Сочинение на тему информационная безопасность

13 вариантов

1. ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
   ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
   ВЫСШЕГО ОБРАЗОВАНИЯ
   ВЯТСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
   Факультет экономики и финансов
   Кафедра экономики
   Группа ЭБС-12
   Информационная безопасность.
   Эссе
   по введению в специальность
   студента __ курса ФЭиФ
   Матвеевой Елены Алексеевны
   Киров
   2016
   Введение.
   Тема «информационная безопасность» достаточно актуальна и интересна.  В наше время информационная безопасность является неотъемлемой и главной в общественных отношениях. В обществе очень важно помимо донесения необходимой информации уметь её обезопасить, если она представляет определенную конфиденциальность. Однако государство скрывает большое количество информации. Все мы ходит получать достоверную информацию, но безопасность для этого и существует, чтобы уберечь информацию от недостоверных факторов и не дать ошибочным суждениям продвинуться в массы. Информационная безопасность имеет свои задачи, на которых я остановлюсь в своей работе. Также в своей работе я рассмотрю группы угроз информационной безопасности. Для более полного раскрытия темы остановлюсь на мерах обеспечения информационной безопасности и её принципах.
   Понятие информации.
   По первоначальному определению информацией являются сведения, которые люди передают друг другу каким-либо путем (письменно, устно и иными способами). С середины XX века термин «информация» приобретает общенаучный характер и содержит в своем понятии следующие моменты: Сведения, передающиеся между человеком и человеком, автоматом и человеком и между автоматами. Также сюда относятся сигналы растительного и животного мира и другие аспекты. Отсюда следует, что понятие «информация» является многозначным, фундаментальным и универсальным. Если подойти к этому вопросу с философской точки зрения, то информация существует, не завися от человека. В рамках взятой мной темы термин «информация»  следует рассмотреть в узком смысле. В этом смысле под информацией понимаются сведения, которые являются объектом сбора, хранения, обработки, использования, а также передачи в системах информации. (Под системой информации понимается объединение технических и программных средств и пользователей, которые работают с данными средствами, которое имеет функцию обеспечения информационной технологии выполнением установленных функций). Дав определение понятию «информация», раскроем суть понятия «информационная безопасность».
   Понятие информационной безопасности
   Понятие «информационная безопасность» также может рассматриваться в широком и узком смыслах. В более широком смысле определение данному понятию приведено в Доктрине информационной безопасности Российской Федерации. В этом смысле «информационная безопасность» – это защищенность государственных интересов в сфере информации, которая определяется интересами отдельных индивидов, всего общества в целом и государства. В более узком смысле информационной безопасностью является защищенность информации от случайных или намеренных посягательств какого-либо характера (информационных угроз), имеющих возможность причинения ущерба субъектам информационных отношений. Информационная система содержит в себе следующие аспекты: Обеспечение доступности, целостности и конфиденциальности информации.
   Объекты защиты информационной безопасности.
   Выделяют объекты защиты при обеспечении информационной безопасности. Основными из них являются:
   Всевозможные виды информационных ресурсов, то есть информации, которая содержится на материальном носителе с устройствами, позволяющими ее считать.
   Права физических, юридических лиц и государства на сбор, распространение и реализацию информации.
   Система образования, распространения и реализации информации, то есть архивы, библиотеки, персонал, документы и другое.
   Система образования сознания общественности, то есть средства массовой информации, социальные институты и другое.
   Средства защиты информации.
   Принято различать следующие средства защиты информации:[pic 1]
   Формальные средства защиты.
   Они выполняют свои функции лишь по своевременно предусмотренным действиям без человеческого участия.
   К данным средствам защиты относятся:
   Физические средства – различного рода материальные устройства и системы, которые работают ограниченно от информационных систем, имеющих целью создание всевозможных физических ограничений на пути к получению доступа к информации.

2. Процесс информатизации является неотъемлемой частью современного информационного общества. Этот процесс порождает зависимость субъекта от глобального информационного пространства, которое, в свою очередь, связывает мир в единую общую систему. Государства в такой системе являются информационно взаимозависимыми, а сам субъект (общество или человек) ее неотъемлемая часть.
   Но процесс информатизации имеет и негативные последствия для общества, например, порождает опасности мирового уровня, связанные с обеспечением информационной безопасности (информационное оружие, информационная война и т.д.)
   В настоящее время обеспечение информационной безопасности является одной из приоритетных задач многих государств.
   Ключевой составляющей термина «информационная безопасность» является само понятие безопасности.
   В каждой эпохе определение безопасности трактовалось по-разному.
   Изначально безопасность понималась через реализацию отношений природы и человека; все опасности казались непостижимыми и принимались беспрекословно.
   В древнегреческой философии считалось, что достичь абсолютной безопасности возможно только лишь во время деятельности, приносящей удовольствие. А единственная безопасная форма общего бытия – город-государство, основной целью которого является воспитание людей в духе благодеяния.
   На этапе религиозного мировоззрения безопасность принималась в качестве абсолютного блага.
   Немецкая классическая философия подразумевала пути достижения безопасности с помощью действия созидательных сил индивида – общения, разума, нравственности и труда, а сам индивид определялся как деятельное создающее себя культурно-историческое существо. Отсюда можно сделать вывод, что в каждом философском направлении, используются собственные критерии для оценки безопасности, а определение этому термину дается в зависимости от господствующего мировоззрения и культурно-исторической ситуации.
   Согласно закону, в настоящее время безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз (ст. 1). Жизненно важные интересы при этом – это совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
   Основной структурной оставляющей выделенных объектов безопасности является деятельность, основной предмет которой – информация. Наличие угроз личности, обществу, государству или интересам данных объектов позволяет ввести понятие информационная безопасность.
   Информационную безопасность в общем виде можно определить как невозможность нанесения вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой.
   Из такого определения информационной безопасности можно выделить два важных следствия:
   Трактовать проблемы, в основе которых лежит информационная безопасность, можно по-разному. Формулировка будет зависеть от категории субъекта. Ярким примером будет служить сопоставление государственных и учебных организаций. В первом случае, будет легче допустить перерыв в работе, чем раскрыть секретную информацию, а во втором – поддерживать стабильность в работе самой системы.
   Субъект информационных отношений может понести убытки или пострадать не только от несанкционированного доступа к информации, но и от сбоев, вызвавших перерыв в работе. Следовательно, понятие информационная безопасность нельзя свести только к защите от несанкционированного доступа к информации. Для некоторых организаций защита от несанкционированного доступа вообще не является ключевой позиций в политике информационной безопасности.
   В ХХ в. возникла концепция «информационного общества», вследствие чего сформировалась проблема обеспечения информационной безопасности. В условиях мировой глобализации данная проблема приобретает международный, комплексный и междисциплинарный характер.
   Информационно-технический прогресс способствует и появлению новых видов опасностей. К наиболее значимым из них относят: информационное оружие, социальные преступления в IT сфере, а так же применение информационных технологий в политической борьбе.
   Первый вид опасностей способен нанести наибольший урон. Применяя такое оружие в мирное время, можно спровоцировать кризис в другой стране или вызвать протестные настроения общества по отношение к действующему политическому режиму. Следовательно, информационное оружие влияет не только на сознание и психику людей, но при этом оно способно изменить информационно-техническую составляющую общества. Примером информационного оружия могут служить компьютерные вирусы, которые способны вывести из строя системы управления, фальсификацию информации, логические бомбы и т.д. Социальные преступления в информационной сфере являются не менее значимым видом опасностей, поскольку могут быть направлены против личности, общества и государства. Примерам данного вида преступлений могут служить: мошеннические манипуляции с электронными деньгами, компьютерное хулиганство. В данный момент предотвращение подобных видов преступлений против общества и государства является одной из ключевых задач национальной политики безопасности. Это в большей степени связанно с активным развитием кибертерроризма и международной компьютерной преступности.
   Третий вид опасностей является наименее агрессивным, но не стоит недооценивать его значение. В первую очередь усиление влияния информационных технологий в политической борьбе обусловлено ослаблением государственного давления. Ключевую роль играет информация, а умение правильно распорядиться информационными ресурсами обеспечивает победу на политической арене в большинстве случаев.
   Все эти новые угрозы потребовали ответных мер. В России, в частности ,была разработана и принята «Доктрина информационной безопасности РФ». В ней определены составляющие национальных интересов, основные угрозы, а также даны методы обеспечения информационной безопасности. Доктрина содержит в себе основные принципы государственной политики РФ в информационной сфере и служит основой для разработки целевых программ обеспечения информационной безопасности Российской Федерации.
   Стремление к информационному обществу порождает новые виды опасностей и угроз. Само же общество вынуждено реагировать на вызовы международной, национальной, общественной и личной безопасности.
   Речь идет о следующих методах: разработка международно-правовых соглашений, при помощи которых возможно осуществление контроль за производством и распространением информационного оружия, о координировании деятельности в борьбе с кибертерроризмом и международными компьютерными преступлениями, о защите интеллектуальной собственности и авторских прав на материалы, распространяемые в открытом доступе. Необходимо разработать способы контроля за распространением по Интернету нецензурной и оскорбляющей общественную нравственность информации, недобросовестной рекламы, мошеннических операций и прочих материалов, оказывающих негативное воздействие на физическое, психическое и моральной здоровье людей.
   Следовательно, наиболее рациональным подходом к проблемам информационной безопасности является выявление субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это обратная сторона использования информационных технологий.
   Быстрый процесс информатизации общества создает новый этап развития в современной науке. Исследования философов все больше направлены на изучение многогранных и сложных междисциплинарных объектов.
   Обеспечение информационной безопасности является первоочередной задачей для современного общества. Это достаточно сложный и многофункциональный процесс, который зависит как от внешних, так и от внутренних факторов. Это объясняется тем, что на современном этапе развития общества информационные технологии приобретают все большую значимость в жизни не только отдельного человека, но и целого государства.
   Список литературы:
   1. Соловьёв, А.В. Информационное общество: полифония культурных форм/ А.В. Соловьёв. – Рязань, Ряз. гос. ун-т им. С.А. Есенина, 2007. – 184 с.
   2. Астахова, Л.В.Информационная безопасность: герменевтический подход / Л.В. Астахова. – М.: РАН, 2010. – 185
   3. Закон Российской Федерации «О безопасности» от 5 марта 1992 года; Концепция национальной безопасности Российской Федерации, в редакции Указа Президента Российской Федерации № 24 от 10 января 2000 года.
   4. Обеспечение информационной безопасности России. Теоретические и методологические основы / Стрельцов А.А. – М., МЦНМО, 2002. – 296 с.

3. ВВЕДЕНИЕ
   Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность “информационных диверсий”… Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.
   Вследствие этого настоящая работа посвящена именно проблеме обеспечения информационной безопасности именно в компьютерной среде. Если говорить о безопасности информации, сохраняющейся на “традиционных” носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие “компьютерной” информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно “традиционных” носителей.
   Если говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы “Выборы” не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме. Поэтому принципы обеспечения информационной безопасности в данной работе рассматриваются на примерах деятельности отдельной организации.
   ОСНОВНЫЕ ПОНЯТИЯ
   Прежде всего, примем понятие информационной безопасности – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
   Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база еще отстает от потребностей практики. Имеющиеся в России законы и указы носят в основном запретительный характер. В то же время следует учитывать, что в нашей стране доминирует зарубежное аппаратно-программное обеспечение. В условиях ограничений на импорт и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются по существу в безвыходном положении – у них нет возможности заказать и получить “под ключ” современную систему, имеющую сертификат безопасности.
   Так сложилось, что в России интерес к вопросам информационной безопасности исходит в основном от банковских кругов. Это и хорошо, и плохо. Хорошо потому, что интерес есть. Плохо потому, что компьютеры стоят не только в банках, а банковскую информацию никак не отнесешь к самой ценной.
   Общество в целом зависит от компьютеров, поэтому сегодня проблема информационной безопасности – это проблема всего общества. В других странах это поняли довольно давно. Так, в США в 1987 году был принят закон о компьютерной безопасности – Computer Security Act, вступивший в силу в сентябре 1988 года. Этот закон предусматривает комплекс мер по обучению пользователей, имеющих дело с критичной информацией, по подготовке разъяснительных руководств и т.д., без чего сознательное поддержание режима безопасности просто невозможно. И данный закон действительно выполняется.
   Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен обеспечить управленческий уровень, – это выработать политику обеспечения информационной безопасности, определяющую общему направлению работ.
   Применительно к персоналу, работающему с информационными системами, используются организационные и программно-технические меры обеспечения информационной безопасности. Сюда следует отнести методики подбора персонала, его обучения, обеспечения дисциплины, а также средства “защиты от дурака”. Важным элементом являются также меры по физической защите помещений и оборудования.
   Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т.п. Напомним названия ключевых механизмов обеспечения информационной безопасности:
   – идентификация и аутентификация;
   – управление доступом;
   – протоколирование и аудит;
   – криптография;
   – экранирование.
   НЕДОСТАТКИ СУЩЕСТВУЮЩИХ СТАНДАРТОВ И РЕКОМЕНДАЦИЙ
   Стандарты и рекомендации образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности. В то же время этот базис ориентирован, в первую очередь, на производителей и “оценщиков” систем и в гораздо меньшей степени – на потребителей.
   Стандарты и рекомендации статичны, причем статичны, по крайней мере, в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми.
   Иными словами, стандарты и рекомендации не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса:
   – как приобретать и комплектовать информационную систему масштаба предприятия, чтобы ее можно было сделать безопасной?
   – как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося окружения и структуры самой системы?
   Как уже отмечалось, стандарты и рекомендации несут на себе “родимые пятна” разработавших их ведомств. На первом месте в “Оранжевой книге” (документе, освещающем проблемы информационной безопасности в США) и аналогичных Руководящих документах Гостехкомиссии при Президенте РФ стоит обеспечение конфиденциальности. Это, конечно, важно, но для большинства гражданских организаций целостность и доступность – вещи не менее важные. Не случайно в приведенном определении информационной безопасности конфиденциальность поставлена на третье место.
   Таким образом, стандарты и рекомендации являются лишь отправной точкой на длинном и сложном пути защиты информационных систем организаций. С практической точки зрения интерес представляют по возможности простые рекомендации, следование которым дает пусть не оптимальное, но достаточно хорошее решение задачи обеспечения информационной безопасности. Прежде чем перейти к изложению подобных рекомендаций, полезно сделать еще одно замечание общего характера.
   Несмотря на отмеченные недостатки, у “Оранжевой книги” есть огромный идейный потенциал, который пока во многом остается невостребованным. Прежде всего, это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы – от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях. В то же время, ее наличие на этапе выполнения позволило бы по-новому поставить и решить многие проблемы информационной безопасности. Например, знание того, к каким объектам или их классам может осуществлять доступ программа, существенно затруднило бы создание “троянских коней” и распространение вирусов. К сожалению, пока для принятия решения о допустимости того или иного действия используется скудная и, в основном, косвенная информация – как правило, идентификатор (пароль) владельца процесса, – не имеющая отношения к характеру действия.

4. 3
   Содержание
   1. Понятие информационной безопасности
   2. Информационная безопасность и Интернет
   3. Методы обеспечения информационной безопасности
   Литература
   1. Понятие информационной безопасности

   Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.
   Информационная безопасность организации – состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие.
   В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью [2; 22].
   В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
   · Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
   · Целостность – избежание несанкционированной модификации информации;
   · Доступность – избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
   Выделяют и другие не всегда обязательные категории модели безопасности:
   · неотказуемость или апеллируемость – невозможность отказа от авторства;
   · подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий;
   · достоверность – свойство соответствия предусмотренному поведению или результату;
   · аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным [3; 39].
   Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий:
   1. Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий.
   2. «Электронные» методы воздействия, осуществляемые хакерами. Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся: несанкционированное проникновение в компьютерные сети; DOS_атаки.
   Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п.
   Атака типа DOS (сокр. от Denial of Service – «отказ в обслуживании») ? это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т.п.
   3. Компьютерные вирусы. Отдельная категория электронных методов воздействия ? компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.
   4. Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности: электронная почта в последнее время стала главным каналом распространения вредоносных программ; спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта; как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами; вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других «грубых» методов фильтрации спама.
   5. «Естественные» угрозы. На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т.д.
   Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий конкурентоспособности и даже жизнеспособности любой компании.
   2. Информационная безопасность и Интернет

   Общение с использованием новейших средств коммуникации вобрал в себя Интернет. Всемирная информационная сеть развивается большими темпами, количество участников постоянно растет. По некоторым данным, в сети зарегистрировано около 1,5 миллиарда страниц. Некоторые «живут» до полугода, а некоторые работают на своих владельцев в полную силу и приносят большую прибыль. Информация в сети охватывает все стороны жизнедеятельности человека и общества. Пользователи доверяют этой форме себя и свою деятельность. Однако опыт работы в области компьютерных технологий полон примеров недобросовестного использования ресурсов Интернет.
   Специалисты говорят, что главная причина проникновения в компьютерные сети – беспечность и неподготовленность пользователей. Это характерно не только для рядовых пользователей, но и для специалистов в области компьютерной безопасности. Вместе с тем, причина не только в халатности, но и в сравнительно небольшом опыте специалистов по безопасности в сфере информационных технологий. Связано это со стремительным развитием рынка сетевых технологий и самой сети Интернет.
   По данным лаборатории Касперского, около 90% от общего числа проникновений на компьютер вредоносных программ используется посредством Интернет, через электронную почту и просмотр Web_страниц. Особое место среди таких программ занимает целый класс – Интернет-червь. Само распространяющиеся, не зависимо от механизма работы выполняют свои основные задачи по изменению настроек компьютера-жертвы, воруют адресную книгу или ценную информацию, вводят в заблуждение самого пользователя, создают рассылку с компьютера по адресам, взятым из записной книжки, делают компьютер чьим-то ресурсом или забирают часть ресурсов для своих целей или в худшем случае самоликвидируются, уничтожая все файлы на всех дисках.
   Все эти и другие с ними связанные проблемы можно решить с помощью наличия в организации проработанного документа, отражающего политику информационной безопасности компании. В таком документе должны быть четко прописаны следующие положения:
   · как ведется работа с информацией предприятия;
   · кто имеет доступ;
   · система копирования и хранения данных;
   · режим работы на ПК;
   · наличие охранных и регистрационных документов на оборудование и программное обеспечение;
   · выполнение требований к помещению, где располагается ПК и рабочее место пользователя;
   · наличие инструкций и технической документации;
   · наличие рабочих журналов и порядок их ведения.
   Кроме того, необходимо постоянно отслеживать развитие технических и информационных систем, публикуемых в периодической печати или следить за событиями, обсуждаемыми на подобных семинарах.
   Так согласно Указа Президента РФ «О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена», запрещено подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются госорганы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу РФ, в том числе к Интернету.
   При необходимости подключения указанных информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в Федеральной службе безопасности РФ и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю [1].
   3. Методы обеспечения информационной безопасности

   По убеждению экспертов «Лаборатории Касперского», задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т.д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.
   На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности [6; 275]:
   · средства идентификации и аутентификации пользователей (так называемый комплекс 3А);
   · средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
   · межсетевые экраны;
   · виртуальные частные сети;
   · средства контентной фильтрации;
   · инструменты проверки целостности содержимого дисков;
   · средства антивирусной защиты;
   · системы обнаружения уязвимостей сетей и анализаторы сетевых атак.
   Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.
   «Комплекс 3А» включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация ? это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: «Кто вы?» и «Где вы?» ? являетесь ли вы авторизованным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.
   Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты – обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования – высокий уровень криптостойкости и легальность использования на территории России (или других государств).
   Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.
   Основной принцип действия межсетевых экранов ? проверка каждого пакета данных на соответствие входящего и исходящего IP_адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.
   Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network – VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач:
   1. защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);
   2. защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;
   3. защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).
   Эффективное средство защиты от потери конфиденциальной информации ? фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.
   Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC_сумм).
   Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux_системы, Novell) на процессорах различных типов.
   Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.
   Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных – резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т.д.) [5; 382].
   Литература
   1. Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17.03.2008 №351;
   2. Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий ? ИНТУИТ.ру, 2008;
   3. Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий ? ИНТУИТ.ру, 2005;
   4. Лопатин, В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. М.: 2000. – 428 с;
   5. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. ? М.: ДМК Пресс, 2008. – 544 с.
   6. Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. ? М.: Книжный мир, 2009. – 352 с.

5. НазваниеЭссе 5 Защита информации и информационная безопасность Понятие информационной безопасностиДата публикации27.02.2013Размер67.24 Kb.ТипДокументыshkolnie.ru > Информатика > ДокументыЭссе 5
   Защита информации и информационная безопасность
   Понятие информационной безопасности
   Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
   Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
   Правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
   ^ Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
   Обратим внимание, что в определении ИБ перед существительным “ущерб” стоит прилагательное “неприемлемый”. Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
   ^ Основные составляющие информационной безопасности
   Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.
   Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
   Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.
   Поясним понятия доступности, целостности и конфиденциальности.
   Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
   Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.
   Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
   Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
   Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
   Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит “руководством к действию”. Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
   Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?
   Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).
   ^ Важность и сложность проблемы информационной безопасности
   Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.
   Для иллюстрации этого положения ограничимся несколькими примерами.
   В ^ Доктрине информационной безопасности Российской Федерации защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.
   В феврале 2001 года двое бывших сотрудников компании Commerce One, воспользовавшись паролем администратора, удалили с сервера файлы, составлявшие крупный (на несколько миллионов долларов) проект для иностранного заказчика. К счастью, имелась резервная копия проекта, так что реальные потери ограничились расходами на следствие и средства защиты от подобных инцидентов в будущем. В августе 2002 года преступники предстали перед судом.
   Одна студентка потеряла стипендию в 18 тысяч долларов в Мичиганском университете из-за того, что ее соседка по комнате воспользовалась их общим системным входом и отправила от имени своей жертвы электронное письмо с отказом от стипендии.
   Понятно, что подобных примеров множество, можно вспомнить и другие случаи – недостатка в нарушениях ИБ нет и не предвидится. Чего стоит одна только “Проблема 2000” – стыд и позор программистского сообщества!
   При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий – области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.
   К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения ИБ. Следует исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.
   В марте 1999 года был опубликован очередной, четвертый по счету, годовой отчет “Компьютерная преступность и безопасность-1999: проблемы и тенденции” (Issues and Trends: 1999 CSI/FBI Computer Crime and Security Survey). В отчете отмечается резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32% из числа опрошенных); 30% респондентов сообщили о том, что их информационные системы были взломаны внешними злоумышленниками; атакам через Internet подвергались 57% опрошенных; в 55% случаях отмечались нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос “были ли взломаны ваши Web-серверы и системы электронной коммерции за последние 12 месяцев?” ответили “не знаю”.
   В аналогичном отчете, опубликованном в апреле 2002 года, цифры изменились, но тенденция осталась прежней: 90% респондентов (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности; 80% констатировали финансовые потери от этих нарушений; 44% (223 респондента) смогли и/или захотели оценить потери количественно, общая сумма составила более 455 млн. долларов. Наибольший ущерб нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно).
   Увеличение числа атак – еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении и, как следствие, появляются новые виды атак.
   В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение всех составляющих ИБ – доступности, целостности или конфиденциальности.

6. Закон «Об интерактивной безопасности детей», содержит определение Интернета через его техническую суть.
   В 1999 году вступил в силу Закон «О защите потребителей от киберсквоттеров», который распространяется на отношения, связанные со сквоттингом – с неправомерным использованием доменных имен.
   Закон «О защите авторских прав цифрового тысячелетия» предусматривает освобождение Интернет-провайдеров от ответственности за нарушение авторского права, если они своевременно удалили нарушающий авторские права материал, после соответствующего уведомления их о наличии такого материала в их системах.
   Разработка в 2001 г. Закона «О контроле шпионского ПО и защите личных данных» стала реакцией Америки на проблему, связанную с программами-шпионами. Данный Закон был подвергнут критике за его недружественность по отношению к конечным потребителям.
   Как отмечает О.В. Мозолина, зачастую США используют национальные правовые концепции для освоения международного информационного пространства. При этом такое экстерриториальное применение национального законодательства ущемляет суверенитет других государств.
   В Китае, второй после США стране по количеству передаваемой через Интернет информации, принято около двух десятков национальных законов и подзаконных актов, регулирующих вопросы защиты информации. Акты касаются вопросов налогообложения электронной торговли, регулирования веб-сайтов по трудоустройству и ограничений по новостным сайтам, порядка лицензирования провайдеров Интернет-услуг. По законодательству Китая провайдерам запрещено размещать на своих страницах информацию определенного содержания, начиная от порнографии и заканчивая любыми политическими комментариями деятельности Коммунистической партии Китая. Кроме того, провайдеры обязаны записывать на жесткие диски всю информацию, появлявшуюся у них на страницах, включая различные чаты, и хранить ее в течение 60 дней, а также представлять эти записи полиции по ее запросам. Китайское законодательство в информационной сфере развивается в русле, которое было определено на специальной сессии парламента КНР: информационная сфера и электронная сеть должны оставаться под контролем государства и помогать экономическому росту страны. Власти Китая весной 2012 года запретили пользователям Интернет использовать псевдонимы (ники). Кроме настоящего имени, при регистрации в сети необходимо ввести паспортные данные, адрес и телефон.
   В Сингапуре принят закон, который ограничивает доступ к страницам Интернета, содержание которых может угрожать правительству, государственной безопасности, национальной обороне, расовой и религиозной гармонии в стране и общественной морали.
   Работа по выработке законодательства в сфере информационной безопасности активно ведется на регионально уровне. Примером может служить деятельность Евросоюза. Принятые в рамках ЕС директивы носят, как правило, универсальный характер и являются обязательными для государств – участников ЕС.
   С.В. Глотова утверждает, что директивы представляют собой новую категорию правовых актов, ранее не известную международному праву. Специфика директивы в ее обязательности для государств-членов, для действия директивы в этих государствах не требует ее утверждения (принятия) органами власти государства. Другое отличие директивы от договора в том, что она является односторонним актом. Своеобразие директивы в том, что с ее помощью задачи сообщества реализуются внутригосударственными средствами.
   Многие директивы Евросоюза так или иначе затрагивают вопросы Интернет-экономики. Вопросы информационной безопасности рассматриваются в неразрывной связи с вопросами экономической безопасности.
   Директива 2009/136/ЕС «О конфиденциальности и электронных средствах связи» обязала провайдеров общедоступных услуг электронной связи или общественных связей сохранять определенные данные пользователей некоторое время.
   Директива 2002/22/ЕС «Об универсальных услугах и правах пользователей в отношении сетей электронных коммуникаций и услуг» устанавливает права конечных пользователей и корреспондирующие им обязанности организаций, предоставляющих общедоступные услуги связи, и целый ряд других.
   Наряду с директивами, в Евросоюзе действуют и другие акты, затрагивающие информационную сферу.
   Хартия Европейского Союза об основных правах 2007 г. включила в каталог основных прав граждан ЕС право на защиту персональных данных.
   В 2010 году в ЕС принята кодифицированная версия Директивы «Об аудиовизуальных медиа-услугах» 2007/65/ЕС. В документе развиты нормы о защите несовершеннолетних и о непричинении им физического и морального вреда.
   В 2014 году предполагается принятие Декларации прав Интернет-пользователей. Генеральный директор по правам человека и правовым вопросам Совета Европы Филипп Буайя заявил, что «это будет новый документ по правам пользователей, декларация против отслеживания действий человека в Интернете, направленный на защиту человеческих прав онлайн».
   Европейское сообщество вырабатывает и документы программного характера. Так, в 2006 году была принята Европейская Стратегия безопасного информационного общества, которая ориентирована на борьбу с киберпреступностью. В акте отмечено, что интернет-преступность является потенциальным новым экономическим, политическим и военным оружием.
   В Стокгольмской программе, закрепляющей приоритеты развития ЕС в сфере законности, свободы и безопасности на период 2010-2014, уделено отдельное внимание вопросам обеспечения информационной безопасности и сформулирована задача о выработке комплексной стратегии внутри ЕС.
   Обечпечение информационной безопасности становится предметом заботы мирового сообщества. Задолго до кристаллизации проблемы информационной безопасности был принят ряд нормативных актов общего характера, которые сегодня применяются к отношениям в информационной сфере.
   Устав Организации Объединенных наций, помимо основных принципов международного права, содержит положения, на который основывается система коллективной безопасности и развивающая ее всеобъемлющая система международной безопасности.
   Декларация о принципах международного права, касающихся дружественных отношений и сотрудничества между государствами 1970 года, Международный пакт о гражданских и политических правах 1966 года, Международная конвенция о ликвидации всех форм расовой дискриминации 1966 года, Конвенция о предупреждении преступления геноцида и наказании за него 1948 года, Международная конвенция о пресечении обращения порнографических изданий и торговли ими 1923 года, Конвенция о международном праве опровержения 1953 года, Конвенция о защите прав человека и основных свобод 1950 года применимы для регулирования информационной безопасности. Однако эти акты общего характера. Что же касается специализированных международных документов, то они немногочисленны.
   Европейская конвенция по киберпреступлениям 2001 года – единственный действующий международный договор, непосредственно касающийся вопросов информационной безопасности, подписанный почти всеми странами Евросоюза, США и Канадой. Однако этот документ так и не был практически никем из государств ратифицирован, но подвергался доработкам после принятия. США, формально приветствуя заключение конвенции и присоединяясь к ней, зарезервировали за собой право вето на применение некоторых ее положений, не полностью соответствующих американскому законодательству.
   Россия не участвует в Европейской конвенции о киберпреступости 2001 года, поскольку имеет собственную позицию по вопросу международной информационной безопасности. По словам Советника Секретаря Совета Безопасности РФ директора института проблем информационной безопасности МГУ им. М.В. Ломоносова В.П. Шерстюка, «противодействие вызовам в области безопасности использования глобальной и национальных информационных инфраструктур необходимо осуществлять на основании комплексного подхода, учитывающего весь спектр угроз, существующих в данной области».
   Нормы Европейской конвенции, направленные на унификацию и гармонизацию национального законодательства, на выстраивание взаимной помощи, могли бы способствовать совершенствованию российского уголовного закона. Однако ряд положений Конвенции, на наш взгляд, неприемлем. Так, ст. 32 Конвенции закрепляет возможность трансграничного доступа к компьютерным данным, находящимся в системах общего доступа, независимо от территориального местонахождения этих данных; либо трансграничного доступа к компьютерным данным, находящимся на территории другой Стороны, при получении правомерного и добровольного согласия со стороны лица, обладающего законным правом на предоставление данных этой Стороне посредством вышеупомянутой компьютерной системы. Иными словами, Европейская конвенция предусматривает возможность проведения следственных действий в информационном пространстве другого государства без уведомления его следственных органов.
   Судьба Торгового соглашения по борьбе с контрафакцией 2012 года (АСТА), согласно которому должно быть установлено строгое наблюдение за соблюдением авторского права Некоторые исследователи говорят о том, что для обеспечения Интернет-безопасности необходим особый международный режим, регулирующий деятельность в нем каждого с учетом интересов всех, поскольку «по многим признакам международное информационное пространство можно рассматривать в качестве общего наследия человечества. Интернет, в частности, используется всеми государствами и конкретно не должен принадлежать никому». Даррел Менте разработал концептуальную Теорию интернациональных пространств. По его мнению, таких пространств на данный момент три: Антарктика, космос и открытое море. Д. Менте предлагает рассматривать киберпространство четвертым пространством с международным режимом, на которое не распространяется государственный суверенитет. Отметим, что международное сообщество имеет успешный опыт кодификации космической деятельности и в сфере морского права, областей исключительно сложных с точки зрения согласования интересов государств. Однако применительно к Интернет-пространству отмечается очевидная сложность разработки такого режима, поскольку международное сообщество сталкивается с задачей кодификации не только новой и сложной с технической точки зрения области деятельности, но и крайне чувствительной для их безопасности сферы.
   В качестве нормативно-регулятивной меры обеспечения безопасности в сети Интернет можно рассматривать сетевые кодексы поведения. Эта идея впервые была выдвинута вскоре после появления самой сети – тогда появились первые кодексы. Однако они не были эффективны. Причина в том, что нормы внутрисетевого поведения распространяются только на отдельные, связные сообщества пользователей Интернет. Внутри такого сообщества применяемые нормы саморегулирования эффективны и могут быть легко донесены до каждого пользователя. Вне устойчивого круга общения эти нормы, также могут применяться, но их регулятивные качества резко снижаются. Проблему обеспечения информационной безопасности в сети Интернет не удастся решить только с помощью саморегулирования. Это может быть хорошим дополнением к системе правового регулирования.
   Инициатором следующей меры выступила Российская Федерация. В 1999 году она предложила ООН проект документа, озаглавленного «Принципы, касающиеся международной информационной безопасности», принятие которым могло способствовать выработке и закреплению основополагающих начал информационной безопасности. Основная идея документа сформулирована в положениях Принципа I – деятельность каждого государства в информационном пространстве должна способствовать общему прогрессу и не противоречить задаче поддержания мировой стабильности и безопасности, интересам безопасности других государств, принципам неприменения силы, невмешательства во внутренние дела, уважения прав и свобод человека.
   Другой российской инициативой явилась разработка концепции Конвенции об обеспечении международной информационной безопасности, которая явилась своего рода противовесом Европейской киберконвенции, которую Россия отвергает. Ни одни из предложенных Российской Федерацией документов на данный момент не принят международным сообществом. По поводу принятия российского варианта Конвенции в ООН до сих пор ведутся оживленные дискуссии.
   К следующей группе мер относятся меры по контролю. Они применяются на всех уровнях регулирования информационной безопасности. Говоря о контроле в глобальной сети в целях обеспечения информационной безопасности все мероприятия необходимо оценивать с точки зрения баланса интересов личности, общества, государства и мирового сообщества. В нормативных актах различного уровня декларируется стремление обеспечить доступ к информационным ресурсам для максимального числа пользователей. В этих документах речь идет об открытости и доступности Интернета как информационного ресурса и как неотъемлемой части инфраструктуры мировой экономики. Таким образом, по общему правилу, закрепленному в международных, региональных и национальных актах, Интернет должен быть доступным и открытым источником. Однако документы содержат и положения, позволяющие контролировать возможность использования сети Интернет посредством ограничений или запретов.
   Конвенция о защите прав человека и основных свобод 1950 года в ч. 1 ст. 10 закрепляет право каждого «свободно выражать свое мнение. Это право включает свободу придерживаться своего мнения и свободу получать и распространять информацию и идеи без какого-либо вмешательства со стороны публичных властей и независимо от государственных границ». Однако ч. 2 этой статьи предусматривает возможность ограничения этого права «в интересах национальной безопасности, территориальной целостности или общественного порядка, в целях предотвращения беспорядков и преступлений, для охраны здоровья и нравственности, защиты репутации или прав других лиц, предотвращения разглашения информации, полученной конфиденциально, или обеспечения авторитета и беспристрастности правосудия». Руководствуясь этой нормой Конвенции, многие государства внедряют механизмы контроля за информацией в сети.
   В России были приняты меры по контролю за информационным наполнением сети Интернет. В 2012 году был принят закон о реестре запрещенных сайтов, предполагающий блокировку страниц и сайтов, содержащих запрещенную в РФ информацию. Принятие этого закона вызвало большой общественный резонанс. В традиционных СМИ и на различных Интернет-площадках были развернуты дискуссии на эту тему. Практически все поддерживали положения, касающиеся защиты детей. Противники закона опасались, что благие намерения защитить российское общество от пагубного влияния негативного сетевого контента обернутся Интернет-цензурой и блокировкой оппозиционных, неугодных власти сайтов. По поводу принятия данного закона Совет при Президенте РФ по развитию гражданского общества и правам человека выступил с заявлением, в котором отмечается: «Мы считаем крайне важным остановить введение цензуры в русскоязычном сегменте сети Интернет и, в частности, на территории России – это приведёт к появлению нового «электронного занавеса», что губительно скажется на правах и возможностях граждан России, на развитии общества в целом и становлении всей экономики». Против принятия закона (в части введения фильтрации рунета – российского Интернета) выступили такие сетевые ресурсы как Google, LiveJournal, ВКонтакте, Яндекс. В знак протеста русская Википедия объявила забастовку, и ресурс был недоступен в течение суток. Федеральный закон № 139-ФЗ был принят и вступил в силу 1 ноября 2012 года. На официальном сайте http://www.zapret-info.gov.ru невозможно увидеть полный перечень запрещенных сайтов, что представляется неверным с позиции открытости информации и с точки зрения требований, предъявляемых к правовому национальному закону международным правом.
   Конвенция о защите прав человека и основных свобод 1950 г. в ч. 2 ст. 10 предусматривает возможность ограничения свободы выражения мнения в определенных целях. Европейский Суд по правам человека определил критерии такого ограничения. Любое ограничение свободы выражение мнения, закрепленное в национальном законодательстве, должно соответствовать двум требованиям – точности и доступности. Это означает, что право должно быть в адекватной мере доступным: граждане должны иметь возможность ориентироваться в том, какие правовые нормы применяются к данному случаю. Норма не может считаться законом, пока она не будет сформулирована с достаточной степенью точности, позволяющей гражданину сообразовывать с ней свое поведение, предвидеть в разумной степени, применительно к обстоятельствам, последствия, которые может повлечь за собой то или иное действие. Таким образом, ограничивая доступ граждан к информации в виде реестра сайтов, которые были признаны запрещенными в России, государство лишает возможности ориентироваться в информационной среде и определять свое поведение в сети Интернет на будущее. Граждане не могут опираться исключительно на критерии отнесения электронного ресурса к запрещенным, закрепленные в законе, поскольку последние не всегда четко сформулированы. Необходимо основывать свое поведение и на практике применения законодательства.
   О стремлении государства усилить контроль в сети свидетельствуют попытки разработать и принять Федеральный закон «О регулировании сегмента Российской Федерации сети Интернет». Существовало несколько проектов этого документа. В текущем году идея принятия закона вновь обсуждается, разработана его очередная концепция. Согласно концепции, информационная безопасность в сети Интернет обеспечивается посредством защиты участников взаимодействия в сети от информации, распространение которой в РФ запрещено; защитой авторских и интеллектуальных прав в сегменте РФ в сети; защитой персональных данных и иной информации ограниченного доступа. По словам его инициаторов, закон о регулировании Интернета в России нужен для того, чтобы «преступления, совершаемые с использованием современных технологий под прикрытием анонимности, также расследовались, виновные устанавливались и наказывались. Новый закон необходим для того, чтобы вооружить правоохранительные органы инструментом, необходимым для борьбы со злом в сети». По замыслу разработчиков, все противоправные деяния, совершенные в сети, должны подпадать под действие УК РФ или КоАП РФ.
   Контрольной мерой является мониторинг глобальной сети, который стремится осуществить государство. В январе 2012 года Служба внешней разведки РФ объявила тендеры на разработку новых методик мониторинга блогосферы. На это мероприятие планировалось потратить порядка 30 миллионов рублей.
   С точки зрения международного права не все меры государственного уровня могут считаться правовыми, несмотря на то, что на национальном уровне они оформлены надлежащими нормативно-правовыми актами. Зачастую, прикрываясь национальными интересами, государства принимают законы, а государственные органы предпринимают действия, нарушающие права и свободы человека. Такое поведение государств объяснимо. Бесконтрольный Интернет может представлять угрозу и для самого государства, и для власти в государстве. Интернет-технология приносит с собой возможность выражения новых форм протеста в новых условиях, а также включает в себя изменившиеся последствия для тех, кто ее использует. Примером того, как с помощью Интернет-ресурсов поднимались повстанческие движения, приведшие в итоге к смене власти и политического режима, являются так называемые арабские twitter-революции (другое название – жасминовые революции) в Египте, Тунисе, Ливии.
   С позиции международного права не могут считаться правовыми действия властей во Вьетнаме, где блогеры получили тюремные сроки за критику властей. Суд признал их виновными в распространении антиправительственной пропаганды и приговорил на срок от 4 до 12 лет. Несколько лет назад блогеры основали сайт «Клуб свободных журналистов», на котором размещали материалы о коррупции в стране, обличали несправедливые действия официальных лиц и критиковали политику правительства. В связи с судом над блогерами ряд правозащитных организаций, правительства западных стран и Комиссия ООН по правам человека выступили с жесткой критикой в адрес вьетнамских властей.
   Власти Китая запретили пользователям использовать в сети псевдонимы (ники). Более того, при регистрации в Интернет потребуются еще и паспортные данные, адрес и телефон. Кроме того, Китай давно блокирует доступ к Tvitter, Facebook, Youtube.
   Данные меры направлены на обеспечение информационной безопасности. Однако такие действия властей, несмотря на законодательное закрепление, идут в разрез с принципами международного права.
   Вызывает возражения инициатива по принятию многостороннего Торгового соглашения по борьбе с контрафакцией (АСТА). Соглашение предусматривает создание международного объединения, направленного против нарушений авторских прав I. Международные нормативные правовые акты:
   1.Устав Организации Объединенных Наций // Сборник действующих договоров, соглашений и конвенций, заключенных СССР с иностранными государствами. Вып. XII. М., 1956.
   .Декларация о принципах международного права, касающихся дружественных отношений и сотрудничества между государствами. 1970 г. Международное публичное право. Сборник документов. Т. 1. М., 1996.
   3.Договор о принципах деятельности государств по исследованию и использованию космического пространства, включая Луну и другие небесные тела от 27 янв. 1967 г. Международное публичное право. Сборник документов. Т. 2. М., 1996.
   .Европейская конвенция о взаимной правовой помощи по уголовным делам от 20 апр. 1959 г. // Бюллетень международных договоров. 2000. N 9.
   5.Европейская конвенция по киберпреступлениям. 2001 г. // Сайт Стратег.Ру [Электронный ресурс]. – Режим доступа : II. Национальные нормативные правовые акты:
   31.Конституция Российской Федерации от 12 дек. 1993 г. с попр. от 30 дек. 2008 г. // Российская газета. 21.01.2009. № 7.
   32.Гражданский кодекс Российской Федерации (часть четвертая) : Федеральный закон от 18 дек. 2006 г. № 230-ФЗ : (в ред. от 08 дек. 2011 г.) // Собрание законодательства РФ. 25.12.1994. № 52. Ст. 5496.
   .Уголовный кодекс Российской Федерации: Федеральный закон от 13 июня 1996 г. (ред. от 05 апр. 2013 г.) № 63-ФЗ / Собрание законодательства РФ. 17.06.1996. N 25. Ст. 2954.
   34.О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию», и отдельные законодательные акты Российской Федерации: Федеральный закон от 28 июля 2012 г. № 139-ФЗ // Российская газета. 30.07.2012. № 172.
   35.О защите детей от информации, причиняющей вред их здоровью и развитию: Федеральный закон: Федеральный закон от 29 дек. 2013 г. (ред. от 5 апр. 2013) № 436-ФЗ // [Электронный ресурс]. – Режим доступа : СПС КонсультантПлюс. – Дата обращения 20.04.2013.
   36.О защите прав потребителей: Закон Российской Федерации от 7 фев. 1992 г. (ред. от 28 июля 2012 г.) № 2300-1 // [Электронный ресурс]. – Режим доступа : СПС КонсультантПлюс. – Дата обращения 20.04.2013.
   37.Об информации, информационных технологиях и защите информации: Федеральный закон от 27 июля 2006 г. (ред. от 5 апр. 2013) № 149-ФЗ // [Электронный ресурс]. – Режим доступа : СПС КонсультантПлюс. – Дата обращения 20.04.2013.
   38.О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена: Указ Президента РФ от 17 марта 2008 г. (в ред. от 14 янв. 2011 № 38) № 351 // [Электронный ресурс]. – Режим доступа : СПС КонсультантПлюс. – Дата обращения 20.04.2013.
   39.Положение о Совете по развитию информационного общества в Российской Федерации (утв. Указом Президента РФ от 1 ноября 2008 г. № 1576) // Официальный сайт Президента РФ [Электронный ресурс]. – Режим доступа : http: // state.kremlin.ru. – Дата обращения 20. 04.2013.
   .О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов: Постановление Правительства РФ от 24.05.2010 г. (ред. от 08.04.2013 № 314) № 365 // [Электронный ресурс]. – Режим доступа : СПС КонсультантПлюс. – Дата обращения 20.04.2013.
   .Доктрина информационной безопасности Российской Федерации, утв. 9 сент. 2000 г. // Российская газета. 28.09.2000. № 187.
   .Стратегия развития информационного общества в Российской Федерации от 7 фев. 2008 г. № Пр-212 // Российская газета. 16.02.2008. № 34.
   43.Конвенция об обеспечении международной информационной безопасности (концепция) // Официальный сайт Совета Безопасности Российской Федерации [Электронный ресурс]. – Режим доступа : III. Специальная литература:
   46.Баранов И., Сафронов И., Черненко Е. Разветка ботом. СВР займется социальными сетями // Коммерсантъ. 28.07.2012. № 158 (П).
   47.Богданов В. Анонимки на просвет // Российская газета. 11 сент. 2012 г. N5881.
   48.Большая Советская Энциклопедия. В 30 Т. М.: Советская энциклопедия, 1969-1978.
   .Бурматов В.В., Глазунов О.Н. Совремнные революционные технологии. Стратегия, технология и тактика цветных революций. М., 2011.
   .Валеев Р.М. Международный контроль. Казань, 1988.
   .Глотова С.В. Директивы Европейского Сообщества: автореф. дис. … к.ю.н.: 12.00.10. М., 1999.
   .Гольтяпина И.Ю. Административно-правовые средства обеспечения информационной безопасности в России: автореф. дис. … к.ю.н.: 12.00.14. Омск, 2008.
   53.Горев А.И., Симаков А.А. Обеспечение информационной безопасности. Учебное пособие. Омск, 2005.
   54.Дело редакции газеты «Правое дело» и Штекеля против Украины. Решение суда от 5 мая 2011 г. // [Электронный ресурс]. – Режим доступа : #”justify”>IV. Электронные ресурсы:
   93.Государственный интернет-канал «Россия» // [Электронный ресурс]. – Режим доступа : . – Дата обращения 10.04.2013.
   .Интернет-портал Российской газеты. 12 апр. 2013 г. // [Электронный ресурс]. – Режим доступа : haker-anons.html. – Дата обращения 20.04.2013.
   .Официальный сайт Института проблем информационной безопасности // [Электронный ресурс]. – Режим доступа : . – Дата обращения 20.04.2013.
   .Официальный сайт Интерфакс 3 нояб. 2012 г. // [Электронный ресурс]. – Режим доступа : http://www.interfax.ru/print.asp?sec=1446 &id=274223 . – Дата обращения 03.03.2013.

7. Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
   Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?
   Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).
   . Основные принципы обеспечения информационной безопасности предприятия
   1. Обеспечение целостности и сохранности данных;
   . Соблюдение конфиденциальности информации;
   . Доступность информации для всех авторизованных пользователей при условии контроля за всеми процессами использования ими получаемой информации;
   . Беспрепятственный доступ к информации в любой момент, когда она может понадобиться предприятию.
   Рассмотрим также другие принципы информационной безопасности подробно:
   . Простота использования информационной системы. Данный принцип информационной безопасности заключается в том, что для минимизации ошибок следует обеспечить простоту использования информационной системы. Во время эксплуатации ИС пользователи и администраторы совершают непреднамеренные ошибки, некоторые из которых могут вести к невыполнению требований политик безопасности и снижению уровня информационной безопасности. Чем более сложны, запутанны и непонятны для пользователей и администраторов совершаемые ими операции, тем больше они делают ошибок. Простота использования ИС является необходимым условием для снижения числа ошибочных действий. При этом следует помнить, что данный принцип информационной безопасности не означает простоту архитектуры и снижение функциональности ИС.
   . Контроль над всеми операциями. Этот принцип подразумевает непрерывный контроль состояния информационной безопасности и всех событий, влияющих на ИБ. Необходим контроль доступа к любому объекту ИС с возможностью блокирования нежелательных действий и быстрого восстановления нормальных параметровинформационной системы.
   . Запрещено всё, что не разрешено. Этот принцип ИБ заключается в том, что доступ к какому-либо объекту ИС должен предоставляться только при наличии соответствующего правила, отраженного, например, в регламенте бизнес-процесса или настройках защитного программного обеспечения. При этом основной функцией системы ИБ является разрешение, а не запрещение каких-либо действий. Данный принцип позволяет допускать только известные безопасные действия, а не заниматься распознаванием любой угрозы, что очень ресурсоёмко, невозможно в полной мере и не обеспечивает достаточный уровень ИБ.
   . Открытая архитектура ИС. Этот принцип информационной безопасности состоит в том, что безопасность не должна обеспечиваться через неясность. Попытки защитить информационную систему от компьютерных угроз путем усложнения, запутывания и скрытия слабых мест ИС, оказываются в конечном итоге несостоятельными и только отсрочивают успешную хакерскую, вирусную или инсайдерскую атаку.
   . Разграничение доступа. Данный принцип ИБ заключается в том, что каждому пользователю предоставляется доступ к информации и её носителям в соответствии с его полномочиями. При этом исключена возможность превышения полномочий. Каждой роли / должности / группе пользователей можно назначить свои права на выполнение действий (чтение / изменение / удаление) над определёнными объектами ИС.
   . Минимальные привилегии. Принцип минимальных привилегий состоит в выделении пользователю наименьших прав и доступа к минимуму необходимых функциональных возможностей программ. Такие ограничения, тем не менее, не должны мешать выполнению работы.
   . Достаточная стойкость. Этот принцип информационной безопасности выражается в том, что потенциальные злоумышленники должны встречать препятствия в виде достаточно сложных вычислительных задач. Например, необходимо, чтобы взлом паролей доступа требовал от хакеров неадекватно больших промежутков времени и / или вычислительных мощностей.
   . Минимум идентичных процедур. Этот принцип информационной безопасности состоит в том, что в системе ИБ не должно быть общих для нескольких пользователей процедур, таких как ввод одного и того же пароля. В этом случае масштаб возможной хакерской атаки будет меньше.
   4. Угрозы безопасности информации в компьютерных системах
   Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которое может привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.
   5. Вредительские программы и их виды

8. Это предполагает: повышение безопасности информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и ИС федеральных органов государственной власти, органов государственной власти субъектов РФ, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами; ускоренное развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью; обеспечение защиты сведений, составляющих государственную тайну; расширение международного сотрудничества РФ в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.
   Таким образом, информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ. Национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.

   3. Угрозы нарушения конфиденциальности, целостности, доступности информации

   Существует три разновидности угроз информации:
   Угрозы нарушения доступности.
   Угрозы нарушения целостности.
   Угрозы нарушения конфиденциальности.
   Доступность информации – свойство системы (среды, средств и технологии обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.
   Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей. Рассмотрим пример: в случае выхода из строя сервера, на котором расположена требуемая для принятия стратегического решения информация, нарушается свойство доступности информации. Аналогичный пример: в случае изоляции по какой-либо причине (выход из строя сервера, отказ каналов связи и т.д.) почтового сервера можно говорить о нарушении доступности услуги «электронная почта». Особо следует отметить тот факт, что причина нарушения доступности информации или информационной услуги не обязательно должна находиться в зоне ответственности владельца услуги или информации. Например, в рассмотренном выше примере с нарушением доступности почтового сервера причина (отказ каналов связи) может лежать вне зоны ответственности администраторов сервера (например, отказ магистральных каналов связи). Также следует отметить, что понятие «доступность» субъективно в каждый момент времени для каждого из субъектов, потребляющих услугу или информацию в данный момент времени. В частности, нарушение доступности почтового сервера для одного сотрудника может означать срыв индивидуальных планов и потерю контракта, а для другого сотрудника той же организации – невозможность получить выпуск свежих новостей.
   Целостность информации – существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Чаще субъектов интересует обеспечение более широкого свойства – достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т.е. ее неискаженности.
   Угрозы нарушения целостности – это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами – от умышленных действий персонала до выхода из строя оборудования.
   Причины нарушения целостности информации:
   1. Субъективные
   1.1. Преднамеренные.
   1.1.1. Диверсия (организация пожаров, взрывов, повреждений электропитания и др.).
   1.1.2. Непосредственные действия над носителем (хищение, подмена носителей, уничтожение информации).
   1.1.3. Информационное воздействие (электромагнитное облучение, ввод в компьютерные системы разрушающих программных средств, воздействие на психику личности и психотропным оружием).
   1.2. Непреднамеренные.
   1.2.1. Отказы обслуживающего персонала (гибель, длительный выход из строя).
   1.2.2. Сбои людей (временный выход из строя).
   1.2.3. Ошибки людей.
   2. Объективные, непреднамеренные.
   2.1. Отказы (полный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения).
   2.2. Сбои (кратковременный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения).
   2.3. Стихийные бедствия (наводнения, землетрясения, ураганы).
   2.4. Несчастные случаи (пожары, взрывы, аварии).
   2.5. Электромагнитная несовместимость.
   Конфиденциальность – способность системы обеспечивать целостность и сохранность информации ее законных пользователей.
   Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев работе программных и аппаратных средств.
   Реализация каждой из указанных угроз в отдельности или их совокупности приводит к нарушению информационной безопасности. Можно отметить, что все мероприятия по обеспечению информационной безопасности должны строиться по принципу минимизации указанных угроз.
   Также следует отметить, что в современном обществе Интернет предоставляет много возможностей национальным органам и организациям иностранных государств, различным преступным сообществам для осуществления противоправной и иной деятельности, наносящей ущерб Российской Федерации[18]. К их числу можно отнести:
   – возможность использования национальными органами и организациями иностранных государств сети для организации нетрадиционных каналов связи;
   – использование национальными органами и организациями иностранных государств сети в качестве нового технического канала утечки информации;
   – возможность использования среды и технологий Интернет для дезинформирования других государств;
   – возможность использования информационных ресурсов Интернет по широкому кругу значимых ситуаций;
   – возможность использования информационных ресурсов Интернет в качестве новой и эффективной информационной среды анализа ситуаций со стороны российских правоохранительных органов;
   – возможность использования среды Интернет для проведения акций в рамках информационной войны и т.д.
   Прежде всего, децентрализованная структура и другие технологические особенности превращают Интернет в принципиально новую среду организации нетрадиционных каналов взаимообмена информацией. Для этих целей могут использоваться следующие режимы обмена (прием-передача) информации в Интернет:
   – общение в режиме реального времени на WEB-серверах имеющих «Java-Chat». При выполнении необходимых требований, на компьютер перекачивается специальная Java-программа, осуществляющая кодировку передаваемой информации, а наличие режима «отдельных комнат» исключает возможность контроля переговоров даже со стороны лиц, имеющих аналогичную программу;
   – пейджингово – коммутационная программа ICQ. Распространяется свободно, поддержка осуществляется WEB-серверами. Позволяет осуществлять обмен различной информацией (файлы, письма, WWW-адреса, chat) в режиме реального времени, а также off-line переписку через сервера поддержки, при передаче электронной почты не использует почтовый сервер провайдера, уведомляет пользователя о нахождении в настоящий момент в сети Интернет лиц, которых он ранее внес в список контактов;
   – установление связи с Web-сервером только по определенному порту, с указанием пароля или полного пути к конкретному документу, выход на сайт только с определенного IP-адреса. Следовательно, информация, размещаемая на данной страничке, будет доступна только для знающих пользователей, и может быть только в определенный отрезок времени;
   – удаленные графические интерфейсы (по типу текстовых редакторов), расположенные на специальных сайтах, позволяющие прямо с клавиатуры осуществлять набор различного рода сообщений прямо на удаленном WEB-сервере;
   – IP-телефония с использованием свободно распространяемых программ криптозащиты переговоров (IP-phone и др.);
   – услуга анонимного доступа в Интернет посредством свободно реализуемых через розничную сеть карточек. Купивший данную карточку из любого места, где есть компьютер, модем и телефон может выйти в ОТКС на время действия карточки, предварительно указав отображенные в ней пароль, логин и необходимые настройки;
   – передача пейджинговых сообщений при помощи сети Интернет;
   – соединение двух модемов по принципу «точка-точка» с использованием коммутируемых каналов связи, а также аппаратуры уплотнения, позволяющей превращать коммутируемый канал в свободно выделенный, не ущемляя функций первого;
   – использование программ криптозащиты передаваемой корреспонденции (PGP и др.), где применены надежные системы шифров;
   – использование стеганографии. При помощи данных программ можно шифровать сообщения в картинки различных форматов и в музыкальные файлы. При этом внешне картинки остаются практически неизменными, а музыкальные файлы действующими;
   – пересылка сообщений посредством сетей различного уровня (ФИДО и др.);
   – «Интернет-кафе», представляющие клиентам возможность разового использования Интернет или электронной почты для получения или отправления единичных сообщений;
   – оn-line. Непосредственный прямой доступ к ресурсам серверов сети. Большинство авторов-составителей «страниц» на серверах WWW дают другим пользователям, обратившимся к данной «странице», возможность оставить для них какое-либо сообщение. Это сообщение может быть или коротким, набранным с клавиатуры текстом, или заранее подготовленным файлом;
   – chat (в переводе – болтовня). Зная «позывные» – электронный адрес и время работы в сети другого пользователя, можно связаться с ним в это время в режиме chat и вести «диалог» в реальном масштабе времени посредством набора текста на клавиатуре, просматривая на экране дисплея одновременно свои вопросы и получаемые ответы;
   – телеконференции. В глобальных сетях существуют целые службы телеконференций всевозможных тематик – «электронные доски объявлений», куда любой пользователь может дать свое объявление и прочитать другие;
   – электронная почта, позволяет пользователям обмениваться информацией любого характера, любого объема, путем отправления подготовленных файлов на известный электронный адрес. Существует также система бесплатных электронных почтовых ящиков, услуги которых предлагают множество крупных WEB-серверов. Для получения адреса электронной почты на них достаточно зарегистрироваться на данных серверах под вымышленными установочными данными и в дальнейшем пользоваться им из любой точки доступа (дом, работа, Интернет-кафе и т.д.).
   При этом задача организации технического контроля за возможным использованием национальными органами и организациями иностранных государств, различными преступными сообществами перечисленных режимов в отличие от глобальных сетей с централизованной структурой осложняется непостоянством в течение сеанса связи трафика передачи сообщений, что является характерной особенностью децентрализованной структуры Интернет.
   Разнообразные способы связи с помощью Интернет позволяют легко устанавливать контакты между людьми независимо от их местонахождения и осуществлять переговоры по любому кругу вопросов. Установление контактов в Интернет может происходить по инициативе как самих национальных органов и организаций иностранных государств, так и другими лицами по их инициативе.
   Установление контактов может осуществляться, например, путем рассылки писем-предложений по электронной почте, различного рода анкет, вопросы которых могут так или иначе затрагивать секретные тематики. Прикрытием установления контактов могут быть различные предложения об устройстве на работу, с целью обмена информацией о научных исследованиях и т.д.
   Возможно также, что после удаленной атаки через Интернет на компьютер, содержащий сведения конфиденциального характера, пользователю данного компьютера или администратору узла, где был осуществлен взлом, придет сообщение с предложением о противоправной деятельности, а в случае отказа – может быть озвучена угроза сообщения о факте взлома и утечки охраняемой законом информации правоохранительным органам России с соответствующими последствиями.
   В этом же плане сеть Интернет предоставляет разнообразные возможности для организации нового нетрадиционного технического канала утечки информации. Ресурсы и технологии Интернет представляют несомненный интерес как новый оперативный источник сведений по широкому кругу оперативно-значимых ситуаций. В начале 90-х годов аналитики национальных органов США обратили внимание на то, что большая часть необходимой информации без особого труда может быть получена через сеть Интернет. Так появилось понятие «компьютерная разведка» и соответственно подразделения, ее осуществляющие.
   Сфера их деятельности – так называемая легальная разведка в глобальной сети, организация каналов связи с любым лицом, сбор материалов по оперативно-значимым ситуациям, проведение акций информационной войны, изучение личностных характеристик политиков, ученых, военных, а также важнейших секретоносителей с целью их использования в противоправной деятельности против Российской Федерации.
   Таким образом, можно сделать вывод, что существует три разновидности угроз: 1. угрозы нарушения доступности; 2. угрозы нарушения целостности; 3. угрозы нарушения конфиденциальности. Также существует большая угроза информационной безопасности через сеть Интернет.
   Заключение
   В ходе исследования было выяснено, что защита информации – есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям. А понятие информационной безопасности – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
   Государственная политика обеспечения информационной безопасности РФ основывается на следующих принципах:
   Соблюдение Конституции РФ, законодательства РФ, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности РФ.
   Открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов РФ и общественных объединений, предусматривающей информирование общества об их деятельности с учетом ограничений, установленных законодательством РФ.
   Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающемся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом.
   Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производстве технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов РФ.
   Основными целями обеспечения информационной безопасности Российской Федерации должны быть:
   1) выявление на стадии зарождения угроз информационной безопасности Российской Федерации на основных направлениях и линиях деятельности правоохранительных органов, могущих повлечь возникновение кризисных ситуаций и чрезвычайных происшествий, нанесение ущерба жизненно важным интересам Российской Федерации в информационной сфере; прогнозирование угроз информационной безопасности;
   2) наиболее полная и своевременная локализация, отражение, нейтрализация и парирование угроз информационной безопасности в интересах:
   – обеспечения соблюдения конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечения духовного обновления России, сохранения и укрепления нравственных ценностей общества, традиций патриотизма гуманизма, культурного и научного потенциала страны;
   – информационного обеспечения государственной политики Российской Федерации, связанного с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам;
   – обеспечения развития современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечения потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечения накопления, сохранности и эффективного использования отечественных информационных ресурсов;
   – обеспечения защиты информационных ресурсов от несанкционированного доступа, обеспечения безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
   Список использованных источников
   Конституция РФ (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 № 6-ФКЗ, от 30.12.2008 № 7-ФКЗ)// СЗ РФ. – 2009. – №4. – Ст.445.
   Уголовный кодекс РФ от 13.06.1996 № 63-ФЗ (с изм. и доп., вступающими в силу с 27.01.2011) // СЗ РФ. – 1996. – № 25. – Ст. 2954.
   Гражданский кодекс РФ (часть IV) от от 18.12.2006 N 230-ФЗ (ред. от 04.10.2010)// СЗ РФ. – 2006. – № 52 (1 ч.). – Ст. 5496.
   Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (с изм. и доп., вступающими в силу с 27.01.2011) // СЗ РФ. – 2002. – № 1 (ч. 1). – Ст. 1.
   Федеральный закон от 27.07.2010 № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» // СЗ РФ. – 2010. – № 31. – Ст.4193.
   Доктрина информационной безопасности Российской Федерации (утверждена распоряжением Президента Российской Федерации от 9 сентября 2000 года № Пр-1895) // Российская газета. 28 сентября, 2000.
   Стратегия национальной безопасности РФ до 2020 г. // Указ Президента РФ от 12.05.2010. № 537.
   Агапов А.Б. Основы федерального информационного права России. М.: Экономика, 1995.
   Бузин А.Ю., Любарев А.Е. Преступление без наказания: административные технологии федеральных выборов 2007-2008 годов. М., 2008.
   Герасименко В.А. Обеспечение информационное безопасности как составная часть информационных проблем современного общества // Безопасность информационных технологий. 1998. № 2.
   Герасименко В.А., Малюк А.А. Основы защиты информации. – М.: Инкомбук, 1997.
   Изюмов А. За что снимают министров // Коммерсантъ Власть. 2008. №44.
   Кириленко В.И. Взаимодействие правоохранительных органов в сфере обеспечения информационной безопасности. Монография / Российская Академия государственной службы при Президенте Российской Федерации. М., 2009.
   Кириленко В.И. Создание общей системы мер обеспечения информационной безопасности // Государственная служба. – 2009. – № 6.
   Крат Ю.Г. Основы информационной безопасности. – Хабаровск: ДВГУПС, 2008.
   Кудинов О.П. Большая книга выборов: Как проводятся выборы в России. М., 2003.
   Коэн Ст. Провал крестового похода. США и трагедия посткоммунистической России. М., 2001.
   Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство / СПб.: ун-т МВД России. СПб.: Фонд «Университет». – 2009.
   Михальченко И.А. Информационные войны и конфликты идеологий в условиях геополитических изменений конца XX века: Дис. … канд. политич. наук. СПб.: СПб. Государственный университет, 1998.
   Общая теория национальной безопасности: Учеб. / Под общ. ред. А.А. Прохожева. М.: Изд-во РАГС, 2002.
   Организация и современные методы защиты информации. / Под общ. ред. Диева С. А., Шаваева А. Г. М.: Концерн «Банковский деловой центр», 1998.
   Поздняков А.И. Информационная безопасность личности, общества, государства // Военная мысль. 1993. № 10.
   Савченко И.А., Шпак В.Ю., Юрченко В.М. Технология политического действия. Краснодар: Изд-во Кубан. гос. ун-та, 2007.
   Семкин С.Н., Семкин А.Н. Основы информационной безопасности объектов обработки информации. Орел, 2010.
   Теоретические основы компьютерной безопасности: Учеб. Пособие для вузов / П.Н. Девянин, О.О. Михальский, Д.И. Правиков и др. М.: Радио и связь, 2000. – 543с.
   Федорова С.А., Митрохина Т.Н. Компрометирующие материалы в СМИ как средство политической коммуникации // Материалы VI Международной научно-практической конференции «Татищевские чтения: актуальные проблемы науки и практики». – Тольятти, 2009.
   Ярочкин В.И. Безопасность информационных систем. М.: Ось-89, 1996.
   [1] Крат Ю.Г. Основы информационной безопасности. – Хабаровск: ДВГУПС, 2008. – С.7.
   [2] Семкин С.Н., Семкин А.Н. Основы информационной безопасности объектов обработки информации. Орел, 2010. – С.16.
   [3] См., например: Организация и современные методы защиты информации. / Под общ. ред. Диева С. А., Шаваева А. Г. М.: Концерн «Банковский деловой центр», 1998. С. 52; Ярочкин В.И. Безопасность информационных систем. М.: Ось-89, 1996. С. 207; и др.
   [4] Ярочкин В. И. Указ. соч. С. 207.
   [5] См. например, Зегжда П.Д. Национальная безопасность в аспекте информатизации. Проблемы и перспективы // Проблемы информационной безопасности. 1998. Сентябрь. С. 24-25; Информационная безопасность в учебных планах ВУЗов России. Материалы межвузовского семинара 26-27 ноября 1997г. СПб.: Изд-во СПб. ГУ, 1997. С. 32, 41.
   [6] Агапов А.Б. Основы федерального информационного права России. М.: Экономика, 1995. С. 61.
   [7] Герасименко В.А. Обеспечение информационное безопасности как составная часть информационных проблем современного общества // Безопасность информационных технологий. 1998. № 2. С.41; Михальченко И.А. Информационные войны и конфликты идеологий в условиях геополитических изменений конца XX века: Дис. … канд. политич. наук. СПб.: СПб. Государственный университет, 1998. С. 29; Поздняков А.И. Информационная безопасность личности, общества, государства // Военная мысль. 1993. № 10. С. 13-18.
   [8] Поздняков А.И. Указ. соч. С. 14.
   [9] Герасименко В. А., Малюк А. А. Основы защиты информации. М.: Изд-во МИФИ, 1997. С. 50-52.
   [10] См. например: Комов С. А. О Доктрине информационной безопасности Российской Федерации // Военная мысль. 1998. № 3. С. 72-76. Начинов С. Е. Информационная безопасность России: глобальное управление и новые информационные технологии // Безопасность. 1993. № 6. С. 65-72; Шершнев Л. И. Безопасность человека: Учебно-методическое пособие. М.: Фонд национальной и международной безопасности, 1994. С. 33-35.
   [11] Шершнев Л. И. Безопасность человека: Учебно-методическое пособие. М.: Фонд национальной и международной безопасности, 1994. С. 33-35.
   [12] Карпов В. И., Павлов Д. Б. Основы обеспечения безопасности личности, общества и государства: Учебное пособие. М.: Войсковая часть 33965, 1990. С. 53.
   [13] Негативное информационное воздействие – термин, активно употребляющийся в литературе, посвященной проблемам информационной безопасности и информационной войны. Однако авторы обычно не останавливаются на его исследовании. Представляется, что понятие «негативного информационного воздействия» (как противоположность – «позитивное информационное воздействие») является субъективной категорией, зависящих от целевых установок субъекта, т.е. от того как понимаются цели функционирования системы, на которую осуществляется указанное воздействие (в зависимости от них оно и будет носить либо позитивный либо негативный характер).
   [14] Доктрина информационной безопасности РФ // (утверждена Президентом Российской Федерации В.Путиным 9 сентября 2000 г., № Пр-1895)
   [15] Доктрина информационной безопасности РФ // (утверждена Президентом Российской Федерации В.Путиным 9 сентября 2000 г., № Пр-1895)
   [16] Доктрина информационной безопасности РФ // (утверждена Президентом Российской Федерации В.Путиным 9 сентября 2000 г., № Пр-1895)
   [17] Доктрина информационной безопасности РФ // (утверждена Президентом Российской Федерации В.Путиным 9 сентября 2000 г., № Пр-1895)
   [18] Кириленко В.И. Взаимодействие правоохранительных органов в сфере обеспечения информационной безопасности. Монография / Российская Академия государственной службы при Президенте Российской Федерации. М., 2009. – С.191-197

9. В 1998 году начата подготовка и проекта международной концепции информационной безопасности.
   Необходимо отметить, что проблемы обеспечения информационной безопасности государства, общества и отдельного человека в значительной степени взаимосвязаны, хотя вполне естественно, что их основные интересы существенно различны. Так, например, на современном этапе развития общества интересы личности заключается в реальном обеспечении своих констуционных прав и свобод, личной безопасности, повышения качества и уровня жизни, возможности физического, интеллектуального и духовного развития.
   Интересы общества заключается в достижении и сохранении общественного согласия, повышении созидательной активности населения, духовного развития общества.
   Интересы государства состоят в защите конституционного строя, суверенитета и территориальной целостности страны, установлении и сохранении политической и социальной стабильности, обеспечении законности и правопорядка, развитии равноправного международного сотрудничества.
   Совокупность перечисленных выше важнейших интересов личности, общества и государства и образует национальные интересы страны, проекция которых на информационную сферу общества и определяет основные цели и задачи страны в области обеспечения информационной безопасности.
   Глава 3. Основные цели и объекты информационной безопасности личности. Источники угроз информационной безопасности. Основные задачи обеспечения информационной безопасности личности
   Во все времена информация играла чрезвычайно важную роль, которая из года в год становилась всё существеннее. В современном обществе она является одним из ключевых экономических ресурсов.
   Всем хорошо известно, что «кто владеет информацией, тот владеет миром». Действительно, владение ей в достаточном количестве помогает человеку правильно оценить происходящие вокруг него события, разработать варианты своих действий и принять обдуманное решение. Поскольку информация представляет собой ценность, она может стать объектом купли-продажи, даже кражи (несанкционированного доступа), поэтому она и поддерживающая её инфраструктура должны быть защищены.
   Кроме того, информация – сильнейшее средство воздействия на личность, общество и мир в целом. Именно поэтому человечеству в современных условиях требуется механизм фильтрации информации, а впоследствии также инструмент защиты от нежелательной и (или) негативной информации.
   Мир стремительно меняется, и, переходя в стадию информационного общества, изменяет все стороны жизни современного человека, независимо от того ребенок это или взрослый. Практически ежесекундно человек подвергается воздействию разнообразной информации, характер которой меняется от полезного и необходимого до откровенно агрессивного, манипулятивного. Каждая единица информации, каждое слово, знак, текст несет смысловую нагрузку, воздействующую на ценности человека, его привычки, мотивацию. Устное или печатное слово влияет на психику, зачастую подавляя личность, манипулируя ею. Переход общества на новый информационный уровень развития обусловливает актуализацию проблемы информационной безопасности.
   Исходя из всего вышеизложенного, возникает проблема информационной безопасности, и прежде всего именно личности как носителя индивидуальных способностей, характера, интересов.
   Вообще, проблема информационной безопасности чрезвычайно многогранна. В ней можно выделить несколько важных аспектов. Во-первых, собственно информационный аспект, связанный с защитой непосредственно информации и информационных ресурсов. К сожалению, большинство существующих нормативных документов рассматривают информационную безопасность именно в этом контексте, оставляя за гранью, проблемы личности.
   Информационная безопасность личности – это: а) состояние защищённости, при котором отсутствует угроза причинения вреда информации, которой владеет личность; б) состояние и условие жизнедеятельности личности, при которых отсутствует угроза нанесения вреда личности информацией.
   И отсюда следует разделить информационную безопасность на информационно-идеологическую и информационно-техническую. При этом под информационно-технической безопасностью личности следует понимать защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба личности, а под информационно-идеологической безопасностью – защищенность личности от преднамеренного или непреднамеренного информационного воздействия, имеющего результатом нарушение прав и свобод в области создания, потребления и распространения информации, пользования информационной инфраструктурой и ресурсами, противоречащего нравственным и этическим нормам, оказывающих деструктивное воздействие на личность, имеющих негласный (внечувственный, неосознанный) характер, внедряющих в общественное сознание антисоциальные установки.
   Информационная безопасность личности – это состояние и условие жизни личности, при которой реализуются ее права и свободы.
   Жизненно важные интересы – совокупность потребностей, удовлетворение которых обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
   К жизненно важным интересам личности относятся: соблюдение и реализацию конституционных прав на поиск, получение, производство и распространение информации; связанные с реализацией права граждан на неприкосновенность частной жизни; использование информации в целях духовного, физического, интеллектуального развития; защиту прав на объекты интеллектуальной собственности; обеспечение прав гражданина на защиту своего здоровья от неосознаваемой человеком вредной информации.
   Угроза безопасности – совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
   Угрозами информационной безопасности личности являются:
   ·принятие нормативных актов, противоречащих конституционным правам граждан;
   ·противодействие реализации гражданами прав на неприкосновенность частной жизни;
   ·неправомерное ограничение доступа к открытой информации;
   ·нарушение прав граждан в области массовой информации.
   ·противоправное применение специальных средств, воздействующих на сознание человека;
   ·манипулирование информации.
   Источниками угроз информационной безопасности личности также могут выступать другая личность, программные и технические средства, группа лиц, общественная группа или даже государство, интернет, СМИ.
   Необходимо отметить, что в нашей стране отсутствует разработанная нормативная база, обеспечивающая информационную безопасность личности и государства. Практически, мы можем назвать лишь два документа: Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895), и Указ Президента РФ от 12 мая 2004 г. N 611, с дополнениями в 2004 и 2005 гг. «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена».
   Доктрина информационной безопасности РФ трактует понятие «информационная безопасность» как «состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства». Авторы доктрины вполне закономерно связали информационную безопасность личности с ее интересами в области информации, но трактуют данные интересы, по нашему мнению достаточно узко: «Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность». То есть каждый гражданин должен иметь доступ к легальной информации, может использовать информацию в целях своего всестороннего развития, и защищать информацию, связанную с личной безопасностью гражданина. Таким образом, полностью игнорируется проблема, связанная с разнообразным информационным воздействием на психику человека, и те негативные последствия, которые могут за этим воздействием последовать. В специальной литературе описаны случаи тяжелых форм зависимости связанные с взаимодействием человека глобальными информационными сетями, разнообразные формы игромании, правонарушения, связанные с воздействием информации на личность подростка.
   Таким образом, складывается ситуация, когда ни органы власти, ни система образования, ни какие-либо другие социальные институты не в силах контролировать поток информации, обрушивающийся на человека. В этих условиях, проблема информационной безопасности личности человека приобретает ярко выраженный социально-педагогический смысл.
   Во-вторых, социально-психологический аспект информационной безопасности, связанный с обеспечением психологической безопасности личности от информационного воздействия.
   Анализируя понятие безопасность, С.К.Рощин и В.А.Соснин проанализировали содержание этого понятия на основе определений, даваемых в толковых словарях различных стран. В процессе изучения академических толковых словарей русского, английского, французского и немецкого языков было выявлено, что в народном (общественном) сознании понятие “безопасность” связывается не столько “с отсутствием угрозы”, сколько с состоянием, чувствами и переживаниями человека. По мнению авторов, в разных культурах сформировались примерно одинаковые представления о безопасности, акцент в которых делается на чувствах и переживаниях человека, связанных с его положением в настоящем и перспективами на будущее. Иными словами, для человека безопасность переживается в первую очередь как чувство защищенности от действия различного рода опасностей. Исходя из результатов проведенного анализа, авторы сформулировали определение психологической безопасности как состояния общественного сознания, при котором общество в целом и каждая отдельная личность воспринимают существующее качество жизни как адекватное и надежное, поскольку оно создает реальные возможности для удовлетворения естественных и социальных потребностей граждан в настоящем и дает им основания для уверенности в будущем.
   Грачев Г.В., в своих исследованиях рассматривает понятие “информационно-психологическая безопасность”, которое определяет как состояние защищенности индивидуальной, групповой и общественной психологии и, соответственно, социальных субъектов различных уровней общности, масштаба, системно-структурной и функциональной организации от воздействия информационных факторов, вызывающих дисфункциональные социальные процессы. В социально-психологическом контексте информационная безопасность связывается с разнообразными информационными воздействиями на психику человека, поэтому в данном случае рассматриваются опасности связанные с воздействием на психику отдельного человека, и, соответствующие механизмы защиты от такого воздействия.
   Также, можно выделить социологические, социально-политические и другие аспекты данной проблемы. Необходимо определить, что же входит в социально-педагогический контекст понятия «информационная безопасность личности».
   Объем и влияние информации, предлагаемой человеку, возросли настолько, что правомерным становится говорить об информационной социализации личности, а сама информация, таким образом, превращается в один из ведущих факторов социализации, такой же мощный как семья, школа или референтная группа. Особенность информации как фактора социализации заключается в том, что он практически неуправляем. Влияние на личность макро- или мезофакторов социализации всегда опосредовано, оно преломляется через деятельность социальных институтов (таких как школа, семья и др.), которые поддаются целенаправленному воздействию, управлению. Информационный поток всегда воздействует непосредственно на личность реципиента. Проведенные опросы показывают, что большинство респондентов характеризуют свою информационную среду как «агрессивную», «недружественную», «вредную». Причем данные характеристики не изменяются у респондентов, принадлежащих к разным социальным слоям и группам. И студенты, и рабочие, и предприниматели, представители интеллигенции проявляют полное единодушие по данному вопросу.
   В таких условиях наиболее незащищенными являются дети и подростки, молодежь, еще не выработавшая строгого мировоззрения, четкую жизненную позицию. Поэтому проблема информационной безопасности личности приобретает особую значимость в контексте социально-педагогической деятельности. Так как целью практической социально-педагогической деятельности является гармонизация взаимодействия (отношений) личности и социума для сохранения, восстановления, поддержания, развития социальной активности этого человека. В условиях, когда не учитывается информационный аспект, построить гармоничное взаимодействие личности и социума вряд ли удастся.
   По общему мнению, решение проблемы обеспечения информационной безопасности личности, должно носить комплексный системный характер и осуществляться на разных уровнях.
   Первый уровень – нормативный. На данном уровне органы государственной власти должны создать непротиворечивую нормативную базу, учитывающую все аспекты проблемы информационной безопасности.
   Второй уровень – институциональный, включает в себя согласованную деятельность различных социальных институтов, связанных с воспитанием и социализацией, по обеспечению информационной безопасности личности. В первую очередь к таким институтам относятся семья, школа для детей и подростков, церковь.
   Третий уровень – личностный. Этот уровень связан, прежде всего, с самовоспитанием, самообразованием, формированием высокого уровня информационной культуры личности как части общей культуры человека. На данном уровне происходит формирование необходимых личностных качеств для обеспечения информационной самозащиты личности.
   Можно выделить следующие направления профессиональной социально-педагогической деятельности на институциональном и личностном уровнях.
   На институциональном уровне рассматривается деятельность социального педагога в системе образования и при работе с семьей. В системе образования направления работы могут быть следующими:
   работа с социумом и окружением;
   разработка и реализация целевых социально-педагогических программ;
   профилактическая деятельность;
   обучение персонала и педагогического коллектива;
   пропагандистская деятельность;
   организация взаимодействия специалистов и социальных институтов и др.
   Работа с семьей предполагает следующие направления:
   профилактическая деятельность;
   организация просвещения в области информационной безопасности;
   повышение общего уровня культуры семьи;
   оказание помощи и поддержки в организации семейного воспитания;
   консультирование семьи в области информационной самозащиты и др.
   Личностный уровень предполагает индивидуальную работу социального педагога с клиентом и включает в себя следующие направления:
   оказание социально-педагогической и психологической помощи и поддержки;
   разработка индивидуальных программ работы с клиентом, пострадавшим от информационного воздействия, например, от деятельности деструктивных организаций, религиозных культов, недобросовестной информации и т.д.
   работа по формированию у клиента информационной культуры личности;
   стимулирование клиента к деятельности по самосовершенствованию и саморазвитию, с целью повышения «информационного иммунитета» личности.
   Область информационного воздействия не ограничивается ничем, которая будет расти вместе с развитием человечества. А ведь без ощущения информационной безопасности человек не может расти дальше, развивать те индивидуальные качества, которые и делают его личностью. То есть наличие постоянной угрозы ведёт к вымиранию и деградации личности как таковой.
   В такой ситуации необходим мощный «щит», который обеспечит информационной безопасностью личность. Такой защитой выступает государство, которое на правом уровне обеспечивает эту безопасность (Конституция РФ, Доктрина информационной безопасности РФ, законы). Причём надо постоянно совершенствовать законодательную базу, которая должна изменяться «в ногу со временем». Другим средством защиты, на наш взгляд, выступает сама личность, её предусмотрительное отношение к информации, которой она располагает, предоставляет, размещает. Ведь нередко мы сами размещаем информацию о себе (к примеру, в социальных сетях), в беседе расскажем что-то из частной жизни, а потом эта информация, оказавшись в руках заинтересованных лиц, оборачивается против нас. Также информационная безопасность личности обеспечивается на техническом уровне с использованием специальных программ, препятствующих несанкционированному доступу.
   Кроме того, необходимо задать определенные нравственные ориентиры, систему ценностей, сформировать национальную идею, иначе информационная защита личности теряет смысл.
   В последнее десятилетие происходит активное внедрение компьютерной сети интернет в жизнь общества. Это несёт определённые преимущества, но существует и ряд новых проблем, связанных с появлением интернета, которые пока ни законодательно, ни технически не решены.
   Нередко происходит утечка информации из закрытых баз данных, предназначенных для служебного пользования. Проникновение посторонних в эти базы данных происходит через компьютерные сети, в частности, существуют компьютерные вирусы, распространяемые с помощью электронной почты. Впоследствии такая информация может быть беспрепятственно размещена частным лицом в интернете, например, на своём личном сайте. Даже если адрес этого сайта сначала мало кому известен, то существование так называемых поисковых систем – Яндекс, Рамблер, Google и других, делает эту информацию доступной для запроса по каким-либо ключевым словам или фразам документа, по фамилиям людей.
   Кроме того, организации могут размещать информацию частного характера о своих сотрудниках на корпоративных сайтах, которые доступны поисковым системам. Так, может быть размещена информация о датах рождения, семейном положении, номерах домашнего и мобильного телефонов и другая информация, которую работник предоставляет в отдел кадров или другой отдел организации, а не для разглашения в интернете.
   С другой стороны, не исключено размещение на каких-либо личных сайтах конфиденциальной информации об организации, её финансовой деятельности, и эта информация также может быть найдена через поисковые системы и нанести ущерб деятельности организации, а для удаления данных необходимо искать авторов сайта, доказать администраторам поисковой системы, что информация конфиденциальная, но и после удаления в течение нескольких недель или месяцев будет доступна «сохранённая копия» документа.
   Также не исключается размещение информации личного характера и подробностей личной жизни либо клеветнической информации на личных сайтах или форумах со стороны бывших родственников в случае семейного конфликта и развода. Подобная информация тоже становится доступной поисковым системам. Всё это создаёт угрозу информационной безопасности личности.
   Неоднократно имели место случаи утечки информации из баз данных налоговых и финансовых служб. Эта информация продаётся пиратским образом на дисках. Нет гарантии, что подобная закрытая информация, которую человек предоставляет государству, не станет доступна любому пользователю интернета через поисковые системы.
   Из всего сказанного можно сделать вывод, что поисковые системы в их современном виде полностью не отвечают задаче обеспечения информационной безопасности личности и общества. Роботы поисковых систем действуют так, что отсутствует возможность ликвидировать ссылки на некоторые ресурсы по фамилии человека или названию организации. Специалисты, работающие в Яндексе, отвечают, что они не могут управлять индексацией ресурсов в своей поисковой системе.
   Следует отметить, что в других информационных системах задача об обеспечении информационной безопасности личности ставится и успешно решается. Так, любой абонент может за небольшую сумму немедленно исключить номер своего домашнего телефона из справочной базы данных 09, в справочниках информация о квартирных телефонах в последнее время указывается только с письменного согласия абонента. А справочники по сотовым телефонам отсутствуют и не планируется их издание.
   При работе поисковых систем в интернете информационная безопасность личности не только никак не обеспечивается, но даже в ближайшем будущем такая задача не ставится. Требуется разработка нового законодательного подхода к деятельности поисковых систем и новые технические решения.

10. Введение
    С конца 80-ых начала 90-ых годов проблемы связанные с защитой информации беспокоят как специалистов в области компьютерной безопасности так и многочисленных рядовых пользователей персональных компьютеров. Это связано с глубокими изменениями вносимыми компьютерной технологией в нашу жизнь. Изменился сам подход к понятию “информация”. Этот термин сейчас больше используется для обозначения специального товара который можно купить, продать, обменять на что-то другое и т.д. При этом стоимость подобного товара зачастую превосходит в десятки, а то и в сотни раз стоимость самой вычислительной техники, в рамках которой он функционирует.
    Естественно, возникает потребность защитить информацию от несанкционированного доступа, кражи, уничтожения и других преступных действий. Однако, большая часть пользователей не осознает, что постоянно рискует своей безопасностью и личными тайнами. И лишь немногие хоть каким либо образом защищают свои данные. Пользователи компьютеров регулярно оставляют полностью незащищенными даже такие данные как налоговая и банковская информация, деловая переписка и электронные таблицы. Проблемы значительно усложняются, когда вы начинаете работать или играть в сети так как хакеру намного легче в это время заполучить или уничтожить информацию, находящуюся на вашем компьютере.
    Кому нужны ваши данные?..
    Это зависит от того, кто вы такой и какими данными располагаете. Но также существует отдельный тип рода деятельности называемый хакером (англ. cracker – взломщик). Некоторые работают группами, некоторые отдельно. Их методы различны, но основной постоянный рабочий инструмент – программа-взломщик, делящаяся на два основных компонента: программа для доступа к удаленным компьютерам по телефонным сетям и словарь вероятных кодов и паролей. Задача программы-взломщика получить доступ к удаленному компьютеру с помощью подбора кодов и паролей до тех пор, пока комбинация не будет найдена; это обеспечит доступ к системе.
    Фрикеры – это взломщики, которые специализируются на нападениях на телефонные системы. Телефонная сеть привлекает внимание большинства взломщиков так как она является на данный момент самой большой (глобальной) сетью на планете.
    Выбор системы защиты
    Запирать двери не очень удобно, однако без этого вы не выходите из дома. То же относится и к защите вашей компьютерной системы. Все, что от вас требуется – это готовность выполнять текущий контроль и совсем немного технических знаний.
    Любая компьютерная система не является идеальной, то есть полностью не может обеспечить безопасность данных на вашем ПК. Чтобы на 100% защитить данные от попадания в чужие руки надо их уничтожить. А чтобы сохранить содержимое вашего компьютера в целости надо найти компромисс между важностью защищаемых вами данных и неудобствами связанными с использованием мер защиты. Далее я расскажу о ценных методах защиты данных, а также о том как уменьшить связанные с защитой данных неудобства. Дело в том, что каждый раз, когда повышается уровень защиты требуется более изощренный способ ее обхода. Выбор средства защиты должен основываться на обеспечении достаточной защищенности и в то же время не доставлять неудобств. Каждый пользователь должен произвести собственный анализ риска и решить какие меры защиты наиболее подходят вам в данном случае. Анализ риска для персональных компьютеров можно разделить на три класса: анализ автономных систем, то есть одного компьютера, анализ локальных систем и анализ систем удаленного доступа имеющих связь с глобальной сетью (напр. Internet).
    Использование паролей
    Идея использования паролей заключается в следующем: если кто-либо попробует обратиться к вашим данным или аппаратным средствам, то пароли должны создать собой массу неудобств. Чем сложнее будет угадать или “взломать” используемый вами пароль, тем в большей безопасности будут ваши данные. Длина пароля существенно влияет на уровень защиты. Личные номера на сегодняшний день являются одним из наименее безопасных паролей широкого использования (напр. Кредитные карты для кассовых аппаратов АТМ или телефонные карты). В личных номерах могут использоваться цифры от 0 до 9, то есть номер может иметь десять тысяч вариаций. Этого достаточно если речь идет о человеке стоящем возле АТМ и набирающего код наугад, но совсем не много если речь идет о компьютере использующем лобовой метод решения.
    При “лобовом” нападении проверяются все возможные комбинации паролей до тех пор пока одна из них не сработает. При увеличении длины пароля сложность лобового нападения возрастает так как это займет больше времени. Конечно, многие банки используют не только четырехразрядный код (PIN), но и другие методы для повышения безопасности, например, видеокамеры и АТМ, которые блокируют карточки. При этом меры защиты в каждом банке сильно отличаются. Большинство банков также оказывают следующую услугу: вы можете позвонить в банк, набрать номер карточки и личный номер и узнать состояние текущего счета. Этот сценарий делает уязвимым ваш личный номер (PIN) – некто может засесть за телефон и пробовать разные варианты.
    С телефонной карточкой возникает та же проблема. Сети дальней телефонной связи вроде AT & T, MCI, Sprint также используют личные четырехразрядные номера для опознания звонков. Предположим, вы потеряли бумажник… обычно первая реакция – сожаления о наличных ценностях, а лишь потом звонят в кредитные компании и сообщают о потере карточки. Это позволяет заблокировать платежи с ваших карточек. Однако большинство людей забывают, что телефонная карта тоже является кредитной и небольшую программу для взламывания ее PINа способен написать даже подросток. Например:
    For i:=0 to 9999 do
    DialAccess(i);
    Функция DialAccess() – это небольшой отрывок кода. Он набирает телефон компании и последовательно (в данном случае от 0 до 9999) вводит номер карточки, используя i как PIN. Это классический пример лобового метода решения.
    Таким образом, четырехразрядный пароль – ваш PIN – имеет всего 9999 возможных комбинаций. Однако большинство компьютерных паролей длиннее и кроме чисел 1-9 могу содержать символы. Четырехразрядный пароль, в котором используются числа и символы, расшифровать сложнее – он может содержать 1679616 уникальных комбинаций.
    Вот формула для вычисления возможного количества комбинаций символов: c=xy, где с – число возможных комбинаций, x – количество различных символов используемых в каждой позиции пароля, y – число символов пароля. Например, при использовании PINа c=104. Также некоторые пароли чувствительны к регистру и включают в себя знаки препинания, так что число возможных комбинаций ещё возрастает.
    Кроме паролей используемых для обращения к местной сети, Internet и т.д., у пользователей компьютеров есть ряд защитных мер включающих пароли. К ним относятся основанная на BIOS защита, требующая ввести пароль при загрузке компьютера, специальные защитные программы, блокирующие доступ к отдельным файлам, и защищенные паролем архивные ZIP-файлы.
    Простые меры защиты
    Есть кое какие несложные приемы для защиты ценной информации, которые используются уже много лет. Проблема в том, что все эти схемы легко обойдет хорошо осведомленный пользователь.
    DOS и предшествующие операционные системы некоторое время сохраняют удаленные файлы, не уничтожая их полностью. При удалении просто редактируется FAT (File Allocation Table): запись имени файла объявляется недействительной, а сектора, где записан файл, — свободными. Это означает, что удаленные файлы можно восстановить с помощью некоторых широко распространенных утилит (нап. undelete).
    Программы уничтожения полностью стирают файл, перезаписывая всю информацию о файле в FAT и сектора, где он находился.
    Также можно надежно шифровать отдельные файлы и сообщения электронной почты используя правительственный стандарт шифрования DES. DES расшифровывается как Data Encryption Standart (стандарт шифрования данных). DES был разработан IBM по заказу FBI и CIA как программное обеспечение для шифрования. После разработки DES в 1977 году он был принят правительством USA. Программа DES for Windows, написанная Джеффом Зальцманом, является утилитой шифрования общего пользования.
    Защита электронной почты
    Подавляющее большинство электронной почты посылается через Internet или другие глобальные сети в виде простого текста, который можно прочесть. Закон о конфиденциальности электронных коммуникаций приравнивает вашу электронную почту к обычному телефонному звонку.
    Вы должны понимать, что системные администраторы имеют все необходимые средства для чтения электронной почты на своей системе. Иногда им даже необходимо просматривать электронную почту, чтобы удостовериться, что система работает нормально.
    Хакеры и любопытные отличаются тем, что владеют различными способами получения доступа к вашей почте, но обе эти категории не могут читать вашу почту, если она зашифрована. Если вам необходимо защитить секретную информацию используйте PGP (Pretty Good Privacy) для шифрования почты перед отправлением.
    Список литературы
    “Защита информации в персональных ЭВМ”, А.В. Спесивцев.
    “Вычислительная техника и её применение”, В.В. Голубев.
    “Безопасность компьютера”, Эд Тайли.

11. Проблема личной безопасности человека является актуальной в любое время. Наше время принесло людям не только достижения в области технического прогресса, упростившие жизнь, но и массу проблем, затрудняющих ее. Каждый день на нашей планете происходят всевозможные ситуации, подвергающие чью-то жизнь опасности. Будь то природная чрезвычайная ситуация, авария, катастрофа или опасная ситуация сложившаяся под воздействием человеческого фактора. В современном мире сильно встает вопрос личной безопасности. Для начала, давайте определим, что это значит. Формально, личная безопасность – это совокупность знаний, умений и навыков человека, выражающихся в его готовности защитить себя от неблагоприятного воздействия факторов окружающей среды и наступления нежелательных последствий. Если же говорить проще, то это готовность человека защитить себя и окружающих.
    Теперь давайте рассмотрим факторы, которые могут содействовать в достижении личной безопасности и примеры проблем их достижения в современном мире.
    Первый, это бдительность. Суть проста: желательно всегда быть начеку и следить за тем, что происходит вокруг человека. Казалось бы, не в военной обстановке живем, зачем все время держать себя под напряжением? В спокойное время от вас и не требуется вести себя как параноик, все время оглядываясь вокруг. Однако, замечать то что творится вокруг тебя является качеством, необходимым для обеспечения личной безопасности, т.к. это дает возможность человеку в случае чего вовремя принять необходимые меры. А по поводу современного мира: как я уже написал выше, так как мы живем в относительно спокойное время, все больше людей (в основном молодых) перестают замечать то, что происходит вокруг них. Им кажется, что никто им ничего не сделает, или что их проблемы решат за них (например, родители) и часто совершают действия не подумав.
    Следующий фактор, образовательный уровень человека, его знания в разных областях. Знание – наше главное оружие. Термин личная безопасность должен включать в себя теоретическую подготовку, которая должна включать в себя как знания по решению возникших ситуаций, опасных для жизни, так и, что гораздо более важно, предотвращению этих событий, пусть даже это не всегда может зависеть от нас самих. Важно знать основные способы оказания первой помощи, действия в той или иной экстремальной ситуации и способы их предотвращения. Ведь знания в той или иной ситуации помогают нам сохранять спокойствия и трезвость мысли. Понимая, что происходит, мы действуем более эффективно и минимизируем риски угрожающие нам. Говоря о современном мире – в связи с технологическим прогрессом появляется все больше приборов, которые могут заинтересовать человека (например, игры и развлекательный контент в интернете в наше время доступны где угодно с появлением умных мобильных устройств), отбив у него всякое желание учиться. Особенно это касается нынешних школьников, так как именно в это время складывается общая образованность человека.
    Третий фактор – физическое состояние человека. Физическая подготовка также является не менее важной стороной личной безопасности. Совсем необязательно быть олимпийским атлетом, но элементарная подготовка, включающая в себя развитие, как общей силы мышц, так и выносливости организма, должна присутствовать в жизни каждого человека, заботящегося о своем здоровье. Ведь как бы не был осведомлен и опытен человек, без физических возможностей он не сможет надолго задерживать дыхание, поднимать заграждения или просто быстро бежать. Как говорится, «в здоровом теле – здоровый дух», и сильный духом человек не сдастся в ситуации, которая может казаться безвыходной, этот человек не перестанет бороться за свою жизнь во чтобы то ни стало, ведь пока не сломлен дух, этого человека не сломить. Данный фактор влияет на быстроту реакции человека, способность эффективно противостоять переутомлению.
    Ну и последний (но не по важности), с моей точки зрения, фактор, это психологическая готовность. Здесь подразумевается воля к жизни человека, его умение преодолеть страх, а также такие качества личности как: стрессоустойчивость, эмоциональная уравновешенность, и т.д. Реальным примером того, на что это влияет, является то, насколько быстро человек, обнаружив опасность, сможет успокоиться и предпринять необходимые действия по ее устранению.
    Немаловажной деталью являются и инстинкты человека. Не стоит и отрицать, что каждый из нас в той или иной мере может предчувствовать опасность или ход событий, предугадывать возможные стечения обстоятельств. Эта особенность передалась нам от животного мира, где она развита гораздо сильнее, чем у нас, но это не мешает быть ей полезной и спасать из ситуаций где, казалось бы, нет выхода. Нужно уметь слушать свой организм и доверять инстинктам. Ведь даже не зная о них мы ими обладаем с рождения, это привито в нас на уровне ДНК.
    В заключение можно сказать, что обеспечение безопасности является первоочередной задачей для человека в настоящее время. Процесс обеспечения безопасности является сложным и многогранным, и зависит от большого числа различных факторов. Переход к информационному обществу создает все новые и новые виды опасностей и угроз. Но не стоит забывать о том, что мы, все же, живем в относительно спокойное время и технический прогресс в основном улучшает качество жизни. Нужно жить и не бояться, но помнить о ценности своей жизни и быть готовым ко всему.

12. – целостность данных – защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;
    – конфиденциальность информации и одновременно ее доступность для всех авторизованных пользователей [2].
    В процессе реализации указанных принципов государства определили наиболее уязвимые сферы возможных нарушений: банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры. Эти структуры государства требуют специальных мер безопасности, поскольку они обеспечивают суверенитет страны. В качестве основных мер информационной безопасности применяются средства шифрования информации, вплоть до использования файловых систем с шифрованием данных [3]. Современные системы обнаружения нарушения информационной безопасности включают в себя системы виртуализации, песочницы со встроенными системами антивирусной защиты и системы управления знаниями о киберуг-розах и уязвимостях (Threat Intelligence).
    Основную проблему в обеспечении информационной безопасности составляет защита самой информации. Государство обеспечивает защиту информации на законодательном уровне, но оно не может оградить нас от человеческого фактора [4]. Авторы работы отмечают изменения в подходах, используемых киберпреступниками для выполнения атак [5]:
    – рассылка сотрудникам организации писем с вредоносным вложением;
    – распространение вредоносного ПО через интернет-ресурсы;
    – физическое проникновение в офис;
    – проникновение в корпоративную сеть организации через внешний периметр – дополняются новым изощренным методом в виде внедрения в цепочку поставщиков.
    В последнее время в России возникли проблемы защиты информации, связанные с использованием иностранного программного обеспечения. Так, по мнению Е.А. Разумовской, основная – «значительная, десятилетиями складывающаяся импортозависимость страны в компьютерной области» [6]. В нашей стране сложилась ситуация, когда вся продукция, которая идет на экспорт сопровождается документаций, схемами, чертежами, подготовленными исключительно на лицензионном ПО которое выпускается в западных странах; на заводах установлены системы управления предприятием, например, комплекс BAAN; российские банки непосредственно в сфере своей основной деятельности зависят от системы международных банковских переводов Swift, платежных систем Visa и Mastercard и т. п. Долгое время никто не думал, что использование ПО может стать объектом санкций против России. Ситуация с ограничением системы Swift для России в 2014 г. заставила власти подумать о поддержке отечественного ПО. Тем более что Европейский союз пока не отменил санкции, а рассматривает возможные ограничения в энергетическом и финансовых секторах. За прошедшее после 2014 г. время уже создан собственный аналог – Сервис по передаче финансовых сообщений (СПФС), к которому на январь 2016 г. подключилось уже 46 % российских банков [7]. Таким образом, Россия в банковском секторе уже готова обеспечить безопасность информации о клиентах банков, расчетах, транзакциях и т. п. Но более серьезной считается проблема защиты информации о людях – персональные данные и личная информация. Мода на пользование облачными сервисами, в большинстве случаев зарубежными, приводит к тому, что информация пользователей физически хранится на серверах зарубежных корпораций и любые коммерческие и производственные тайны, военные секреты остаются практически без защиты.
    Защита информации – гарантия безопасности, задача государства. Но и пользователи, и предприятия способны проводить мероприятия по повышению информационной безопасности и защите информации. Для этого применяются достаточно простые, но эффективные меры: выстраивание системы разграничения критичных полномочий в бизнес-системах, ограничение доступа к информационным ресурсам, превышающим минимально достаточный уровень. Но успех в области информационной безопасности может принести только комплексный подход, сочетающий надлежащее руководство (административный уровень), усилия компании по убеждению работников в необходимости повышения безопасности информации (процедурный уровень), создания законодательства и контроля со стороны государства за уровнем информационной безопасности (законодательный уровень), и использовании отечественного программного обеспечения и информационных технологий (программно-технический уровень). Адаптация традиционных мер – сетевых решений, повышение качества сбора оперативной информации, моделирование угроз, повышение ответственности, также расширяют границы «безопасного периметра» и создают условия для эффективного и безопасного использования информации в режиме реального времени.
    Библиографические ссылки
    1. Что такое Информация? Значение слова Информация в философском словаре [Электронный ресурс]. URL: http://diclist.ru/slovar/filosofskiy/l/informatsija.html (дата обращения: 18.03.2016).
    2. Белов Е. Б., Лось В. П. Основы информационной безопасности. М. : Горячая линия : Телеком, 2006.
    3. Мельников В. П., Клейменов С. А., Петраков А. М. Информационная безопасность и защита информации. 3-е изд. М. : Академия, 2008.
    4. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ 09.09.2000 № Пр-1895) [Электронный ресурс]. URL: http://www.consultant.ru/document/cons_ doc_LAW_28679/ (дата обращения: 20.03.2016).

13. Введение.
    Информационная Эра привела кдраматическим изменениям в способе выполнения своих обязанностей для большогочисла профессий. Теперь нетехнический специалист среднего уровня можетвыполнять работу, которую раньше делал высококвалифицированный программист.Служащий имеет в своем распоряжении столько точной и оперативной информации,сколько никогда не имел.
    Но использование компьютеров и автоматизированных технологийприводит к появлению ряда проблем для руководства организацией. Компьютеры,часто объединенные в сети, могут предоставлять доступ к колоссальномуколичеству самых разнообразных данных. Поэтому люди беспокоятся о безопасностиинформации и наличии рисков, связанных с автоматизацией и предоставлениемгораздо большего доступа к конфиденциальным, персональным или другимкритическим данным. Все увеличивается число компьютерных преступлений, что можетпривести в конечном счете к подрыву экономики. И поэтому должно быть ясно, чтоинформация — это ресурс, который надо защищать.
    Ответственность за защиту информации лежит на низшем звенеруководства. Но также кто-то должен осуществлять общее руководство этойдеятельностью, поэтому в организации должно иметься лицо в верхнем звенеруководства, отвечающее за поддержание работоспособности информационных систем.
    И так как автоматизация привела к тому, что теперь операции свычислительной техникой выполняются простыми служащими организации, а неспециально подготовленным техническим персоналом, нужно, чтобы конечныепользователи знали о своей ответственности за защиту информации.
     Целью этого документа является дать основы компьютернойбезопасности для низшего звена управления, то есть для начальников отделов,руководителей групп и т.п.
    При ограблении банка потери в среднем составляют 19 тысячдолларов, а при компьютерном преступлении — 560 тысяч долларов
    Число компьютерных преступлений растет — также увеличиваютсямасштабы компьютерных злоупотреблений. По оценке специалистов США, ущерб откомпьютерных преступлений увеличивается на 35 процентов в год и составляетоколо 3.5 миллиардов долларов. Одной из причин является сумма денег, получаемаяв результате преступления: в то время как ущерб от среднего компьютерногопреступления составляет 560 тысяч долларов, при ограблении банка — всего лишь19 тысяч долларов.
    Шансов быть пойманным у компьютерного преступника гораздоменьше, чем у грабителя банка — и даже при поимке у него меньше шансов попастьв тюрьму. Обнаруживается в среднем 1 процент компьютерных преступлений. Ивероятность того, что за компьютерное мошенничество преступник попадет втюрьму, меньше 10 процентов.
    Умышленные компьютерные преступления составляют заметную частьпреступлений. Но злоупотреблений компьютерами и ошибок еще больше. Каквыразился один эксперт, «мы теряем из-за ошибок больше денег, чем могли быукрасть». Эти потери подчеркивают важность и серьезность убытков,связанных с компьютерами.
    Основной причиной наличия потерь, связанных с компьютерами,является недостаточная образованность в области безопасности. Только наличиенекоторых знаний в области безопасности может прекратить инциденты и ошибки,обеспечить эффективное применение мер защиты, предотвратить преступление илисвоевременно обнаружить подозреваемого. Осведомленность конечного пользователяо мерах безопасности обеспечивает четыре уровня защиты компьютерных иинформационных ресурсов.
    />1.Меры защиты: четыре уровня защиты
     
    Предотвращение— только авторизованныйперсонал имеет доступ к информации и технологии
    Обнаружение— обеспечивается раннееобнаружение преступлений и злоупотреблений, даже если механизмы защиты былиобойдены
    Ограничение — уменьшается размер потерь, еслипреступление все-таки произошло несмотря на меры по его предотвращению иобнаружению
    Восстановление— обеспечивается эффективноевосстановление информации при наличии документированных и проверенных планов повосстановлению
    Вчера контроль за технологией работы был заботой техническихадминистраторов. Сегодня контроль за информацией стал обязанностью каждогонетехнического конечного пользователя. Контроль за информацией требует новыхзнаний и навыков для группы нетехнических служащих. Хороший контроль заинформацией требует понимания возможностей совершения компьютерных преступленийи злоупотреблений, чтобы можно было в дальнейшем предпринять контрмеры противних.
    Когда компьютеры впервые появились, они были доступны тольконебольшому числу людей, которые умели их использовать. Обычно они помещались вспециальных помещениях, удаленных территориально от помещений, где работалислужащие. Сегодня все изменилось. Компьютерные терминалы и настольныекомпьютеры используются везде. Компьютерное оборудование стало дружественным кпользователю, поэтому много людей могут быстро и легко научиться тому, как егоиспользовать.
    Число служащих в организации, имеющих доступ к компьютерномуоборудованию и информационной технологии, постоянно растет. Доступ к информациибольше не ограничивается только узким кругом лиц из верхнего руководстваорганизации. Этот процесс привел к тому, что произошла «демократизацияпреступления». Чем больше людей получало доступ к информационной технологиии компьютерному оборудованию, тем больше возникало возможностей для совершениякомпьютерных преступлений.
    Трудно обобщать, но теперь компьютерным преступником можетбыть…
    конечный пользователь, не технический служащий и не хакер
    тот, кто не находится на руководящей должности
    тот, у кого нет судимостей
    умный, талантливый сотрудник
    тот, кто много работает
    тот, кто не разбирается в компьютерах
    тот, кого вы подозревали бы в последнюю очередь
    именно тот, кого вы взяли бы на работу
    />Компьютернымпреступником может быть любой
    Типичный компьютерный преступник — это не молодой хакер,использующий телефон и домашний компьютер для получения доступа к большимкомпьютерам. Типичный компьютерный преступник — это служащий, которому разрешендоступ к системе, нетехническим пользователем которой он является. В СШАкомпьютерные преступления, совершенные служащими, составляют 70-80 процентовежегодного ущерба, связанного с компьютерами. Остальные 20 процентов даютдействия нечестных и недовольных сотрудников. И совершаются они по целому рядупричин.
    />Почемулюди совершают компьютерные преступления
    личная или финансовая выгода
    развлечение
    месть
    попытка добиться расположения кого-либо к себе
    самовыражение
    случайность
    вандализм
    Но значительно больший ущерб, около 60 процентов всех потерь,наносят ошибки людей и инциденты. Предотвращение компьютерных потерь, как из-заумышленных преступлений, так и из-за неумышленных ошибок, требует знаний вобласти безопасности. Опросы, проводимые периодически в США, показывают, чтоименно служащие, имевшие знания в области компьютерной безопасности, былиосновной причиной выявления компьютерных преступлений.
    />
    Признаки компьютерных преступлений:
    Обращайте внимание на:
    неавторизованное использование компьютерного времени
    неавторизованные попытки доступа к файлам данных
    кражи частей компьютеров
    кражи программ
    физическое разрушение оборудования
    уничтожение данных или программ
    неавторизованное владение дискетами, лентами или распечатками
    И это только самые очевидные признаки, на которые следуетобратить внимание при выявлении компьютерных преступлений. Иногда эти признакиговорят о том, что преступление уже совершено, или что не выполняются мерызащиты. Они также могут свидетельствовать о наличии уязвимых мест — указать,где находится дыра в защите — и помочь наметить план действий по устранениюуязвимого места. В то время как признаки могут помочь выявить преступление илизлоупотребление — меры защиты могут помочь предотвратить его.
    Меры защиты — это меры, вводимые руководством, для обеспечениябезопасности информации — административные руководящие документы(приказы, положения,инструкции), аппаратные устройства или дополнительные программы — основнойцелью которых является предотвратить преступления и злоупотребления, непозволив им произойти. Меры защиты могут также выполнять функцию ограничения,уменьшая размер ущерба от преступления.
    />2.Информационная безопасность
    То, что в 60-е годы называлось компьютерной безопасностью, а в70-е — безопасностью данных, сейчас более правильно именуется информационнойбезопасностью. Информационная безопасность подчеркивает важность информации всовременном обществе — понимание того, что информация — это ценный ресурс,нечто большее, чем отдельные элементы данных.
    Информационной безопасностью называют меры по защитеинформации от неавторизованного доступа, разрушения, модификации, раскрытия изадержек в доступе. Информационная безопасность включает в себя меры позащите процессов создания данных, их ввода, обработки и вывода. Цельюинформационной безопасности является обезопасить ценности системы, защитить игарантировать точность и целостность информации, и минимизировать разрушения,которые могут иметь место, если информация будет модифицирована или разрушена.Информационная безопасность требует учета всех событий, в ходе которых информациясоздается, модифицируется, к ней обеспечивается доступ или онараспространяется.
    Информационная безопасность дает гарантию того, чтодостигаются следующие цели:
    конфиденциальность критической информации
    целостность информации и связанных с ней процессов( создания,ввода, обработки и вывода)
    доступность информации, когда она нужна
    учет всех процессов, связанных с информацией
    Некоторые технологии по защите системы и обеспечению учетавсех событий могут быть встроены в сам компьютер. Другие могут быть встроены впрограммы. Некоторые же выполняются людьми и являются реализацией указанийруководства, содержащихся в соответствующих руководящих документах. Принятиерешения о выборе уровня сложности технологий для защите системы требуетустановления критичности информации и последующего определения адекватногоуровня безопасности.
    Что же такое критические данные? Под критическими даннымибудем понимать данные, которые требуют защиты из-за вероятностинанесения(риска) ущерба и его величины в том случае, если произойдет случайноеили умышленное раскрытие, изменение, или разрушение данных. Этот терминвключает в себя данные, чье неправильное использование или раскрытие можетотрицательно отразиться на способности организации решать свои задачи,персональные данные и другие данные, защита которых требуется указамиПрезидента РФ, законами РФ и другими подзаконными документами.
    Преступления и злоупотребления
    Анализ зарубежных и отечественных отчетов о выявленныхкомпьютерных преступлениях позволяет описать основные технологии их совершения.Лишь немногие из них включают разрушение компьютеров или данных. Только в 3процентах мошенничеств и 8 процентах злоупотреблений происходило специальноеразрушение оборудования, уничтожение программ или данных. В большей частислучаев мошенничеств и злоупотреблений использовалась информация — еюманипулировали, ее создавали, ее использовали.
     
    Пять основных технологий, использовавшихся присовершении компьютерных преступлений:
    Мошенничества
    Ввод неавторизованной информации
    Манипуляции разрешенной для ввода информацией
    Манипуляции или неправильное использование файлов синформацией
    Создание неавторизованных файлов с информацией
    Обход внутренних мер защиты
    Злоупотребления
    Кража компьютерного времени, программ, информации иоборудования
    Ввод неавторизованной информации
    Создание неавторизованных файлов с информацией
    Разработка компьютерных программ для неслужебногоиспользования
    Манипулирование или неправильное использование возможностей попроведению работ на компьютерах
    С другой стороны стоит рассмотреть основные методы,использовавшиеся для их совершения. Они включают:
    Надувательство с данными. Наверное, самыйраспространенный метод при совершении компьютерных преступлений, так как он нетребует технических знаний и относительно безопасен. Информация меняется впроцессе ее ввода в компьютер или во время вывода. Например, при вводедокументы могут быть заменены фальшивыми, вместо рабочих дискет подсунутычужие, и данные могут быть сфальсифицированы.
    Сканирование. Другой распространенный метод полученияинформации, который может привести к преступлению. Служащие, читающие файлыдругих, могут обнаружить там персональную информацию о своих коллегах.Информация, позволяющая получить доступ к компьютерным файлам или изменить их,может быть найдена после просмотра мусорных корзин. Дискеты, оставленные настоле, могут быть прочитаны, скопированы, и украдены. Очень хитрый сканирующийможет даже просматривать остаточную информацию, оставшуюся на компьютере или наносителе информации после выполнения сотрудником задания и удаления своихфайлов.
    Троянский конь. Этот метод предполагает, чтопользователь не заметил, что компьютерная программа была изменена такимобразом, что включает в себя дополнительные функции. Программа, выполняющаяполезные функции, пишется таким образом, что содержит дополнительные скрытыефункции, которые будут использовать особенности механизмов защитысистемы(возможности пользователя, запустившего программу, по доступу к файлам)
    Люк. Этот метод основан на использовании скрытогопрограммного или аппаратного механизма, позволяющего обойти методы защиты всистеме. Этот механизм активируется некоторым неочевидным образом. Иногдапрограмма пишется таким образом, что специфическое событие, например, числотранзакций, обработанных в определенный день, вызовет запуск неавторизованногомеханизма.
    Технология салями Названа так из-за того, чтопреступление совершается понемногу, небольшими частями, настолько маленькими,что они незаметны. Обычно эта технология сопровождается изменением компьютернойпрограммы. Например, платежи могут округляться до нескольких центов, и разницамежду реальной и округленной суммой поступать на специально открытый счетзлоумышленника.
    Суперотключение. Названа по имени программы,использовавшейся в ряде компьютерных центров, обходившей системные меры защитыи использовавшейся при аварийных ситуациях. Владение этим«мастер-ключом» дает возможность в любое время получить доступ ккомпьютеру и информации, находящейся в нем.
    Признаки
    Следующие признаки могут свидетельствовать о наличии уязвимыхмест в информационной безопасности.
    Не разработано положений о защите информации или они несоблюдаются. Не назначен ответственный за информационную безопасность.
    Пароли пишутся на компьютерных терминалах, помещаются вобщедоступные места, ими делятся с другими, или они появляются на компьютерномэкране при их вводе
    Удаленные терминалы и микрокомпьютеры оставляются безприсмотра в рабочие и нерабочие часы. Данные отображаются на компьютерныхэкранах, оставленных без присмотра.
    Не существует ограничений на доступ к информации, или нахарактер ее использования. Все пользователи имеют доступ ко всей информации имогут использовать все функции системы.
    Не ведется системных журналов, и не хранится информация о том,кто и для чего использует компьютер.
    Изменения в программы могут вноситься без их предварительногоутверждения руководством.
    Отсутствует документация или она не позволяет делатьследующее: понимать получаемые отчеты и формулы, по которым получаютсярезультаты, модифицировать программы, готовить данные для ввода, исправлятьошибки, производить оценку мер защиты, и понимать сами данные — их источники,формат хранения, взаимосвязи между ними.
    Делаются многочисленные попытки войти в систему с неправильнымипаролями.
    Вводимые данные не проверяются на корректность и точность, илипри их проверке много данных отвергается из-за ошибок в них, требуется сделатьмного исправлений в данных, не делается записей в журналах об отвергнутыхтранзакциях.
    Имеют место выходы из строя системы, приносящие большие убытки
    Не производился анализ информации, обрабатываемой вкомпьютере, с целью определения необходимого для нее уровня безопасности
    Мало внимания уделяется информационной безопасности. Хотяполитика безопасности и существует, большинство людей считает, что на самомделе она не нужна.
    />3.Меры защиты информации.
    1. Контролируйте доступ как к информации в компьютере, таки к прикладным программам. Вы должны иметь гарантии того, что толькоавторизованные пользователи имеют доступ к информации и приложениям.
     
    Идентификация пользователей
    
    Требуйте, чтобы пользователи выполняли процедуры входа в компьютер, ииспользуйте это как средство для идентификации в начале работы. Чтобыэффективно контролировать микрокомпьютер, может оказаться наиболее выгоднымиспользовать его как однопользовательскую систему. Обычно у микрокомпьютера нетпроцедур входа в систему, право использовать систему предоставляется простымвключением компьютера.
     
    Аутентификация пользователей
    
    Используйте уникальные пароли для каждого пользователя, которые неявляются комбинациями личных данных пользователей, для аутентификации личностипользователя. Внедрите меры защиты при администрировании паролей, и ознакомьтепользователей с наиболее общими ошибками, позволяющими совершитьсякомпьютерному преступлению…
     
    Другие меры защиты:
    Пароли — только один из типов идентификации –что-то, чтознает только пользователь. Двумя другими типами идентификации, которые тожеэффективны, являются что-то, чем владеет пользователь( например,магнитная карта), или уникальные характеристики пользователя(его голос).
    Если в компьютере имеется встроенный стандартный пароль(пароль, который встроен в программы и позволяет обойти меры по управлениюдоступом), обязательно измените его.
    Сделайте так, чтобы программы в компьютере после входапользователя в систему сообщали ему время его последнего сеанса и числонеудачных попыток установления сеанса после этого. Это позволит сделатьпользователя составной частью системы проверки журналов.
     
    Защищайте ваш пароль
    не делитесь своим паролем ни с кем
    выбирайте пароль трудно угадываемым
    попробуйте использовать строчные и прописные буквы, цифры, иливыберите знаменитое изречение и возьмите оттуда каждую четвертую букву. А ещелучше позвольте компьютеру самому сгенерировать ваш пароль.
    не используйте пароль, который является вашим адресом,псевдонимом, именем жены, телефонным номером или чем-либо очевидным.
    используйте длинные пароли, так как они более безопасны, лучшевсего от 6 до 8 символов
    обеспечьте неотображаемость пароля на экране компьютера приего вводе
    обеспечьте отсутствие паролей в распечатках
    не записывайте пароли на столе, стене или терминале. Держитеего в памяти
     
     
    Серьезно относитесь к администрированию паролей
    периодически меняйте пароли и делайте это не по графику
    шифруйте или делайте что-нибудь еще с файлами паролей,хранящимися в компьютере, для защиты их от неавторизованного доступа.
    назначайте на должность администратора паролей только самогонадежного человека
    не используйте один и тот же пароль для всех сотрудников вгруппе
    меняйте пароли, когда человек увольняется
    заставляйте людей расписываться за получение паролей
    установите и внедрите правила работы с паролями и обеспечьте,чтобы все знали их
     
     
    Процедуры авторизации
    Разработайте процедуры авторизации, которые определяют, кто изпользователей должен иметь доступ к той или иной информации и приложениям — ииспользуйте соответствующие меры по внедрению этих процедур в организации.
    Установите порядок в организации, при котором дляиспользования компьютерных ресурсов, получения разрешения доступа к информациии приложениям, и получения пароля требуется разрешение тех или иныхначальников.
     
    Защита файлов
    Помимо идентификации пользователей и процедур авторизацииразработайте процедуры по ограничению доступа к файлам с данными:
    используйте внешние и внутренние метки файлов для указаниятипа информации, который они содержат, и требуемого уровня безопасности
    ограничьте доступ в помещения, в которых хранятся файлыданных, такие как архивы и библиотеки данных
    используйте организационные меры и программно-аппаратныесредства для ограничения доступа к файлам только авторизованных пользователей
     
    Предосторожности при работе
    отключайте неиспользуемые терминалы
    закрывайте комнаты, где находятся терминалы
    разворачивайте экраны компьютеров так, чтобы они не были виднысо стороны двери, окон и тех мест в помещениях, которые не контролируются
    установите специальное оборудование, такое как устройства,ограничивающие число неудачных попыток доступа, или делающие обратный звонокдля проверки личности пользователей, использующих телефоны для доступа ккомпьютеру
    программируйте терминал отключаться после определенногопериода неиспользования
    если это возможно, выключайте систему в нерабочие часы
    2. Защищайте целостность информации. Вводимая информациядолжна быть авторизована, полна, точна и должна подвергаться проверкам наошибки.
     
    Целостность информации
    Проверяйте точность информации с помощью процедур сравнениярезультатов обработки с предполагаемыми результатами обработки. Например, можносравнивать суммы или проверять последовательные номера.
    Проверяйте точность вводимых данных, требуя от служащихвыполнять проверки на корректность, такие как:
    проверки на нахождение символов в допустимом диапазонесимволов(числовом или буквенном)
    проверки на нахождение числовых данных в допустимом диапазонечисел
    проверки на корректность связей с другими данными,сравнивающими входные данные с данными в других файлах
    проверки на разумность, сравнивающие входные данные сожидаемыми стандартными значениями
    ограничения на транзакции, сравнивающие входные данные садминистративно установленными ограничениями на конкретные транзакции
    Трассируйте транзакции в системе
    Делайте перекрестные проверки содержимого файлов с помощьюсопоставления числа записей или контроля суммы значений поля записи.
    3. Защищайте системные программы. Если ПО используетсясовместно, защищайте его от скрытой модификации при помощи политикибезопасности, мер защиты при его разработке и контроле за ним в его жизненномцикле, а также обучения пользователей в области безопасности.
    Меры защиты при разработке программ и соответствующие политикидолжны включать процедуры внесения изменений в программу, ее приемки итестирования до ввода в эксплуатацию. Политики должны требовать разрешенияответственного лица из руководства для внесения изменений в программы,ограничения списка лиц, кому разрешено вносить изменения и явно описыватьобязанности сотрудников по ведению документации.
    Должен быть разработан и поддерживаться каталог прикладныхпрограмм.
    Должны быть внедрены меры защиты по предотвращению получения,изменения или добавления программ неавторизованными людьми через удаленныетерминалы.
    4. Сделайте меры защиты более адекватными с помощьюпривлечения организаций, занимающихся тестированием информационнойбезопасности, при разработке мер защиты в прикладных программах иконсультируйтесь с ними при определении необходимости тестов и проверок приобработке критических данных. Контрольные журналы, встроенные в компьютерныепрограммы, могут предотвратить или выявить компьютерное мошенничество излоупотребление.
    Должны иметься контрольные журналы для наблюдения за тем, ктоиз пользователей обновлял критические информационные файлы
    Если критичность информации, хранимой в компьютерах, требуетконтрольных журналов, то важны как меры физической защиты, так и меры поуправлению доступом.
    В компьютерной сети журналы должны храниться на хосте, а не нарабочей станции.
    Контрольные журналы не должны отключаться для повышенияскорости работы.
    Распечатки контрольных журналов должны просматриватьсядостаточно часто и регулярно.
    5. Рассмотрите вопрос о коммуникационной безопасности. Данные,передаваемые по незащищенным линиям, могут быть перехвачены.
    4.Меры физическойбезопасности
    1.Предотвратить злонамеренные разрушения,неавторизованное использование или кражу
     
    ПЭВМ могут быть заперты в комнатах и доступ к ним может бытьограничен с помощью устройств блокировки клавиатуры и т.п. Удостоверьтесь, чтолюди соблюдают свои обязанности по использованию компьютеров и их можнопроконтролировать.
    Если информация обрабатывается на большом вычислительномцентре, проверьте, как контролируется физический доступ к вычислительнойтехнике. Могут оказаться уместными такие методы, как журналы, замки и пропуска,а также охрана.
    Ввод критической информации требует правильного обращения сисходными документами. Правильное обращение означает соблюдение одинаковыхправил работы с документами, независимо от того, используются они вавтоматизированной системе или нет. Правила работы могут включать работу вбезопасном помещении, учет документов в журналах, гарантии того, что тольколюди, имеющие соответствующий допуск, могут ознакомиться с этими документами, ииспользование устройств уничтожения документов(бумагорезок и т.п.).
    Внимательно проанализируйте размещение компьютеров. Не слишкомли доступны они неавторизованным людям или чрезмерно уязвимы к стихийнымбедствиям?
    Вы должны иметь представление об основных схемах сопровожденияпосторонних. Например, авторизованный сотрудник должен сопровождать вкомпьютерной зоне посетителя с компьютерными распечатками или человека,заявляющего, что он техник по ремонту компьютеров.
    Вы должны знать, кто имеет право доступа в помещения скомпьютерным оборудованием и выгонять оттуда посторонних лиц.
    Многие люди полагают, что двери, оснащенные замками иохраняемые людьми, обеспечивают физическую безопасность. Но электромагнитныеизлучения от компьютеров могут быть перехвачены и таким образом может бытьпрочитана информация с экрана. Рекомендуемые меры защиты от этого должныучитывать требуемый уровень безопасности и тот факт, что такой перехват крайнередок, но может и произойти.
    Могут быть предприняты недорогие предохранительные меры,которые будут гарантировать, что телефонные и компьютерные каналы связи всостоянии выполнять свои функции и являются безопасными. В сети можетпотребоваться выделенный канал связи — он не выполняет других функций. С другойстороны выделение персональной ЭВМ для работы на ней одного приложения можетоказаться самым эффективным средством защиты.
    Для любой из основных трех технологий для передачиавтоматизированной информации существует технология перехвата:кабель(подключение к кабелю), спутник(антенна приема сигнала со спутника),радиоволны( радиоперехват).
    Технологии защиты, которые могут быть использованы, включаютшифрование информации, использование выделенных линий, модемы с функциям безопасности,и использование скремблирования голосовых переговоров.
     
    2. Стихийные бедствия могут нанести большой ущерб какбольшим, так и маленьким компаниям.
    Примите меры по предотвращению, обнаружению и минимизацииущерба от пожара, наводнения, загрязнения окружающей среды, высоких температури скачков напряжения.
    Защищайтесь от пожара с помощью регулярной проверки пожарнойсигнализации и систем пожаротушения. Защищайте ПЭВМ с помощью кожухов, чтобыони не были повреждены системой пожаротушения. Не храните горючие материалы вэтих помещениях.
    Статическое электричество может очистить память в ПЭВМ.Антистатические коврики могут предотвратить это. Пользователям следуетнапоминать о снятии заряда с себя с помощью прикосновения к заземленномуобъекту.
    Скачки напряжения могут очистить память, изменить программы иразрушить микросхемы. Устройство бесперебойного питания( УБП) дает достаточновремени, чтобы отключить компьютер без потери данных. Предохранить компьютерыот кратковременных бросков питания могут фильтры напряжения. В грозунезащищенные ПЭВМ могут быть отключены и выключены из сети.
    Температура в помещении может контролироваться кондиционерамии вентиляторами, а также хорошей вентиляцией в помещении. Проблемы с чрезмерновысокой температурой могут возникнуть в стойках периферийного оборудования илииз-за закрытия вентиляционного отверстия в терминалах или ПЭВМ.
    Воздушные фильтры могут очистить воздух от вредных веществ внем, которые могут нанести вред компьютерам и дискам. Следует запретить куритьвозле ПЭВМ.
    Размещайте компьютеры подальше от того, что может явитьсяисточником большого количества воды, например трубопроводов, обычнозатапливаемых помещений или не используйте систему пожаротушения, если естьдругие способы защиты от пожара.
    Держите еду и напитки подальше от компьютера.
    Содержите оборудование в порядке. Следите и учитывайте вжурналах ремонт техники. Это позволит проконтролировать, кто имел доступ ксистеме. Помните, что бригады ремонтников должны производить правильнуюидентификацию себя.
     
    3. Защищайте все носители информации( исходныедокументы, ленты, картриджи, диски, распечатки)
    ведите, контролируйте и проверяйте реестры носителейинформации
    обучайте пользователей правильным методам очищения иуничтожения носителей информации
    делайте метки на носителях информации, отражающие уровенькритичности информации, которая в них содержится.
    уничтожайте носители информации в соответствии с планоморганизации
    удостоверьтесь, что доступ к носителям информации для иххранения, передачи, нанесения меток, и уничтожения предоставлен толькоавторизованным людям
    доведите все руководящие документы до сотрудников
    Подумайте о возможности публикации следующих рекомендаций вобщедоступном месте:
    Диски уязвимы
    храните их в конвертах и коробках
    не пишите на конвертах
    не гните их
    не касайтесь самих дисков
    осторожно вставляйте их в компьютер
    не разливайте на них напитки
    держите их подальше от источников магнитного поля
    храните их в металлических сейфах
    работайте с дисками в соответствии с маркировкой критичностина них
    Правильное обращение обеспечивает защиту
    убирайте диски и ленты, когда не работаете с ними
    храните их разложенными по полкам в определенном порядке
    не давайте носители информации с критической информациейнеавторизованным людям
    отдавайте поврежденные диски с критической информацией толькопосле их размагничивания или аналогичной процедуры
    уничтожайте критическую информацию на дисках с помощью ихразмагничивания или физического разрушения в соответствии с порядком в вашейорганизации
    уничтожайте распечатки и красящие ленты от принтеров скритической информацией в соответствии с порядком в вашей организации.
    обеспечьте безопасность распечаток паролей и другойинформации, позволяющей получить доступ к компьютеру
     
    4. Удостоверьтесь, что существуют адекватные планыдействий при ЧП(планы обеспечения непрерывной работы). Помните, что целью этихпланов являются гарантии того, что пользователи смогут продолжать выполнятьсамые главные свои обязанности в случае невозможности работы по информационнойтехнологии. Конечные пользователи информационной технологии, а такжеобслуживающий персонал, должны знать, как им действовать по этим планам.
    Планы обеспечения непрерывной работы и восстановления(ОНРВ)должны быть написаны, проверены и регулярно доводиться до сотрудников.
    ОНРВ должны учитывать наличие операций архивации, то есть какбудет обрабатываться информация, если компьютеры, на которых она обрабатываласьобычно, нельзя использовать, и необходимость восстановления потерянной илиразрушенной информации.
    Особенно для ПЭВМ ОНРВ должны учитывать выход из строя той илииной техники, например выход из строя сетевого принтера.
    Процедуры и техника должны планироваться в расчете на пожар,затопление и т.д.
    Храните архивные копии, включая план ОНРВ, в безопасном месте,удаленном от основных помещений, занимаемых компьютерами.
    Процедуры плана должны быть адекватны уровню безопасности икритичности информации.
    Знайте, что делать в случае ЧП, и будьте знакомы с планом ОНРВ
    Помните, что план ОНРВ может применяться в условиях неразберихи и паники.Тренировки ваших сотрудников жизненно необходимы.
    Список литературы.
    Медведовский И.Д., Семьянов П.В., Леонов Д.Г. “Атака наинтернет”
    Издательского дома «Открытые Системы» (LanMagazine/Журнал сетевых решений, 1996, том 2, #7)
    Издательского дома «Открытые Системы»(Сети, 1997,#8)
    “Office” N5 1999 Александр Буров“Человеческий фактор и безопасность”