством к государственной тайне, так как информация с ограниченным доступом - это прежде сведения, данные и знания, известные определенному кругу лиц, имеющих для них особую ценность. Ограничение доступа к информации устанавливается в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Основу для законодательного закрепления отдельных видов конфиденциальной информации в Российском законодательстве составляет Конституция Российской Федерации, в ней закреплено право граждан, организаций и государства на тайну. На основе этих положений Конституции Российской Федерации отраслевым законодательством выделяются соответствующие виды информации с ограниченным доступом.

В соответствии со ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ (в ред. от 06.04.2011) "Об информации, информационных технологиях и о защите информации" конфиденциальная информация является документированной информацией и предоставляется на материальном носителе (бумажный, электронный), доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В целом данное определение следует признать достоверным, за исключением, того момента, что не всегда информация с ограниченным доступом является документированной, например сведения, составляющие личную и семейную тайну, а также тайну голосования и тайну исповеди, не обязательно зафиксированы на материальном носителе.

В случае если информация с ограниченным доступом зафиксирована на материальном носителе, то конфиденциальность сведений отражает гриф, устанавливаемый на материальном носителе информации.

Для обозначения грифа конфиденциальности используются международные и национальные нормативные документы. Причем требования российского законодательства отличаются от международных стандартов.

В настоящее время нет четкой и единой классификации видов конфиденциальной информации, хотя действующими нормативными актами установлено свыше 30 ее разновидностей. Определенные попытки такой классификации предприняты учеными. А. И. Алексенцев предлагает следующие основания разделения информации по видам тайны:

- собственники информации (по отдельным видам они могут частично совпадать);

- области (сферы) деятельности, в которых может быть информация, составляющая данный вид тайны;

- на кого возложена защита данного вида тайны (по некоторым видам тайны здесь также возможно совпадение).

А. А. Фатьянов классифицирует подлежащую защите информацию по трем признакам: по принадлежности, по степени конфиденциальности (степени ограничения доступа) и по содержанию.

По принадлежности владельцами защищаемой информации могут быть органы государственной власти и образуемые ими структуры (государственная тайна, служебная тайна, в определенных случаях коммерческая и банковская тайны); юридические лица (коммерческая, банковская служебная, адвокатская, врачебная, аудиторская тайны и т. п.); граждане (физические лица) - в отношении личной и семейной тайны, тайны исповеди, нотариальной, адвокатской, врачебной.

По степени конфиденциальности (степени ограничения доступа) в настоящее время можно классифицировать только информацию, составляющую государственную тайну.

По содержанию защищаемая информация может быть разделена на политическую, экономическую, военную, научную, технологическую, личную, коммерческую и т.п.

1.2 Угрозы конфиденциальной информации

Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются:

- ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

- модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

- разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифицированы по следующим кластерам :

По величине принесенного ущерба:

- предельный, после которого фирма может стать банкротом;

- значительный, но не приводящий к банкротству;

- незначительный, который фирма за какое то время может компенсировать и др.;

По вероятности возникновения:

- весьма вероятная угроза;

- вероятная угроза;

- маловероятная угроза;

По причинам появления:

- стихийные бедствия;

- преднамеренные действия;

По характеру нанесенного ущерба:

- материальный;

- моральный;

По характеру воздействия:

- активные;

- пассивные;

По отношению к объекту:

- внутренние;

- внешние.

Источниками внешних угроз являются:

- недобросовестные конкуренты;

- преступные группировки и формирования;

- отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

- администрация предприятия;

- персонал;

- технические средства обеспечения производственной и трудовой деятельности.

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;

17% угроз совершается извне - внешние угрозы;

1% угроз совершается случайными лицами.

1.3 Каналы утечек конфиденциальной информации

Для организации системы противодействия утечкам информации необходимо четко представлять, через какие каналы могут "утекать" конфиденциальные данные. Это позволит правильно организовать защиту таким образом, чтобы она, с одной стороны, была действительно эффективной, а с другой - обладала минимальной стоимостью владения. В данном обзоре мы подробно разберем, какие каналы утечки конфиденциальных данных актуальны на сегодняшний день.

Компьютеры

Одним из основных каналов утечки всегда были компьютеры, на которых хранится конфиденциальная информация. Это могут быть как серверы (например, сервер баз данных, почтовый сервер и пр.) и рабочие станции корпоративной сети, так и ноутбуки пользователей. Первые постоянно находятся в помещениях организации и не могут выноситься наружу сотрудниками. Вторые используются для выездной работы и могут свободно покидать территорию офиса. Таким образом, ноутбук, который используется вместо ПК на рабочем месте, тоже может считаться стационарным компьютером в плане обеспечения безопасности.

Применительно к мобильным компьютерам добавляется еще одна угроза - риск случайно утери или физической кражи ноутбука с конфиденциальной информацией. В случае стационарного ПК вероятность такого события стремится к нулю (случаи обкрадывания офисов с выносом компьютерного оборудования достаточно редки). Ноутбуки же теряются, судя по сообщениям в прессе, достаточно регулярно. Таким образом, если для стационарных компьютеров необходима лишь DLP-система, контролирующая все основные каналы утечки данных, то для мобильных дополнительно требуется шифрование конфиденциальной информации.

Другой причиной, заставляющей говорить о компьютерах как об основном канале утечек конфиденциальной информации, является следующий факт. Согласно исследованиям, они занимают просто огромную долю среди умышленных утечек данных. Между тем, именно умышленные утечки представляют собой наиболее серьезную угрозу и приводят к самым неприятным последствиям.

Интернет

Сегодня Интернет активно используется во многих бизнес-процессах. Но, при этом, он представляет собой и достаточно серьезный канал для утечки конфиденциальной информации. По данным SecurIT на глобальную сеть в 2010 году приходилось около 35%, а в 2011 - уже 43,9% всех инцидентов, связанных с компрометацией данных (включая хакерские действия, подавляющее большинство которых осуществляется с использованием Интернета). InfoWatch приводит другие данные - 23% в 2010 и 19,8% в 2011. Видно, что эти цифры, в целом, перекликаются с показателями утечек через компьютеры. Именно поэтому Интернет и компьютерное оборудование на сегодняшний день и являются основными каналами утечки информации.

Съемные накопители

Если почитать прессу, то может показаться, что съемные накопители являются чуть ли не главным источником всех проблем. Журналисты любят рассказывать про потерянные или украденные "флешки" и мобильные диски с конфиденциальной информацией. Однако, на самом деле, съемные накопители становятся причиной инцидентов относительно редко. По данным InfoWatch в 2010 с ними было связано всего 8% утечек данных. Цифра в отчете SecurIT несколько больше - 12,6%. В 2011 доля съемных накопителей уменьшилась. По данным SecurIT на них пришлось всего 6,3%, а по данным InfoWatch - 6,2% от общего количества инцидентов, связанных с утечками конфиденциальных данных.

Объясняется это достаточно просто. Несмотря на то, что всевозможные USB-накопители получили широкое распространение, они не так часто используются для переноса и, уж тем более, хранения конфиденциальных данных. Кроме того, этот канал относительно легко контролируется. Достаточно ввести обязательное шифрование данных на корпоративных "флешках", чтобы обезопасить их в случае утери накопителя.

Бумажные документы

Говоря об информационной безопасности и защите от утечек конфиденциальных данных, часто забывают о таком канале, как бумажные документы. Между тем, недооценивать его ни в коем случае нельзя. Согласно исследованиям, инцидентов, связанных с распечатанной на бумаге информацией, происходит достаточно много. По данным SecurIT в 2010 году их доля в общем количестве составляла 12,7%. InfoWatch предоставила еще более пессимистичную цифру - 20%. Правда, в 2011 году ситуация несколько улучшилась. SecurIT в своем отчете привела цифру в 7,4%, а InfoWatch - 19,1%. Тем не менее, видно, что бумажные документы сплошь и рядом оказываются более опасными, нежели съемные накопители и электронная почта.

Ситуацию усугубляет два факта. Во-первых, в большинстве организаций контроль заканчивается на печати документа. После этого его перемещение по офису и утилизация никак не отслеживается и полностью остается на совести сотрудников. Во-вторых, на сегодняшний день контроль за бумажными документами возможен только с помощью организационных мер (серьезно говорить о внедрении в офисе режима секретности по примеру организаций, работающих с документами, представляющих государственную тайну, мы не будем). Трудовая же дисциплина во многих компаниях остается достаточно низкой. В результате чего документы с конфиденциальной информацией отправляются не в шредер, а просто в мусорную корзину. Откуда они попадают в мульду и могут быть найдены злоумышленниками.

Примечательно распределение утечек конфиденциальной информации, связанных с бумажными документами, по умышленным и случайным инцидентам. Дело в том, что практически все они относятся ко второй категории. Более того, именно бумажные документы являются основным каналом случайной утечки информации и уверенно удерживают первое место. По данным InfoWatch их доля в общем числе достигает 30%! В то время как среди умышленных утечек они делят третье место с Интернетом со значением в 9%.

Другие каналы утечки

Помимо основных, перечисленных выше, существует немало других каналов утечки конфиденциальной информации. Они значительно менее распространены, но, тем не менее, забывать о них нельзя. Тем более, что многие из этих каналов используются злоумышленниками для целенаправленной добычи определенной информации. То есть такие утечки, несмотря на их малый процент в общей доле, способны нанести ощутимый ущерб любой организации.

В первую очередь к таким каналам относятся архивные накопители, предназначенные для хранения копий конфиденциальной информации, включая всевозможные базы данных. Во многих компаниях информация на них записывается в открытом виде. Поэтому, при утере или краже такого накопителя данные легко становятся добычей злоумышленников. Это видно и по отчетам. Так, согласно данным InfoWatch, в 2010 на резервные накопители пришлось всего 2% инцидентов, связанных с утечками конфиденциальной информации. А уже в 2011 году их доля выросла до 8,5%.

Другим каналом утечки конфиденциальных данных является некорректная утилизация компьютерного оборудования и носителей. Во многих организациях списанные компьютеры продаются или передаются в некоммерческие учреждения. И, при этом, бывают случаи, когда ПК отдаются в том виде, в каком они есть, без удаления всей информации. Но, даже если жесткий диск компьютера и будет отформатирован, вернуть данные к жизни не составит никакого труда. Перед утилизацией носитель должен быть подвергнут специальной процедуре очистки, которая сделает восстановление информации невозможным.

Помимо этого существует еще несколько каналов утечки конфиденциальной информации, включая мошеннические действия в отношении сотрудников компании, фишинг и пр.



2. Информационная безопасность и защита конфиденциальной информации

2.1 Защита конфиденциальной информации

В современном деловом мире России, в связи с вхождением в мировое информационное пространство, быстрыми темпами внедряются новейшие достижения компьютерных и телекоммуникационных технологий. Создаются локальные и региональные вычислительные сети, большие территории охвачены сетями сотовой связи, факсимильная связь стала доступна для широкого круга пользователей. Системы телекоммуникаций активно внедряются в финансовые, промышленные, торговые и социальные сферы.
Защита информации - это совокупность организационно-технических мероприятий и правовых норм для предупреждения причинения ущерба интересам владельца информации. Долгое время методы защиты информации разрабатывались только государственными органами, а их внедрение рассматривалось как исключительное право того или иного государства. В последние годы в связи с развитием предпринимательской коммерческой деятельности, регистрируется всё больше и больше попыток несанкционированного доступа к конфиденциальной информации, а проблемы защиты такой информации оказались в центре внимания многих ученых и специалистов из различных стран. Следствием этого процесса значительно возросла потребность в специалистах по защите информации.

Компьютерные преступления могут происходить в органах государственного и регионального управления, на оборонных и других государственных предприятиях, в коммерческих и промышленных структурах. Они могут осуществляться частными лицами, в том числе клиентами банков. Основными группами правонарушителей являются: хакеры (hackers), крейкеры (creakers), террористы и экстремисты, а также коммерческие предприятия, ведущие промышленный шпионаж. Целью защиты информации является предотвращение приведения в исполнение вышеперечисленных угроз.

Однако, несмотря на постоянное совершенствование механизмов защиты информации, в современных вычислительных комплексах остаётся большое число лазеек для несанкционированного доступа к информации. Никакой отдельно взятый способ защиты не может обеспечить адекватную безопасность. Надежная защита может быть гарантирована только при создании механизма комплексного обеспечения безопасности, как средств обработки информации, так и каналов связи.

Технические средства защиты конфиденциальной информации представляют собой электрические, механические, электромеханические или электронные устройства. Кроме того, вся совокупность технических средств защиты делится на физические и аппаратные.

Так, физические средства защиты информации реализуются в виде автономных систем и устройств - они выполняют функции общей защиты объектов, на которых обрабатывается информация. К ним относятся: устройства защиты территорий и зданий, замки на дверях, где размещены аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, телекоммуникационную аппаратуру или устройства, работающие с подобной аппаратурой по стандартным интерфейсам. Наиболее известные аппаратные средства: схема контроля информации по четности битов, схема защиты массивов памяти по криптографическому ключу и др.

Программные же средства представляют собой разработанные под конкретную систему прикладные программы, специально предназначенные для выполнения функций защиты информации.

Увеличение объёмов электронного документооборота, развитие электронных платёжных систем на фоне роста рисков значительных финансовых потерь от завладения злоумышленниками конфиденциальными данными являются стимулом для развития современной аппаратной и программной базы защиты информации. При этом расходы на организацию и поддержку систем защиты информации - одна из статей корпоративных расходов, которая в большинстве компаний только увеличивается.

Для обеспечения физической сохранности конфиденциальных документов, дел и носителей, а также для предотвращения утечки содержащейся в них информации должен быть установлен специальный режим их хранения.

2.2 Организация систем защиты конфиденциальной информации

Защитить конфиденциальную информацию организационными мерами, программными и техническими средствами в полной мере в современных условиях невозможно.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:

- организацию охраны, режима, работу с кадрами, с документами;

- использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

- организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

- организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

- организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

- организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

- организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

- организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.



Заключение

На современном этапе развития общества наибольшую ценность приобретает не новый, но всегда ценный, ресурс, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества.

Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена.

Поэтому в новых условиях возникает масса проблем, связанных с обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной собственности.

В условиях рынка и конкуренции коммерческая тайна выступает как элемент маркетинга и предприимчивости, как способ увеличения прибыли предприятия, либо как способ нанесения ущерба конкурентам. Утечка коммерческих секретов может привести к снижению доходов предприятия или его банкротству.

В процессе работы над поставленными задачами были сделаны следующие выводы: под документами, отнесёнными законом к категории конфиденциальной подразумевается информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой, является его собственной, или частной информацией, представляющей значительную ценность для предпринимателя. Эта информация составляет его интеллектуальную собственность. Такая информация в законодательстве именуется конфиденциальной.

Эта информация отражает приоритетные достижения в сфере экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам её собственнику (в том числе фирме, предприятию).

Документы ограниченного доступа делятся на "несекретные" и "секретные". Обязательным признаком секретного документа является наличие в нём сведений, отнесённых законодательством к государственной тайне.

Несекретные документы ограниченного доступа входят в перечень сведений конфиденциального характера, утверждённый Указом Президента РФ от 6 марта 1997 года № 188.

Под конфиденциальным документом, т.е. документом, к которому ограничен доступ персонала, понимается необходимым образом оформленный носитель документированной информации, содержащий сведения, которые не относятся к государственной тайне и составляют интеллектуальную собственность юридического и физического лица.

Угроза безопасности информации предполагает незаконный доступ конкурента к конфиденциальной информации и использования её конкретности для нанесения вреда предприятию. Необходимо знать, что в отличие от открытых документов, процесс исполнения конфиденциальных документов представляет собой достаточно насыщенную различными технологическими этапами и процедурами технологию.

Нормативно-методическое обеспечение системы защиты конфиденциальной информации предназначено для регламентации процессов обеспечения безопасности информации фирмы, в том числе при работе персонала с конфиденциальными сведениями, документами, делами и базами данных. Оно включает в себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы предотвращения пассивных и активных угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц.

Следовательно, система защиты ценной, конфиденциальной информации предпринимательской фирмы реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого работника фирмы. Знание работниками своих обязанностей по защите секретов фирмы является обязательным условием эффективности функционирования системы защиты.

Обобщая все вышесказанное, можно сделать вывод, что система защиты информации представляет собой комплекс организационных, технических и технологических средств, методов и мер, препятствующих незаконному доступу к информации.



Список используемой литературы

1. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учеб. Пособие МИФИ,2004.

2. Алексенцев, А.И. Конфиденциальное делопроизводство / А.И. Алексенцев. - М.: ООО "Журнал "Управление персоналом", 2003.

3. Алексенцев, А.И. Организация и технология размножения конфиденциальных документов / А.И. Алексенцев. - 2003. - № 4.

4. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации // А.А. Малюк и др. - М.: Горячая линия - Телеком, 2004.

5. Степанов, Е.А. Информационная безопасность и защита информации: учеб. пособие / Е.А. Степанов, И.К. Корнеев. - М.: Инфра-М, 2003.

...