Обновлено: 10.03.2023
- Для учеников 1-11 классов и дошкольников
- Бесплатные сертификаты учителям и участникам
на тему “Информационная безопасность в современном обществе”
Расулов Хайрула Рамазанович
Множество важной и личной информации содержит наш компьютер. Естественно, возникает потребность защитить информацию от несанкционированного доступа, кражи, уничтожения и других преступных действий. Однако, большая часть пользователей не осознает, что постоянно рискует своей безопасностью и личными тайнами. И лишь немногие хоть каким-либо образом защищают свои данные.
Рассмотреть способы защиты информации в современном мире.
Сохранить возможности управления процессом обработки и пользования информацией.
Предотвращение угроз безопасности вследствие несанкционированных действий по уничтожению, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах.
Сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;
Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.
1. Понятие информационной безопасности
Словосочетание “информационная безопасность” в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин “информационная безопасность” используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Обратим внимание, что в определении ИБ перед существительным “ущерб” стоит прилагательное “неприемлемый”. Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
2. Основные составляющие информационной безопасности
Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Поясним понятия доступности, целостности и конфиденциальности.
Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Конфиденциальность – это защита от несанкционированного доступа к информации.
Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность можно подразделить на:
Статическую (понимаемую как неизменность информационных объектов)
Динамическую (относящуюся к корректному выполнению сложных действий)
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит “руководством к действию”. Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.
Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
3. Важность и сложность проблемы информационной безопасности
Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном.
Для иллюстрации этого положения ограничимся несколькими примерами:
1. В Доктрине информационной безопасности Российской Федерации (здесь, подчеркнем, термин “информационная безопасность” используется в широком смысле) защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.
2. Американский ракетный крейсер “Йорктаун” был вынужден вернуться в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе Windows NT 4.0 (Government Computer News, июль 1998). Таким оказался побочный эффект программы ВМФ США по максимально широкому использованию коммерческого программного обеспечения с целью снижения стоимости военной техники.
3. В середине июля 1997 года корпорация General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном обеспечении двигателя могла привести к пожару.
4. Одна студентка потеряла стипендию в 18 тысяч долларов в Мичиганском университете из-за того, что ее соседка по комнате воспользовалась их общим системным входом отправила от имени своей жертвы электронное письмо с отказом от стипендии.
4. Основные определения и критерии классификации угроз
Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность.
Попытка реализации угрозы называется атакой , а тот, кто предпринимает такую попытку, – злоумышленником. Потенциальные злоумышленники называются источниками угрозы.
Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).
Отметим, что некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.
Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.
Подчеркнем, что само понятие ” угроза ” в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать – вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью.
Угрозы можно классифицировать по нескольким критериям:
по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера).
5. Принцип работы антивирусных программ
Обнаружение и удаление вредоносного кода с использованием всего комплекса необходимых технологий. Антивирусные технологии развиваются параллельно с эволюцией вредоносных программ, становясь всё более изощренными по мере усложнения угроз.
Принципы действия антивирусных программ можно классифицировать несколькими способами. Один из видов классификации базируется на том, какая угроза нейтрализуется – известная или неизвестная вирусным аналитикам и антивирусным компаниям:
Реактивная защита – защита от известных угроз с использованием знаний об участках кода и других уникальных особенностях существующих вредоносных программ. Для того чтобы такая защита работала успешно, антивирусная программа должна иметь обновленные базы сигнатур.
Проактивная защита – защита от новых вредоносных программ, основанная на знании неуникальных особенностей кода и поведения, характерных для деструктивного ПО.
Еще один вид классификации технологий, реализующих принцип антивирусной защиты, базируется на том, какие свойства угроз и потенциально зараженных объектов анализируются при детектировании:
Анализ кода подозрительных объектов.
Поведенческий анализ подозрительных объектов.
Отслеживание изменений файлов, хранящихся на компьютере, по контрольным суммам и другим признакам.
Антивирусные технологии можно классифицировать и по тому, в каком режиме осуществляется защита:
Сканирование компьютера, запускаемое по расписанию, событию или запросу пользователя.
Ещё один способ классификации технологий, реализующих принцип антивирусной защиты:
Знать принцип работы антивирусов необходимо для правильного выбора антивирусного решения. Полноценный антивирус должен включать в себя полный комплекс технологий, нейтрализующих любые типы угроз.
6. Антивирусы
1) KasperskyAntivirus
Работа различных антивирусов одного класса мало чем отличается. Антивирус Касперского обеспечивает защиту среднего класса, поскольку не контролирует сетевой трафик в полном объеме. Работает антивирус так. В течении всего времени, когда компьютер включен он следит за запускаемыми программами, подключаемыми внешними устройствами и скачиваемыми файлами. При запуске программы Антивирус Касперского оценивает ее безопасность еще до исполнения кода. Таким образом он пытается заблокировать вредоносное ПО прежде чем оно успеет навредить вашему компьютеру.
Avast! Internet Security представляет собой антивирусную систему, которая способна обнаруживать и ликвидировать различные виды вредоносных элементов, троянов, шпионских приложений и др. Способен в одном сеансе проверить всю систему на наличие вредоносного ПО и устаревших версий программ, требующих обновления.
В нашем опросе приняли участие учащиеся школы и учителя, результаты которого вы можете видеть на диаграмме. То есть, если вы не рискуете самостоятельно решить, какой антивирус лучше установить на компьютер, то можно довериться данным этого опроса и установить тот, которым пользуется большинство людей.
Данный опрос мы провели среди IT – специалистов, которые считают, что персональные данные необходимо защищать в первую очередь.
9. Способ частичного взлома учетных записей GMail
Полагаете, что ваши пароли в безопасности? Подумайте еще раз. Если вы хотите, чтобы ваш пароль и данные, которые он охраняет, были защищены от хакеров настолько, насколько это возможно, то обязательно ознакомьтесь с методами, используемыми для взломов паролей. В случае если Вы думаете, что такие преступные типы обойдут Вас своим вниманием, или думаете, что они никогда не смогут угадать Ваш пароль, может быть, Вам будет интересно узнать, насколько Вы не правы.
Вот наиболее распространенные методы взлома паролей:
Зачем утруждать себя взломом пароля, когда пользователь с радостью сообщит его сам?
2) Социальная инженерия
Социальная инженерия придерживается той же концепции, что и фишинг – “спросить у пользователя пароль”, но не с помощью почтового ящика, а в реальном мире.
Любимый трюк социальной инженерии – позвонить в офис под видом сотрудника ИТ-безопасности и просто попросить пароль доступа к сети. Вы будете удивлены, как часто это работает. Некоторые преступники даже испытывают потребность – надеть костюм и бейдж прежде, чем придти в компанию, чтобы задать администратору в приемной тот же вопрос лицом к лицу.
3) Вредоносное программное обеспечение
Программа перехвата вводимой с клавиатуры или выводимой на экран информации может быть установлена вредоносным ПО, которое фиксирует всю информацию, которую Вы вводите, или создает скриншоты во время процесса авторизации, а затем направляет копию этого файла хакерам.
Некоторые вредоносные программы ищут существующий файл с паролями веб-браузера клиента, затем копируют этот файл, который (кроме хорошо зашифрованных) будет содержать легкодоступные сохраненные пароли из истории страниц, посещенных пользователем.
4) Оффлайн хакинг
Легко представить себе, что пароли в безопасности, когда они защищены системами блокировки, которые блокируют пользователей после трех-четырех неудачных попыток набора пароля, что также позволяет блокировать приложения автоматического подбора паролей. Это было бы верно, если бы не тот факт, что большинство взломов паролей происходит в оффлайне, с использованием набора хэшей в файле паролей, которые были “получены” от скомпрометированной системы.
Часто, рассматриваемая жертва оказывается скомпрометирована через взлом третьей стороны, которая тем самым обеспечивает доступ хакерам к системе серверов и всех важных файлов пользователя с хэшированными паролями. Взломщик паролей может работать столько времени, сколько ему нужно, чтобы попытаться взломать код без оповещения целевой системы или отдельных пользователей.
5) Подглядывание через плечо
Наиболее самоуверенные хакеры под видом курьеров, специалистов по техническому обслуживанию кондиционеров или любых других служащих проникают в офисные здания.
Как только они попадают в офисное здание, униформа обслуживающего персонала предоставляет им своего рода бесплатный билет на беспрепятственный доступ во все уголки офисного здания. Это позволяет им записывать пароли, вводимые реальными сотрудниками, а также предоставляет отличную возможность увидеть все те пароли, которые многие так любят писать на стикеры и клеить прямо на мониторы своих компьютеров.
6) Метод “пауков”
Опытные хакеры поняли, что многие корпоративные пароли состоят из слов, которые связаны с бизнесом. Изучение корпоративной литературы, материалов веб-сайтов, сайтов конкурентов и даже список клиентов могут обеспечить хакеров “боеприпасами” для построения пользовательского списка слов, который затем используется для взлома методом грубой силы.
Действительно опытные хакеры автоматизировали процесс и запускают “паутинные” приложения, аналогичные тем, которые применяются ведущими поисковыми системами, чтобы определить ключевые слова, собрать и обработать списки для взлома.
Лучшим другом взломщиков паролей, конечно, является предсказуемость пользователей. Если действительно случайный пароль был создан с помощью программного обеспечения, предназначенного для этой задачи, то пользовательский “случайный” пароль, вряд ли будет напоминать что-то подобное.
Вместо этого, благодаря нашей эмоциональной привязанности к вещам, которые нам нравятся, скорее всего, те “случайные” пароли, которые мы создадим, будут основаны на наших интересах, хобби, именах домашних животных, семье и так далее. На самом деле, пароли, как правило, строятся на основе всех тех вещей, о которых мы так хотели бы поговорить в социальных сетях и даже включить в наш профиль. Взломщики паролей, вполне вероятно, посмотрят на эту информацию и сделают несколько, часто правильных, догадок при попытке взломать пароль потребительского уровня, не прибегая к словарю или методу грубой силы.
10. Способы защиты информации
Использование паролей
Идея использования паролей заключается в следующем: если кто-либо попробует обратиться к вашим данным или аппаратным средствам, то пароли должны создать собой массу неудобств. Чем сложнее будет угадать или “взломать” используемый вами пароль, тем в большей безопасности будут ваши данные. Длина пароля существенно влияет на уровень защиты. Личные номера на сегодняшний день являются одним из наименее безопасных паролей широкого использования (напр. Кредитные карты для кассовых аппаратов АТМ или телефонные карты). В личных номерах могут использоваться цифры от 0 до 9, то есть номер может иметь десять тысяч вариаций.
Шифрование – способ преобразования открытой информации в закрытую и обратно. Применяется для хранения важной информации в ненадёжных источниках или передачи её по незащищённым каналам связи
2) асимметричное шифрование: посторонним лицам может быть известен алгоритм шифрования, и, возможно, открытый ключ, но неизвестен закрытый ключ, известный только получателю.
Электронная подпись
Электронная цифровая подпись в электронном документе признается юридически равнозначной подписи в документе на бумажном носителе.
При регистрации электронно-цифровой подписи в специализированных центрах корреспондент получает два ключа: секретный и открытый.
В ходе исследования было выяснено, что защита информации – есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям.
А понятие информационной безопасности – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Читайте также:
- Я живу в замке сочинение
- Разговор с мамой сочинение
- Это место мне явно не принадлежало сочинение
- Сочинение хочу в японию
- Неведомая сила закинула тебя внутрь компьютера сочинение
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ОБРАЗОВАНИЯ
ВЯТСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
Факультет экономики и финансов
Кафедра экономики
Группа ЭБС-12
Информационная безопасность.
Эссе
по введению в специальность
студента __ курса ФЭиФ
Матвеевой Елены Алексеевны
Киров
2016
Введение.
Тема «информационная безопасность» достаточно актуальна и интересна. В наше время информационная безопасность является неотъемлемой и главной в общественных отношениях. В обществе очень важно помимо донесения необходимой информации уметь её обезопасить, если она представляет определенную конфиденциальность. Однако государство скрывает большое количество информации. Все мы ходит получать достоверную информацию, но безопасность для этого и существует, чтобы уберечь информацию от недостоверных факторов и не дать ошибочным суждениям продвинуться в массы. Информационная безопасность имеет свои задачи, на которых я остановлюсь в своей работе. Также в своей работе я рассмотрю группы угроз информационной безопасности. Для более полного раскрытия темы остановлюсь на мерах обеспечения информационной безопасности и её принципах.
- Понятие информации.
По первоначальному определению информацией являются сведения, которые люди передают друг другу каким-либо путем (письменно, устно и иными способами). С середины XX века термин «информация» приобретает общенаучный характер и содержит в своем понятии следующие моменты: Сведения, передающиеся между человеком и человеком, автоматом и человеком и между автоматами. Также сюда относятся сигналы растительного и животного мира и другие аспекты. Отсюда следует, что понятие «информация» является многозначным, фундаментальным и универсальным. Если подойти к этому вопросу с философской точки зрения, то информация существует, не завися от человека. В рамках взятой мной темы термин «информация» следует рассмотреть в узком смысле. В этом смысле под информацией понимаются сведения, которые являются объектом сбора, хранения, обработки, использования, а также передачи в системах информации. (Под системой информации понимается объединение технических и программных средств и пользователей, которые работают с данными средствами, которое имеет функцию обеспечения информационной технологии выполнением установленных функций). Дав определение понятию «информация», раскроем суть понятия «информационная безопасность».
- Понятие информационной безопасности
Понятие «информационная безопасность» также может рассматриваться в широком и узком смыслах. В более широком смысле определение данному понятию приведено в Доктрине информационной безопасности Российской Федерации. В этом смысле «информационная безопасность» — это защищенность государственных интересов в сфере информации, которая определяется интересами отдельных индивидов, всего общества в целом и государства. В более узком смысле информационной безопасностью является защищенность информации от случайных или намеренных посягательств какого-либо характера (информационных угроз), имеющих возможность причинения ущерба субъектам информационных отношений. Информационная система содержит в себе следующие аспекты: Обеспечение доступности, целостности и конфиденциальности информации.
- Объекты защиты информационной безопасности.
Выделяют объекты защиты при обеспечении информационной безопасности. Основными из них являются:
- Всевозможные виды информационных ресурсов, то есть информации, которая содержится на материальном носителе с устройствами, позволяющими ее считать.
- Права физических, юридических лиц и государства на сбор, распространение и реализацию информации.
- Система образования, распространения и реализации информации, то есть архивы, библиотеки, персонал, документы и другое.
- Система образования сознания общественности, то есть средства массовой информации, социальные институты и другое.
- Средства защиты информации.
Принято различать следующие средства защиты информации:[pic 1]
- Формальные средства защиты.
Они выполняют свои функции лишь по своевременно предусмотренным действиям без человеческого участия.
К данным средствам защиты относятся:
Физические средства – различного рода материальные устройства и системы, которые работают ограниченно от информационных систем, имеющих целью создание всевозможных физических ограничений на пути к получению доступа к информации.
…
Сочинение: Информационная безопасность
Введение
Примечательная особенность нынешнего периода — переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие «информационные ресурсы», и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы — отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации — весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.
Особое место отводится информационным ресурсам в условиях рыночной экономики.
Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (ВРЕМЯ-ДЕНЬГИ!!!) производит и продает. В сущности это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром.
В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.
В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место. При этом «целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения».
Как видно из этого определения целей защиты, информационная безопасность — довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.
Основное внимание уделяется защите конфиденциальной информации, с которой большей частью встречаются предприниматели негосударственного сектора экономики.
Люди осознают и отдают себе отчет в сложности проблемы защиты информации вообще, и с помощью технических средств в частности. Тем не менее взгляд на эту проблему излагается на этом Web-сайте, считается, что этим охватывается не все аспекты сложной проблемы, а лишь определенные ее части.
Концепция информационной безопасности
1. Основные концептуальные положения системы защиты информации
2. Концептуальная модель информационной безопасности
3. Угрозы конфиденциальной информации
4. Действия, приводящие к неправомерному овладению конфиденциальной информацией
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ — это состояние защищенности информации среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств» (Закон РФ «Об участии в международном информационном обмене»).
Постулаты
Информация — это всеобщее свойство материи.
Любое взаимодействие в природе и обществе основано на информации.
Всякий процесс совершения работы есть процесс информационного взаимодействия.
Информация — продукт отражения действительности.
Действительность отражается в пространстве и времени.
Ничего не происходит из ничего.
Информация сохраняет значение в неизменном виде до тех пор, пока остается в неизменном виде носитель информации — ПАМЯТЬ.
Ничто не исчезает просто так.
Понятие «информация» сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно не использовалось. Огромные информационные потоки буквально захлестывают людей. Объем научных знаний, например, по оценке специалистов, удваивается, каждые пять лет. Такое положение приводит к заключению, что XXI век будет веком торжества теории и практики ИНФОРМАЦИИ — информационным веком.
Правомерно задать вопрос: что же такое информация? В литературе дается такое определение: информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Известно, что информация может иметь различную форму, включая данные, заложенные в компьютерах, «синьки», кальки, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и др.
Как и всякий продукт, информация имеет потребителей, нуждаю-щихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.
С точки зрения потребителя качество используемой информации позволяет получать дополнительный экономический или моральный эффект.
С точки зрения обладателя — сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства, и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации.
Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от внутрен-них и внешних угроз, можно выделить и компоненты безопасности — такие, как персонал, материальные и финансовые средства и информацию.
1.1 Основные концептуальные положения системы защиты информации.
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:
весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;
значительное число фирм, специализирующихся на решении вопросов защиты информации;
достаточно четко очерченная система взглядов на эту проблему;
наличие значительного практического опыта и др.
И, тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.
Опыт также показывает, что:
обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм — систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.
С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
активной. Защищать информацию необходимо с достаточной степенью настойчивости;
надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выраже-ния и вида физического носителя, на котором они закреплены;
универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.
Комплексный характер защиты проистекает из того, что защита — это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.
Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:
охватывать весь технологический комплекс информационной деятельности;
быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
быть открытой для изменения и дополнения мер обеспечения безопасности информации;
быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
быть простой для технического обслуживания и удобной для эксплуатации пользователями;
быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также определенные требования:
четкость определения полномочии и прав пользователей на доступ к определенным видам информации;
предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
сведение к минимуму числа общих для нескольких пользователей средств защиты;
учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
обеспечение оценки степени конфиденциальной информации;
обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:
правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;
организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами — такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;
аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;
информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информаци-онного обеспечения расчетных задач различного характера, связан-ных с деятельностью службы обеспечения безопасности;
программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфи-денциальной информации;
математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциаль-ной информации может только система безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согла-совываются по месту и времени в зависимости от условий.
1.2. Концептуальная модель информационной безопасности.
Понимая информационную безопасность как «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организа-ций», правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.
Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы «заместитель» реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно об-щей, чтобы описывать реальные действия с учетом их сложности.
Можно предложить следующие компоненты модели информационной безопасности на первом уровне декомпозиции.
По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:
объекты угроз;
угрозы;
источники угроз;
цели угроз со стороны злоумышленников;
источники информации;
способы неправомерного овладения конфиденциальной информацией (способы доступа);
направления защиты информации;
способы защиты информации;
средства защиты информации.
Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).
Угрозы информации выражаются в нарушении ее целостности, кон-фиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознаком-ление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.
Неправомерное овладение конфиденциальной информацией возмож-но за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкциониро-ванного доступа к охраняемым сведениям.
Источниками конфиденциальной информации являются люди, доку-менты, публикации, технические носители информации, техниче-ские средства обеспечения производственной и трудовой деятель-ности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.
Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программ-но, так и смешанно-программно-аппаратными средствами.
В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие не-санкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуаль-ной модели безопасности информации приведены на следующей схеме.
Основные элементы концептуальной модели будут рассмотрены более подробно в следующих разделах книги. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.
1.3. Угрозы конфиденциальной информации
Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладе-нию охраняемыми сведениями. Такими действиями являются:
ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.
В конечном итоге противоправные действия с информацией приво-дят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб — моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале — полностью, реально — значитель-но или хотя бы частично. Но и это удается далеко не всегда.
С учетом этого угрозы могут быть классифицированы по следующим кластерам:
по величине принесенного ущерба:
предельный, после которого фирма может стать банкротом;
значительный, но не приводящий к банкротству;
незначительный, который фирма за какое-то время может ком-пенсировать и др.;
по вероятности возникновения:
весьма вероятная угроза;
вероятная угроза;
маловероятная угроза;
по причинам появления:
стихийные бедствия;
преднамеренные действия;
по характеру нанесенного ущерба:
материальный;
моральный;
по характеру воздействия:
активные;
пассивные;
по отношению к объекту:
внутренние;
внешние.
Источниками внешних угроз являются:
недобросовестные конкуренты;
преступные группировки и формирования;
отдельные лица и организации административно-управленческо-го аппарата.
Источниками внутренних угроз могут быть:
администрация предприятия;
персонал;
технические средства обеспечения производственной и трудовой деятельности.
Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:
82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;
17% угроз совершается извне — внешние угрозы;
1% угроз совершается случайными лицами.
Угроза — это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.
1.4. Действия, приводящие к неправомерному овладению конфиденциальной информацией.
Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации:
владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значи-тельные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;
промежуточная ситуация — это утечка информации по техниче-ским каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.
В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разгла-шение сведений и несанкционированный доступ к конфиденциаль-ной информации.
Разглашение — это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и дей-ствий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения инфор-мации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами пе-редачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие мас-совые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточ-ное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргумен-тированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориен-тирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации послед-ний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).
Утечка — это бесконтрольный выход конфиденциальной инфор-мации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или пере-дается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (напи-санный текст) и др. С учетом этого можно утверждать, что по фи-зической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материа-лы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электро-магнитные и материально-вещественные. Под каналом утечки ин-формации принято понимать физический путь от источника конфи-денциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.
Несанкционированный доступ — это противоправное преднаме-ренное овладение конфиденциальной информацией лицом, не имею-щим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумыш-леннику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения — стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению инфор-мационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны кон-курентов и злоумышленников. Такой подход к классификации действий, способствующих неправо-мерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной без-опасности.
С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной ин-формацией. Указываются следующие условия:
разглашение (излишняя болтливость сотрудников) — 32%;
несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок — 24%;
отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности — 14%;
традиционный обмен производственным опытом — 12%;
бесконтрольное использование информационных систем — 10%;
наличие предпосылок возникновения среди сотрудников конфликтных ситуаций 8%;
а также отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа кадров по сплочению коллектива.
Среди форм и методов недобросовестной конкуренции находят наибольшее распространение:
экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%),
парализации деятельности фирмы (31%),
компрометации фирмы (11%),
шантаже руководителей фирмы (10%);
физическое подавление:
ограбления и разбойные нападения на офисы, склады, грузы (73%),
угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%),
убийства и захват заложников (5%);
информационное воздействие:
подкуп сотрудников (43%),
копи-рование информации (24%),
проникновение в базы данных (18%),
продажа конфиденциальных документов (10%),
подслушивание телефонных переговоров и переговоров в помещениях (5%),
а также ограничение доступа к информации, дезинформация;
финансовое подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество; психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.
Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия. Совокупность определений, каналов, способов и средств представляется в виде следующей схемы.
Государственный стандарт РФ ГОСТ Р 50922 — 96
ГОСТ Р 50922 — 96
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
Основные термины и определения
Дата введения 1.07.97 г.
1. Область применения
2. Общие положения
3 Стандартизованные термины и их определения
3.1 Основные понятия
3.2 Организация защиты информации
4. Приложение А (справочное)
1 ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий стандарт устанавливает основные термины и их определения в области защиты информации.
Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по защите информации.
Настоящий стандарт применяется совместно с ГОСТ РВ 50170-92.
2 ОБЩИЕ ПОЛОЖЕНИЯ
Установленные в стандарте термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.
Для каждого понятия установлен один стандартизованный термин.
Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации.
Наличие квадратных скобок в терминологической статье означает, что в нее включены два (три, четыре и т.п.) термина, имеющие общие терминоэлементы.
Разрешается, при необходимости, уточнять приведенные определения, вводя дополнительные признаки, раскрывающие значения терминов, без искажения смысла определения.
Термины и определения общетехнических понятий, необходимые для понимания текста стандарта, приведены в приложении А.
3 СТАНДАРТИЗОВАННЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ
3.1 Основные понятия
Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Примечание: Собственником информации может быть — государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
Защита информации — защита информации: Деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.
Защита информации от несанкционированного воздействия — защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Зашита информации от непреднамеренного воздействия — деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от несанкционированного доступа — защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Примечание: Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Защита информации от [иностранной] разведки — деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.
Защита информации от [иностранной] технической разведки — деятельность по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств.
Защита информации от агентурной разведки — деятельность по предотвращению получения защищаемой информации агентурной разведкой.
Цель защиты информации — желаемый результат защиты информации.
Примечание: Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.
Показатель эффективности зашиты информации — мера или характеристика для оценки эффективности защиты информации.
Нормы эффективности защиты информации — значения показателей эффективности защиты информации, установленные нормативными документами.
3.2 Организация защиты информации
Организация защиты информации — содержание и порядок действий по обеспечению защиты информации.
Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Мероприятие по защите информации — совокупность действий по разработке и/или практическому применению способов и средств защиты информации.
Мероприятие по контролю эффективности защиты информации- совокупность действий по разработке и/или практическому применению методов [способов] и средств контроля эффективности защиты информации.
Техника защиты информации — средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Объект защиты — информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Способ защиты информации — порядок и правила применения определенных принципов и средств защиты информации.
Категорирование защищаемой информации [объекта защиты] — установление градаций важности защиты защищаемой информации [объекта защиты].
Метод [способ] контроля эффективности защиты информации — порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
Контроль состояния защиты информации — проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.
Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
Средство контроля эффективности защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.
Контроль организации защиты информации — проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль эффективности защиты информации — проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Организационный контроль эффективности зашиты информации- проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.
Технический контроль эффективности зашиты информации — контроль эффективности защиты информации, проводимой с использованием средств контроля.
ГОСТ Р 50922-96 Приложение А (справочное) Термины и определения, необходимые для понимания текста стандарта
Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Доступ к информации — получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.
Субъект доступа к информации — субъект доступа: участник правоотношений в информационных процессах.
Примечание: Информационные процессы — процессы создания, обработки, хранения, защиты от внутренних и внешних угроз, передачи, получения, использования и уничтожения информации.
Носитель информации — физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Собственник информации — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Владелец информации — субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.
Пользователь [потребитель] информации — субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
Право доступа к информации — право доступа: совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.
Правило доступа к информации — правило доступа: совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.
Орган защиты информации — административный орган, осуществляющий организацию защиты информации.
Способы защиты информации
3.1. Общие положения
3.2. Характеристика защитных действий
Способы — это порядок и приемы использования сил и средств для достижения поставленной цели по защите конфиденциальной информации.
1. Подальше положишь — поближе возьмешь.
2. Береженого Бог бережет.
3. На Бога надейся, а сам не плошай.
4. Сначала подумай, потом говори.
5. Не зная броду, не суйся в воду.
6. Семь раз отмерь, один раз отрежь.
7. Дело мастера боится.
8. Негоже, когда сапоги тачает пирожник, а пироги печет сапожник.
9. Отыщи всему начало, и ты многое поймешь (К. Прутков).
Любое действие человека, ориентированное на достижение каких-либо результатов, реализуется определенными способами. Естественно, что имеющийся опыт по защите информации достаточно четко определил совокупность приемов, сил и средств, ориентированных на обеспечение информационной безопасности. С учетом этого можно так определить понятие способов защиты информации: способы защиты информации — это совокупность приемов, сил и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность информации, и противодействие внутренним и внешним угрозам.
Естественно предположить, что каждому виду угроз присущи свои специфические способы, силы и средства.
3.1. Общие положения
Обеспечение информационной безопасности достигается системой мер, направленных:
на предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;
на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.
Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.
Предупреждение угроз возможно и путем получения (если хотите — и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.
В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.
Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотрудников. Среди них могут быть и недовольные, и неопытные, и «внедренные».
Обнаружение угроз — это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. В числе мероприятий по обнаружению угроз значительную роль могут сыграть не только сотрудники СБ, но и сотрудники линейных подразделений и служб фирмы, а также технические средства наблюдения и обнаружения правонарушений.
Пресечение или локализация угроз — это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.
Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др.
Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:
предотвращение разглашения и утечки конфиденциальной информации;
воспрещение несанкционированного доступа к источникам конфиденциальной информации; сохранение целостности, полноты и доступности информации;
соблюдение конфиденциальности информации;
обеспечение авторских прав.
Защита от разглашения сводится в общем плане к разработке перечня сведений, составляющих коммерческую тайну предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного к ним, с обязательством этого сотрудника сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью коммерческих секретов.
Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации.
Защита от несанкционированного доступа к конфиденциальной «формации обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию НСД.
На практике в определенной степени все мероприятия по использованию технических средств защиты информации подразделяются на три группы:
организационные (в части технических средств);
организационно-технические;
технические.
Организационные мероприятия — это мероприятия ограничительного характера, сводящиеся основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.
В общем плане организационные мероприятия предусматривают проведение следующих действий:
определение границ охраняемой зоны (территории);
определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;
определение „опасных“, с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;
выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;
реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.
Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.
Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.
Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.
Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.
Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.
Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации. В этих целях возможно использование:
технических средств пассивной защиты, например фильтров, ограничителей и тому подобных средств развязки акустических, электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио- и часофикации и др.;
технических средств активной защиты: датчиков акустических шумов и электромагнитных помех.
Организационно-технические мероприятия по защите информации можно подразделить на пространственные, режимные и энергетические.
Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС).
Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и др.
Энергетические — это снижение интенсивности излучения и работа РЭС на пониженных мощностях.
Технические мероприятия — это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не превышают границу охраняемой территории.
Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию.
Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.
Подавление — это создание активных помех средствам злоумышленников.
Дезинформация — это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и опознавания.
Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устройств зашумления.
3.2. Характеристика защитных действий
Защитные действия ориентированы на пресечение разглашения, защиту информации от утечки и противодействия несанкционированному доступу.
Защитные действия, способы и мероприятия по обеспечению информационной безопасности можно классифицировать по основным характеристикам и объектам защиты по таким параметрам, например, как ориентация, характер угроз, направления, способы действий, охват, масштаб и др.
Защитные действия по ориентации можно классифицировать как действия, направленные на защиту персонала, материальных и финансовых средств и информации как ресурса.
По направлениям — это правовая, организационная и инженерно-техническая защита.
По способам — это предупреждение, выявление, обнаружение, пресечение и восстановление.
По охвату защитные меры могут быть ориентированы на защиту территории фирмы, зданий, отдельных (выделенных) помещений, конкретных видов аппаратуры или технических средств и систем или отдельных элементов зданий, помещений, аппаратуры, опасных с точки зрения несанкционированного доступа к ним или оборудования каналов утечки информации.
Применение защитных мер можно рассматривать и в пространственном плане. Так, например, известно, что распространение (разглашение, утечка или НСД) осуществляется от источника информации через среду к злоумышленнику.
Источником информации могут быть люди, документы, технические средства, отходы и др. Носителем информации может быть либо поле (электромагнитное, акустическое), либо вещество (бумага, материал, изделие и т.д.). Средой является воздушное пространство, жесткие среды (стены, коммуникации).
Злоумышленник обладает необходимыми средствами приема акустической и электромагнитной энергии, средствами воздушного наблюдения и возможностью обрабатывать материально-вещественные формы представления информации.
Чтобы исключить неправомерное овладение конфиденциальной информацией, следует локализовать (выключить, ослабить сигнал, зашифровать и др.) источник информации.
С увеличением масштабов распространения и использования ПЭВМ и информационных сетей усиливается роль различных факторов, вызывающих утечку, разглашение и несанкционированный доступ к информации. К ним относятся:
несанкционированные и злоумышленные действия персонала и пользователя;
ошибки пользователей и персонала;
отказы аппаратуры и сбои в программах;
стихийные бедствия, аварии различного рода и опасности.
В соответствии с этими основными целями защиты информации в ПЭВМ и информационных сетях являются:
обеспечение юридических норм и прав пользователей в отношении ДОСТУПА к информационным и другим сетевым ресурсам, предусматривающее административный надзор за информационной деятельностью, включая меры четкой персональной ответственности за соблюдение правил пользования и режимов работы;
предотвращение потерь и утечки информации, перехвата и вмешательства на всех уровнях, для всех территориально разделенных объектов;
обеспечение целостности данных на всех этапах и фазах их преобразования и сохранности средств программного обеспечения.
В связи с тем, что информационная сеть, в отличие от автономной ПЭВМ, является территориально распределенной системой, она требует принятия специальных мер и средств защиты. Средства защиты должны предотвращать:
определение содержания передаваемых сообщений;
внесение изменений в сообщения;
необоснованный отказ в доступе;
несанкционированный доступ;
ложную инициализацию обмена;
возможность измерения и анализа энергетических и других характеристик информационной системы.
Если это нецелесообразно или невозможно, то нарушить информационный контакт можно за счет использования среды распространения информации. Например, при почтовой связи использовать надежного связного и доставить почтовое отправление абоненту, полностью исключив возможность несанкционированного доступа к нему со стороны. Или исключить возможность подслушивания путем использования специального помещения, надежно защищенного о; такого вида НСД. И, наконец, можно воздействовать на злоумышленника или на его средства путем постановки активных средств воздействия (помехи).
В каждом конкретном случае реализации информационного контакта используются и свои специфические способы воздействия как на источник, так и на среду и на злоумышленника. В качестве примера рассмотрим матрицу, характеризующую взаимосвязь целей защиты информации и механизмов ее защиты в процессе телекоммуникационного обмена в распределенных автоматизированных системах. Одновременно на ней отражены и защитные возможности тех или иных механизмов.
Заключение
Информация — это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб.
Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам.
В современных условиях безопасность информационных ресурсов может быть обеспечена только комплексной системной защиты информации.
Комплексная система защиты информации должна быть: непрерывной, плановой, целенаправленной, конкретной, активной, надежной и др.
Система защиты информации должна опираться на систему видов собственного обеспечения, способного реализовать ее функционирование не только в повседневных условиях, но и критических ситуациях.
Многообразие условий, способствующих неправомерному овладению конфиденциальной информацией, вызывает необходимость использования не менее многообразных способов, сил и средств для обеспечения информационной безопасности,
Способы обеспечения информационной безопасности должны быть ориентированы на упреждающий характер действий, направляемых на заблаговременные меры предупреждения возможных угроз коммерческим секретам.
Основными целями защиты информации являются обеспечение конфиденциальности, целостности, полноты и достаточности информационных ресурсов.
Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками.
Совокупность способов обеспечения информационной безопасности может быть подразделена на общие и частные, применение которых обусловливается масштабностью защитных действий.
![Обеспечение информационной безопасности [07.01.15]](https://studrb.ru/files/works_screen/2/22/29.png)
Тема: Обеспечение информационной безопасности
Раздел: Бесплатные рефераты по экономической информатике
Тип: Эссе | Размер: 13.36K | Скачано: 335 | Добавлен 07.01.15 в 17:19 | Рейтинг: +2 | Еще Эссе
Вуз: Финансовый университет
Обеспечение информационной безопасности.
В современном мире очень остро встает проблема защиты информации, обеспечение ее безопасности и сохранение коммерческой тайны.
Современные автоматизированные информационные технологии обладают следующими признаками:
- Различной степенью конфиденциальности содержащейся на носителе информации
- Острой необходимости в криптографической защите информации.
- Потребностью в обязательном учете и регистрации всех попыток несанкционированного доступа.
- Необходимым обеспечением целостности ПО и информации.
- Наличием физической охраны средств вычислительной техники.
К сожалению, обеспечить информационную безопасность без существенной организационной и финансовой поддержки в современном мире просто невозможно, ведь самая лучшая защита является самой дорогой.
Очень важное место в обеспечении безопасности информационных данных занимает непосредственная охрана объекта.
При создании базовой системы защиты информации необходимо учитывать следующие принципы. Первым из них является комплексный подход к устройству систем защиты, призванный обеспечить наиболее разумное и оптимальное сочетание организационных и программных методов и средств защиты. Очень важно для нахождения оптимального сочетания между программными и организационными мерами защиты учитывать зарубежный опыт в создании успешно функционирующих систем защиты.
Вторым принципом обеспечения безопасности систем информации является разделение и минимизация полномочий, другими словами, передача пользователям строго определенного минимума полномочий, необходимых для выполнения ими своих непосредственных обязанностей.
Третьим принципом является полнота контроля и регистрации попыток несанкционированного доступа. Иначе говоря, этот принцип подразумевает установление идентичности пользователей и строгое протоколирование их действий. Это необходимо для того, чтобы возможно было провести расследование и установить причины краха системы безопасности, если таковой произойдет. Также это подразумевает невозможность выполнения любого действия по обработке или удалению информации в АИТ без предварительной регистрации данной операции.
Четвертым принципом является обеспечение надежности системы защиты, что подразумевает невозможность изменения уровня защиты информации, его снижение при возникновении тех или иных сбоев в системе, вероятно вызванных преднамеренными действиями нарушителя или же совершенно непреднамеренными, случайными действиями пользователей.
Пятым принципом является обеспечение контроля за функционированием защитных систем. Это означает создание определенных методов и средств контроля за работоспособностью защитных механизмов системы.
Экономическую целесообразность использования защитных систем нельзя не отнести к базовым принципам обеспечения информационной защиты и безопасности. Смысл этого принципа заключается в том, что стоимость разработки и последующей эксплуатации системы защиты не должна превышать стоимость возможного ущерба, который может нанести объекту эксплуатация АИТ без системы информационной защиты.
Механизмы криптографии используются в современном мире для реализации мер безопасности. Их сущность заключается в следующем: для предотвращения получения несанкционированного доступа к передаваемым данным, последние зашифровываются, преобразовываясь в шифрограмму. Когда же тот, чей доступ к данным санкционирован, получает данные, он должен дешифровать или же раскрыть их путем обратного преобразования криптограммы, что позволяет ему получить исходные данные, отправленный ему их первоначальным обладателем. Кром того, для обмена зашифрованными данными необходимо, чтобы и отправитель, и получатель этих данных знали и хранили в тайне верную ключевую установку.
Для преобразования данных в криптограммы используется специальный алгоритм, чье действие запускается шифрующим ключом, способным создавать различные шифрованные сообщения.
Таким образом, степень секретности ключа определяет уровень безопасности передачи данных. При соблюдении всех принципов и верном выборе системы безопасности пользователь может быть спокоен за свои данные.
Список литературы:
- Титоренко Г.А. Автоматизированные информационные технологии в экономике. М.: ЮНИТИ, 2008.
- Тихомиров В.П., Хорошилов А.В. Введение в информационный выбор. М.: Финансы и статистика, 2009.
- Глазьев В.П. Операционные технологии межбанковского финансового рынка. М.: ЮНИТИ, 2009.
Внимание!
Если вам нужна помощь в написании работы, то рекомендуем обратиться к профессионалам. Более 70 000 авторов готовы помочь вам прямо сейчас. Бесплатные корректировки и доработки. Узнайте стоимость своей работы
Бесплатная оценка
+2
07.01.15 в 17:19
Автор:
sutofa
Понравилось? Нажмите на кнопочку ниже. Вам не сложно, а нам приятно).
Чтобы скачать бесплатно Эссе на максимальной скорости, зарегистрируйтесь или авторизуйтесь на сайте.
Важно! Все представленные Эссе для бесплатного скачивания предназначены для составления плана или основы собственных научных трудов.
Друзья! У вас есть уникальная возможность помочь таким же студентам как и вы! Если наш сайт помог вам найти нужную работу, то вы, безусловно, понимаете как добавленная вами работа может облегчить труд другим.
Добавить работу
Если Эссе, по Вашему мнению, плохого качества, или эту работу Вы уже встречали, сообщите об этом нам.
Добавление отзыва к работе
Добавить отзыв могут только зарегистрированные пользователи.
Похожие работы
- Предметная область информационной безопасности
- Информационная безопасность и средства защиты
- История и современные цели информационной безопасности
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: Информационная безопасность (ИС) предназначена для защиты конфиденциальности, целостности и доступности данных компьютерной системы от злоумышленных намерений. Конфиденциальность, целостность и доступность иногда называют Триадой информационной безопасности ЦРУ. Эта триада превратилась в то, что обычно называют гексадой Паркера, которая включает в себя конфиденциальность, владение (или контроль), целостность, подлинность, доступность и полезность.
НЕОБХОДИМОСТЬ. Цель управления информационной безопасностью – обеспечить непрерывность бизнеса и снизить ущерб, наносимый бизнесу, путем предотвращения и минимизации воздействия инцидентов безопасности. Отчет об обновлении ревизионной комиссии (1998 г.) показывает, что мошенничество или случаи злоупотребления ИТ часто происходят из-за отсутствия базовых мер контроля, при этом половина обнаруженных мошенничеств обнаруживается случайно. Система управления информационной безопасностью (СУИБ) позволяет обмениваться информацией, обеспечивая при этом защиту информации и вычислительных активов. Отчет об обновлении ревизионной комиссии показывает, что в Великобритании процент организаций, сообщивших о случаях мошенничества и злоупотреблений в сфере ИТ в 1997 году, вырос до 45% с 36% в 1994 году. Хотя кража оборудования представляет собой реальную проблему, наиболее разрушительным аспектом является потеря данных. и программное обеспечение. Источники ущерба, такие как компьютерные вирусы, компьютерные взломы и атаки типа «отказ в обслуживании», становятся все более распространенными, амбициозными и все более изощренными.
Интернет подвергает организации повышенному риску неправильного доступа к сетям, повреждения данных и распространения вирусов. Процент организаций, сообщивших о случаях взлома, утроился, и телефонные системы стали новой целью. Не все нарушения являются результатом преступления; непреднамеренное неправильное использование и человеческая ошибка также играют свою роль. Вирусные инфекции по-прежнему являются наиболее распространенной формой злоупотребления. Более распространенными и столь же разрушительными, как и преступность, являются такие угрозы, как пожар, сбои системы и отключение электроэнергии. Плохой контроль персонала и отсутствие надлежащих процедур авторизации часто выделяются в качестве основных причин инцидентов безопасности. Компании по-разному подходят к предотвращению нарушений безопасности: некоторые запрещают все, что затрудняет выполнение повседневных задач доступа; другие слишком слабы и разрешают доступ ко всем, подвергая себя высокой степени риска. Эффективность бизнеса зависит от правильного баланса, и здесь стандарты могут помочь.
Зависимость от информационных систем и сервисов означает, что организации более уязвимы для угроз безопасности. Взаимосвязь публичных и частных сетей и совместное использование информационных ресурсов увеличивает сложность обеспечения контроля доступа. Тенденция к распределенным вычислениям ослабила эффективность центрального, специализированного контроля.
ЦЕЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: КОНФИДЕНЦИАЛЬНОСТЬ: аспект конфиденциальности относится к ограничению раскрытия и доступа к информации только тем лицам, которые уполномочены, и предотвращению доступа к ней тех, кто не уполномочен. С помощью этого метода компания или организация может предотвратить попадание высокочувствительной и важной информации в руки не тех людей, в то же время делая ее доступной для нужных людей. Шифрование. Прежде всего, шифрование данных включает в себя преобразование данных в форму, понятную только уполномоченным лицам. В этом случае информация преобразуется в формат шифрованного текста, который может быть очень трудным для понимания. После того, как все угрозы безопасности устранены, информация может быть расшифрована, что означает, что данные могут быть преобразованы обратно в исходную форму, чтобы их можно было понять. Процесс шифрования может включать использование очень сложных и сложных компьютерных алгоритмов. В этом случае алгоритмы вызывают перегруппировку битов данных в оцифрованные сигналы. Если используется такой процесс шифрования, то для дешифрования той же информации требуется соответствующий ключ дешифрования. Процесс шифрования должен осуществляться на данных в состоянии покоя; это данные, хранящиеся на жестком диске или на USB-накопителе. Данные в движении также должны быть зашифрованы. В этом случае данные в движении относятся ко всем видам данных, которые передаются по сети
INTEGRITY: целостность – это еще одна концепция безопасности, которая предполагает постоянное, точное и достоверное хранение данных в течение периода, в течение которого они будут существовать. В этом случае необходимо следить за тем, чтобы данные не изменялись в течение определенного периода. Кроме того, необходимо принять правильные процедуры, чтобы гарантировать, что посторонние люди не изменят данные. Хеширование: хеширование – это разновидность криптографической науки, которая включает преобразование данных таким образом, что их невозможно инвертировать. Это в основном делается, когда кто-то хранит данные в каком-либо устройстве хранения, чтобы тот, кто получает к ним доступ, не мог их изменить или вызвать какие-либо изменения. Цифровые подписи. Цифровые подписи – это особые виды обеспечения безопасности данных, где для доступа к определенной информации требуется особый вид подписи. Подпись может быть в форме QR-кода, который необходимо правильно прочитать, чтобы получить доступ к данным.
СЕРТИФИКАТЫ. Это специальные типы учетных данных пользователя, которые необходимы для получения доступа к определенной информации. В этом случае физическое лицо без таких сертификатов не может получить доступ к этой части информации. Эти сертификаты имеют тенденцию гарантировать некоторые разрешения и права. Невозможность отказа от авторства: на основе информационной безопасности отказ от авторства является криптографическим свойством, которое обеспечивает цифровую подпись сообщения лицом, имеющим закрытый ключ к конкретной цифровой подписи.
Зарегистрируйся, чтобы продолжить изучение работы
30.10.2020
Комментариев нет
Кибербезопасность или защита информационных технологий – это методы защиты компьютеров, сетей, программ и данных от несанкционированного доступа или атак, направленных на эксплуатацию. Существует четыре типа
Читать полностью »
30.10.2020
Комментариев нет
Группа реагирования на инциденты в области компьютерной безопасности (CSIRT, пояснено «see-sirt») – это подразделение, которое получает отчеты о взрывах безопасности, проводит проверки отчетов и отвечает
Читать полностью »
30.10.2020
Комментариев нет
Ахмад Альдхафири CEGR 4802/1/2018 ГИС Геоинформационная система (ГИС) – это система, предназначенная для сбора, хранения, обработки, анализа, управления и представления всех типов географических данных. Ключевым
Читать полностью »
От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей. Такова плата за усложнение и повсеместное распространение автоматизированных систем обработки информации.
Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.
Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.
На практике важнейшими являются три аспекта информационной безопасности:
доступность (возможность за разумное время получить требуемую информационную услугу);
целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
конфиденциальность (защита от несанкционированного прочтения).
Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.
Основные угрозы информационной безопасности
Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:
аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);
программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
персонал — обслуживающий персонал и пользователи.
Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:
аварийные ситуации из-за стихийных бедствий и отключений электропитания;
отказы и сбои аппаратуры;
ошибки в программном обеспечении;
ошибки в работе персонала;
помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные воздействия — это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:
недовольством служащего своей карьерой;
взяткой;
любопытством;
конкурентной борьбой;
стремлением самоутвердиться любой ценой.
Можно составить гипотетическую модель потенциального нарушителя:
квалификация нарушителя на уровне разработчика данной системы;
нарушителем может быть как постороннее лицо, так и законный пользователь системы;
нарушителю известна информация о принципах работы системы;
нарушитель выбирает наиболее слабое звено в защите.
Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.
Проведем классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:
Через человека:
o хищение носителей информации;
o чтение информации с экрана или клавиатуры;
o чтение информации из распечатки.
Через программу:
o перехват паролей;
o дешифровка зашифрованной информации;
o копирование информации с носителя.
Через аппаратуру:
o подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;
o перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.
Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки. Нарушитель может находиться за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.
Обеспечение информационной безопасности
Формирование режима информационной безопасности — проблема комплексная. Меры по ее решению можно подразделить на пять уровней:
1. законодательный (законы, нормативные акты, стандарты и т.п.);
2. морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);
3. административный (действия общего характера, предпринимаемые руководством организации);
4. физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);
5. аппаратно-программный (электронные устройства и специальные программы защиты информации).
Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.
Надежная система защиты должна соответствовать следующим принципам:
Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
Защита тем более эффективна, чем проще пользователю с ней работать.
Возможность отключения в экстренных случаях.
Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.
Под защитой должна находиться вся система обработки информации.
Разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать.
Система защиты должна предоставлять доказательства корректности своей работы.
Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.
Объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной из групп не влияло на безопасность других.
Надежная система защиты должна быть полностью протестирована и согласована.
Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.
Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.
Наиболее важные и критические решения должны приниматься человеком.
Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.
Аппаратно-программные средства защиты информации
Несмотря на то, что современные ОС для персональных компьютеров имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами, например при сетевом информационном обмене.
Аппаратно-программные средства защиты информации можно разбить на пять групп:
1. Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.
2. Системы шифрования дисковых данных.
3. Системы шифрования данных, передаваемых по сетям.
4. Системы аутентификации электронных данных.
5. Средства управления криптографическими ключами.
Рассмотри каждую из них подробнее:
Системы идентификации и аутентификации пользователей — применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таких систем заключается в том, чтобы получить от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.
При построении этих систем возникает проблема выбора информации, на основе которой осуществляются процедуры идентификации и аутентификации пользователя. Можно выделить следующие типы:
секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения;
физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) или особенности поведения (особенности работы на клавиатуре и т.п.).
Системы, основанные на первом типе информации, считаются традиционными. Системы, использующие второй тип информации, называют биометрическими. Следует отметить наметившуюся тенденцию опережающего развития биометрических систем идентификации.
Системы шифрования дисковых данных — чтобы сделать информацию бесполезной для противника, используется совокупность методов преобразования данных, называемая криптографией [от греч. kryptos— скрытый и grapho — пишу].
Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities, Best Crypt.
Другим классификационным признаком систем шифрования дисковых данных является способ их функционирования. По способу функционирования системы шифрования дисковых данных делят на два класса:
системы «прозрачного» шифрования;
системы, специально вызываемые для осуществления шифрования.
В системах прозрачного шифрования (шифрования «на лету») криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.
Системы второго класса обычно представляют собой утилиты, которые необходимо специально вызывать для выполнения шифрования. К ним относятся, например, архиваторы со встроенными средствами парольной защиты.
Большинство систем, предлагающих установить пароль на документ, не шифрует информацию, а только обеспечивает запрос пароля при доступе к документу. К таким системам относится MS Office, 1C и многие другие.
Системы шифрования данных, передаваемых по сетям — различают два основных способа шифрования: канальное шифрование и оконечное (абонентское) шифрование.
В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством — встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются и существенные недостатки:
шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т.п.);
шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.
Оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами. В этом случае защищается только содержание сообщений, вся служебная информация остается открытой. Недостатком является возможность анализировать информацию о структуре обмена сообщениями, например об отправителе и получателе, о времени и условиях передачи данных, а также об объеме передаваемых данных.
Системы аутентификации электронных данных — при обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись.
Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными.
Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.
Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи — асимметричного. Подробнее эти две системы шифрования будем изучать позже.
Средства управления криптографическими ключами — безопасность любой криптосистемы определяется используемыми криптографическими ключами. В случае ненадежного управления ключами злоумышленник может завладеть ключевой информацией и получить полный доступ ко всей информации в системе или сети.
Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей.
Способы генерации ключей для симметричных и асимметричных криптосистем различны. Для генерации ключей симметричных криптосистем используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем более сложна, так как ключи должны обладать определенными математическими свойствами. Подробнее на этом вопросе остановимся при изучении симметричных и асимметричных криптосистем.
Функция хранения предполагает организацию безопасного хранения, учета и удаления ключевой информации. Для обеспечения безопасного хранения ключей применяют их шифрование с помощью других ключей. Такой подход приводит к концепции иерархии ключей. В иерархию ключей обычно входит главный ключ (т.е. мастер-ключ), ключ шифрования ключей и ключ шифрования данных. Следует отметить, что генерация и хранение мастер-ключа является критическим вопросом криптозащиты.
Распределение — самый ответственный процесс в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют двумя способами:
с помощью прямого обмена сеансовыми ключами;
используя один или несколько центров распределения ключей.
Таким образом, в заключение следует отметить, что защита информации и информационная безопасность является очень важной составляющей. Существует очень много способов защиты, но и соответственно способов «взломов». И тем и другим аспектам, необходимо уделять особое внимание – если с защитой все понятно, то процессы «взломов» также нужно изучать, так как не зря говорят «предупрежден, значит вооружен». В каждой организации, у каждого человека должна в обязательности иметься надежная система защиты.
Публикуем свежие сочинения на тему «Безопасный интернет» для учеников 5-9 класса.
Источник вдохновения.
3.34%
Проголосовало: 3087
Поделись статьей с друзьями в соцсетях! Портал «Логоправ» для тех, кто хочет быть отличником! 
Этот рейтинг составлен на основании ваших голосов. Поставьте лайк или дизлайк каждому варианту сочинения для участия в голосовании!
Вариант 1: Важность безопасности Интернета для подростков
Интернет — это огромный и мощный инструмент, который предоставляет подросткам бесконечные возможности для обучения и общения с другими людьми. Однако его использование также сопряжено со многими потенциальными рисками. Поэтому подросткам важно понимать важность безопасности в Интернете.
Во-первых, кибербуллинг — это серьезная проблема, с которой сталкиваются подростки при использовании Интернета. Кибербуллинг может нанести серьезный эмоциональный ущерб, привести к депрессии, тревоге, а в некоторых случаях и к самоубийству. Во-вторых, в Интернете полно хищников, которые стремятся эксплуатировать уязвимых подростков и причинить им вред. Они используют фальшивые личности, чтобы заманить подростков в доверие, что может привести к физическому ущербу или эксплуатации. Наконец, воздействие неподобающего контента, такого как насилие, порнография и наркотики, может оказать значительное влияние на жизнь подростков. Это может привести к зависимости, десенсибилизации и нездоровому отношению к определенным видам поведения.
В заключение следует отметить, что подростки должны понимать важность безопасности в Интернете. Они должны знать о потенциальных рисках и при необходимости обращаться за советом к взрослым. Важно предпринимать такие шаги, как сохранение конфиденциальности, отказ от обмена личной информацией и использование надежных источников, чтобы не попасть в ловушки в Интернете.
Вариант 2: Темная сторона социальных сетей
Социальные медиа-платформы позволили подросткам общаться с людьми, поддерживать связь с друзьями и даже представить себя более широкой аудитории. Тем не менее, социальные сети могут быть как опасными, так и полезными, и подросткам следует быть осторожными при их использовании.
Начнем с того, что социальные сети могут познакомить подростков с киберхищниками, которые используют социальные сети, чтобы подбираться к уязвимым подросткам и эксплуатировать их. Кроме того, социальные сети могут привести к кибербуллингу, который, к сожалению, стал широко распространен среди подростков. Эта кибербуллинг приносит большие страдания жертве, заставляя ее чувствовать себя бессильной и изолированной в своих страданиях. Наконец, использование социальных сетей может привести к вторжению в частную жизнь, когда информация, выложенная в социальных сетях, может быть использована для преследования и преследования подростков.
В заключение следует отметить, что подростки должны понимать риски, связанные с использованием социальных сетей. Они обязаны принимать такие меры, как настройки конфиденциальности, избегать обмена личной информацией в сети и общаться только с проверенными людьми, чтобы защитить себя от киберхищников, издевательств или вторжения в частную жизнь.
Вариант 3: Важность киберэтики
Киберэтика — это практика ответственного и уважительного поведения в Интернете. В конечном счете, важно обеспечить, чтобы Интернет был безопасным и надежным местом для всех, особенно для подростков.
Во-первых, кибербуллинг — это этическая проблема, связанная с нарушением права другого человека чувствовать себя в безопасности в Интернете. Кибербулли используют анонимность социальных сетей и других онлайн-платформ для преследования и запугивания своих жертв. Тем не менее, киберэтика призывает людей поощрять уважение, доброту и бережное отношение к чувствам других людей в сети. Во-вторых, киберэтика выступает за конфиденциальность данных, когда личная информация человека остается конфиденциальной и защищенной от киберкраж, мошенников или хакеров. В-третьих, киберэтика отстаивает идею о том, что распространение незаконного контента в сети, включая разжигание ненависти, терроризм или пропаганду вредных действий, является неправильным и не лучшим образом отражается на пользователях сети.
В заключение следует отметить, что киберэтика является важнейшим аспектом безопасного и ответственного использования Интернета. Подростки должны быть внимательными и обдуманными в своих действиях в сети, чтобы уважать права других людей, защищать себя и способствовать созданию безопасной цифровой среды.
Вариант 4: Онлайн-игры и безопасность
Онлайн-игры являются популярным времяпрепровождением, и подростки часто занимаются ими, чтобы расслабиться и отдохнуть. Однако онлайн-игры также могут представлять угрозу безопасности и привести к зависимости, если их не использовать безопасно.
Во-первых, существует риск того, что незнакомые люди могут вступить в разговор и получить доступ к личной информации. Подросткам следует помнить, что разглашение личной информации в Интернете, например, возраста или местонахождения, может подвергнуть их опасности со стороны киберхищников. Во-вторых, игры с насилием могут сделать подростков невосприимчивыми к жестокому поведению и привести к нездоровому отношению к насилию. Наконец, чрезмерное увлечение играми может вызвать зависимость и привести к ухудшению успеваемости и социальной жизни.
В заключение следует отметить, что подросткам важно проявлять осторожность во время онлайн-игр. Они должны понимать свои границы и заниматься игровыми видами деятельности, соответствующими возрасту, не делиться личной информацией и регулярно делать перерывы.
Вариант 5: Цифровой след
Цифровой след — это след данных, оставленных в Интернете в результате деятельности человека. Хотя эти данные предназначены для временного использования, они могут иметь долгосрочное влияние на репутацию человека.
Во-первых, все, что публикуется в Интернете, от сообщений в социальных сетях до комментариев или блогов, является постоянным и может быть отслежено до автора. Это означает, что деятельность подростков в Интернете может преследовать их в будущем и оказывать значительное влияние на их образование, карьеру и личные отношения. Во-вторых, информация, собранная в Интернете, может быть использована для составления профиля человека и его использования в нежелательных целях, таких как маркетинг, распространение фальшивых новостей или кибербуллинг. И наконец, подростки должны знать о проблемах конфиденциальности и не делиться слишком большой личной информацией в Интернете.
В заключение следует отметить, что подростки должны понимать влияние своего цифрового следа и принимать меры по его защите. Содержание их деятельности в Интернете может быть постоянным и иметь долгосрочные последствия, поэтому очень важно, чтобы они проявляли ответственность и вели себя в Интернете этично.
Вариант 6: Основы цифровой безопасности
Цифровая безопасность — это меры, принимаемые для защиты от доступа к личной информации или активам в Интернете. Подростки должны обратить внимание на эти основные методы защиты, чтобы обеспечить безопасность в Интернете.
Во-первых, выбор надежных паролей и сохранение их в тайне — одна из важнейших мер. Пароли должны быть уникальными и надежными, и пользователю следует избегать использования имени, даты рождения или простых слов, которые можно легко угадать. Во-вторых, обновление и регулярная проверка программного обеспечения безопасности необходимы для обеспечения постоянной защиты от онлайн-угроз. Наконец, подросткам следует избегать перехода по подозрительным ссылкам или предоставления личной информации на сайтах, которые не вызывают доверия или небезопасны.
В заключение следует отметить, что подросткам необходимо серьезно относиться к цифровой безопасности. Интернет является значительной частью их жизни, и обеспечение безопасности их присутствия в сети позволит им уберечься от киберхищников, кражи личных данных или мошенничества.
Вариант 7: Давление сверстников и социальные сети
Социальные сети являются домом для мощных социальных сил, таких как культура влияния и другие тенденции. Эти тенденции могут быть позитивной силой, но они также могут привести к негативным последствиям из-за потенциального влияния давления со стороны сверстников.
Во-первых, подросткам следует помнить о кибербуллинге, который может быть спровоцирован сверстниками, не одобряющими то, чем они поделились в Интернете. Обычно подросткам хочется поделиться определенными сообщениями или комментариями, чтобы успокоить друзей. Однако это может подвергнуть их различным киберугрозам. Во-вторых, девочки-подростки подвержены давлению со стороны сверстников в таких областях, как идеализированные стандарты красоты, что приводит к проблемам с самооценкой и связанным с этим проблемам психического здоровья. Наконец, влияние авторитетов или знаменитостей может привести к серьезным рискам для здоровья, например, поощряя нездоровые привычки и чрезмерное увлечение.
В заключение следует отметить, что давление сверстников в Интернете — это фактор, который может оказать значительное влияние на психическое, физическое и эмоциональное благополучие подростков. Очень важно, чтобы подростки помнили об этом влиянии и уделяли первостепенное внимание своей личной безопасности и здоровью в Интернете.
А Вы нашли, то что искали? Оставьте свой комментарий под этой статьей!