Дорогие друзья!
Информационные технологии – один из наиболее динамично развивающихся сегментов мировой экономики, причем не только в техническом, но и в организационно-правовом направлении. Данное утверждение столь же справедливо и для такой важнейшей составляющей этой экономической отрасли, как информационная безопасность.
Активная интеграция Российской Федерации в мировое экономическое пространство не позволяет более руководствоваться исключительно внутригосударственными законами, правилами и стандартами, заставляет отечественный бизнес примеривать на себя лучшие мировые практики.
В столь стремительно меняющейся обстановке отсутствие надежного проводника, способного предложить качественные инструменты для решения насущных задач, существенно осложняет достижение положительного результата или же требует для этого применения неадекватных итогу усилий.
Эту роль для тысяч профессионалов – от руководителей служб безопасности крупнейших компаний и государственных учреждений до технических специалистов – уже многие годы с успехом играет журнал «Защита информации. Инсайд». Мы были, есть и всегда будем вашим верным помощником при решении задач обеспечения информационной безопасности.
Обращаю ваше внимание на то, что можно заказать в редакции, а также на наше новое предложение – возможность заказать . Предлагаемые материалы разработаны специалистами, обладающими многолетним практическим опытом работы и преподавания в данной области. Их цель: получение широким кругом руководящих работников, не имеющих предварительной подготовки и подчиненных им служб безопасности государственных и коммерческих предприятий знаний по широкому кругу вопросов в сфере защиты конфиденциальной информации.
Надеюсь, что все эти материалы окажутся для вас значимым подспорьем в решении насущных задач.
Главный редактор
С. А. Петренко
О журнале
Журнал «Защита информации. Инсайд» — это единственный в России периодический, научный, информационно-методический журнал в области защиты информации.
Журнал «Защита информации. Инсайд» решением Высшей аттестационной комиссии включен в Перечень рецензируемых научных изданий , в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени кандидата наук, на соискание ученой степени доктора наук по следующим научным специальностям .
Подписной индекс журнала по каталогам: , ,
Главный редактор
Петренко Сергей Анатольевич , доктор технических наук, профессор каф. ИБ СПбГЭТУ (ЛЭТИ)
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
у////////////////////////^^^^
К вопросу о содержании понятия «информационная безопасность»
у////////////////////////////^^^^
М.С. СОКОЛОВ, сотрудник Центра исследования проблем российского права «Эквитас», кандидат юридических наук
E-mail: [email protected]
Научная специальность: 12.00.14 - административное право, финансовое право, информационное право
у///////////////////////^^^^
Аннотация. В статье рассматривается определение понятия «информационная безопасность», закрепленное в Доктрине информационной безопасности Российской Федерации.
Раскрывается сущность понятия, а также положительные и отрицательные стороны. Вносятся предложения по уточнению некоторых терминов и определений информационного права. Ключевые слова и словосочетания: информационная безопасность, информационные отношения.
Annotation. In article definition of concept «information security»» fixed in the Doctrine of information security of the Russian Federation is considered.
Its essence, and also positive and negative sides reveals.
Some terms and definitions of the information law are specified.
Key words and word combinations: information security, information relations.
7///////////////////////////^^^^
Обеспечение информационной безопасности является одной из важнейших задач, стоящих перед любым современным государством. Однако несмотря на возрастающее значение этой деятельности, единого определения понятия «информационная безопасность» по прежнему не выработано.
Прежжде чем рассматривать вопрос о том, насколько существующие подходы к определению информационной безопасности отвечают современной обстановке, следует обратить внимание на то, как формируется представление о безопасности в целом и об отдельных ее видах.
В толковых словарях даются следующие определения данному понятию:
Безопасность - состояние, при котором не угрожает опасность, есть защита от опасности1;
Безопасность - отсутствие опасности2;
Предупреждение опасности, условия, при которых не угрожает опасность3.
Закон РФ «О безопасности» содержит следующее определение: безопасность есть состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз 4.
Данное определение является основополагающим, так как распространяется на все виды общественных отношений.
Исходя из этого можно предположить, что отдельные виды безопасности должны определяться как состояние защищенности конкретного объекта от конкретных угроз, на него посягающих. Однако в российском законодательстве такая позиция наблюдается не везде.
В некоторых случаях безопасность определяется даже не как состояние защищенности, а как свойство. Так, безопасность гидротехнических сооружений - как свойство гидротехнических сооружений, позволяющее обеспечивать защиту жизни, здоровья и законных интересов людей, окружающей среды и хозяйственных объектов5. Однако такой подход является редкостью.
Основополагающее определение безопасности нашло свое развитие в определении национальной безопасности, под которой понимается состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, тер-
риториальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства6.
Таким образом, основное определение конкретизировалось в отношении отдельного государства - Российской Федерации. Жизненно важные интересы трансформировались в более четкие объекты - личность, общество, государство. Исчезла и неопределенность термина «состояние защищенности». Получается, что можно говорить о национальной безопасности не при любом состоянии защищенности, а только тогда, когда оно позволяет обеспечивать права и свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства.
Например, возможность обеспечения прав и свобод выступает в качестве одного из требований к состоянию защищенности. Следовательно, если состояние защищенности отвечает всем предъявляемым требованиям, то обеспечена безопасность.
Следовательно, для определения сущности безопасности чего-либо необходимо четко указать не только сам объект, существующие для него угрозы, но и требования к состоянию (уровню) защищенности. Однако такой подход реализован не во всех определениях.
Например, транспортная безопасность определена как состояние защищенности объектов транспортной инфраструктуры и транспортных средств от актов незаконного вмешательства7, а пожарная безопасность - как состояние защищенности личности, имущества, общества и государства от пожаров8.
Как видно, в приведенных определениях объект и угрозы названы, а требования к состоянию защищенности - нет. Тем не менее четко обозначены и охраняемые объекты, и угрозы, от которых они защищаются.
Доктрина информационной безопасности Российской Федерации (далее - Доктрина) определяет, что под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства9.
Очевидно, что в данном определении не указаны ни конкретные объекты безопасности, ни угрозы, ни требования к состоянию защищенности. Из его смысла также не ясно, что понимается под состоянием защищенности интересов и как это состояние можно оценить.
«Интересы» - слишком абстрактная и неоднозначная категория, даже в Доктрине они не названы; указаны лишь так называемые «составляющие национальных интересов». Каким же образом тогда предлагается определять защищенность самих интересов, если их полный перечень нигде не указан?!
Представляется, что предложенное в Доктрине определение не только не раскрывает сущности ин-
формационной безопасности, но и не соответствует сложившемуся в российском законодательстве подходу к определению различных видов безопасности.
Для того чтобы точно раскрыть содержание информационной безопасности, необходимо, прежде всего, установить, из состояния защищенности каких объектов оно складывается, какие объекты имеют для данного явления приоритетное значение.
Здесь на первый план выходит понятие информационной сферы, которая и является основным объектом, требующим защиты. Согласно Доктрине информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений10.
Получается, что в рамках комплексного охраняемого объекта (информационной сферы) существуют и другие элементы: 1) информация; 2) информационная инфраструктура; 3) субъекты, осуществляющие сбор, формирование, распространение и использование информации; 4) система регулирования возникающих при этом общественных отношений.
Следовательно, необходимо обеспечивать безопасность информации, безопасность информационной инфраструктуры, безопасность субъектов и безопасность системы регулирования информационных отношений.
Информация представляет собой сведения (сообщения, данные) независимо от формы их пред-ставления11. В свою очередь безопасность информации - это состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность12. Из сказанного видно, что сохранение указанных свойств является неотъемлемым требованием к состоянию защищенности, означающему безопасность.
Если состояние защищенности сведений не отвечает этим требованиям, т.е. не защищено хотя бы одно из указанных свойств, возникает вероятность проявления соответствующих угроз. Исходя из этого защищенность информации выступает в качестве своеобразной измерительной шкалы, нулевая отметка которой означает полное ее отсутствие, а конечная соответствует максимальному состоянию защищенности, которое и определяется как безопасность информации.
В свою очередь промежуточные значения данной шкалы соответствуют таким состояниям (уровням) защищенности, при которых возможна реализация некоторых угроз.
Согласно ГОСТ Р 50922-2006 под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации13. Однако в данном определении скрыто несколько противоречий.
Во-первых, не понятно, как совокупность условий и факторов может создавать существующую опасность? Как можно создать то, что уже существует?
Во-вторых, вызывает сомнение обоснованность формулировки «опасность нарушения безопасности информации», поскольку «безопасность» уже сама по себе означает состояние защищенности от угроз, отсутствие опасности.
Налицо вывод: оба этих термина как взаимоисключающие друг друга в рамках одного определения в подобном контексте применяться не могут. Это же относится и к самому термину «угроза безопасности информации».
С одной стороны, угроза проявляется в отношении объекта (информации), а не состояния его защищенности (безопасности), и в ходе своей реализации она воздействует непосредственно на сам объект. Исходя из этого формулировка «угроза безопасности» не вполне корректна, поскольку вред в случае реализации угрозы причиняется не безопасности, а конкретным свойствам или элементам самого объекта.
С другой стороны, состояние защищенности - это и есть показатель возможности проявления угроз. Если подобная угроза может быть реализована, объект находится в опасности, и ему может быть причинен определенный вред; если нет - объект находится в безопасности.
Информационная безопасность, в свою очередь, означает состояние защищенности объектов информационной сферы, отвечающее необходимым требованиям, при котором они защищены от угроз, т.е. реализация последних невозможна, а следовательно, нет и опасности.
Сбор, обработка, хранение и использование персональных данных осуществляются во многих сферах деятельности общества и государства. Например, в финансовой и налоговой сфере, при пенсионном, социальном и медицинском страховании, в оперативно-розыскной деятельности, трудовой и других областях общественной жизни.
В различных сферах деятельности под персональными данными понимаются часто не совпадающие наборы сведений. Определения персональных данных содержатся в различных федеральных законах, причем объем сведений определяется в них по разному.
С развитием информационных технологий всё большее значение приобретает защита коммерческой информации, позволяющая компании поддерживать конкурентоспособность своих товаров, организовывать работу с партнерами и клиентами, снижать риски возникновения санкций со стороны регуляторов.
Защитить коммерческую тайну компании и привлечь виновных в разглашении к ответственности возможно, введя режим коммерческой тайны, т. е. приняв правовые, организационные и технические меры по охране конфиденциальности информации.
На сегодняшний день вирусные атаки по-прежнему происходят с пугающей частотой. Самыми эффективными являются атаки, осуществляемые с использованием файлов, открываемых обычными приложениями. Например, вредоносный код может содержаться в файлах Microsoft Word или PDF-документах. Такая атака называется эксплойтом и не всегда определяется обычным антивирусом.
Palo Alto Networks Traps обеспечивает расширенную защиту рабочих станций от целенаправленных вредоносных атак, предотвращает эксплуатацию уязвимостей операционной системы и приложений.
Рекомендации по защите информации при работе в системах ДБО
В последнее время участились случаи мошеннических действий в системах дистанционного банковского обслуживания (ДБО), направленные на хищение секретных ключей пользователей и денежных средств организаций. В статье мы рассмотрели практические меры, необходимые для снижения вероятности кражи денежных средств и привели рекомендации по реагированию на возможные мошеннические действия.
Начиная с 2000-х годов киберугрозы стали актуальны для всех, начиная от крупнейших государственных информационных систем до компьютеров рядовых граждан. Киберугроза – это незаконное проникновение или угроза вредоносного проникновения в виртуальное пространство для достижения политических, социальных или иных, целей.
Кибервойны между странами
Крупнейшие киберконфликты разворачиваются между государствами, обладающими наибольшими вычислительными и интеллектуальными ресурсами для ведения кибервойн. Информация о соглашениях об электронном ненападении, а также о противоборстве в виртуальном пространстве между странами, выделена в отдельную статью:
Естественные угрозы: на информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные и другие обстоятельства.
Основные проблемы защиты данных в информационных системах
Конечная цель реализации мер безопасности
Повышение потребительских свойств защищаемого сервиса, а именно:
- Удобство использования сервиса
- Безопасность при использовании сервиса
- Применительно к системам ДБО это означает сохранность денег
- Применительно к системам электронного взаимодействия это означает контроль над правами на объект и сохранность ресурсов
- Утрата любого свойства безопасности означает потерю доверия к сервису безопасности
Что подрывает доверие к сервисам безопасности?
На бытовом уровне
- Информация о хищениях денег и собственности, зачастую излагаемая гипертрофировано
- Запуганность людей непонятными для них, а значит, неконтролируемыми угрозами (кибератаками, хакерами, вирусами и т.д.)
- Некачественная работа предоставленного сервиса,(отказы, ошибки, неточная информация, утрата информации)
- Недостаточно надежная аутентификация личности
- Факты мошенничества, с которыми сталкиваются люди или слышали о них
На правовом уровне
- Утрата аутентичности данных
- Утрата легитимности сервиса безопасности по формальному признаку (окончание срока действия сертификата, аттестата на объект, лицензии на вид деятельности, окончание поддержки)
- Сбои в работе СКД –СУД, нарушение конфиденциальности
- Слабый уровень доверия к сервису аутентификации
- Сбои и недостатки в работе систем защиты, дающие возможность оспорить легитимность совершаемых операций
Построение любой компьютерной сети начинается с установки рабочих станций, следовательно подсистема информационной безопасности начинается с защиты этих объектов.
Здесь возможны:
- средства защиты операционной системы ;
- дополнительные устройства аутентификации пользователя;
- средства защиты рабочих станций от несанкционированного доступа;
- средства шифрования прикладного уровня.
На базе перечисленных средств защиты информации строится первый уровень подсистем информационной безопасности в автоматизированных системах. На втором этапе развития системы отдельные рабочие станции объединяют в локальные сети, устанавливают выделенные сервера и организуют выход из локальной сети в интернет .
На данном этапе используются средства защиты информации второго уровня - уровня защиты локальной сети:
- средства безопасности сетевых операционных систем ;
- средства разграничения доступа к разделяемым ресурсам;
- средства защиты домена локальной сети;
- сервера аутентификации пользователей;
- межсетевые экранные прокси-сервера ;
- средства обнаружения атак и уязвимостей защиты локальной сети.
При объединении локальных сетей в общий интранет с использованием в качестве коммуникационной среды публичных сетей (в том числе, интернета) безопасность обмена информацией обеспечивается применением технологии VPN , которая составляет основу третьего уровня информационной безопасности.
Физические способы обеспечения информационной безопасности
Физические меры защиты - это разного рода механические, электро- и электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам информационной системы и охраняемой информации. В перечень физических способов защиты информации входят:
- организация пропускного режима;
- организация учёта, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
- распределение реквизитов разграничения доступа;
- организация скрытого контроля за деятельностью пользователей и обслуживающего персонала информационной системы;
- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях аппаратного и программного обеспечения.
Когда физические и технические способы недоступны, применяются административные меры обеспечния информационной безопасности. Опыт функционирования организаций со сложной организацией информационной системы показал, что наилучшие результаты в достижении информационной безопасности достигаются при использовании системного подхода.
Почему в СМБ риски в сфере ИБ высоки
Многие руководители малого бизнеса недооценивают важность информационной безопасности, полагая, что небольшие компании не так интересны хакерам, как крупные. Это заблуждение. Малый бизнес как раз весьма привлекателен для интернет-мошенников. В первую очередь тем, что не слишком озабочен информационной безопасностью.
Не на всяком малом предприятии в штате есть специалист по информационным технологиям, зато часто встречаются нелегальное программное обеспечение, «левый» антивирус. Данные могут храниться в общедоступных папках, ключи от системы дистанционного банковского обслуживания (ДБО) – в ящике стола руководителя. Повышает риск утечки корпоративной информации и использование в работе смартфонов и планшетов.
Как показывает анализ возникающих инцидентов, злоумышленники, как правило, не охотятся на какую-то конкретную компанию, «натравливая» вирусы на всех, кто попадется под руку.
«И те, кто защищен меньше или не защищен совсем, становятся первыми «жертвами» хакеров, которые, проникая в информационную сеть компании, похищают секретные ключи, данные об операциях или клиентах», – отмечает Олег Илюхин , директор департамента информационных технологий «СДМ-Банка ».
Правила безопасности
Есть несколько обязательных правил информационной безопасности, которые соблюдать просто необходимо (2014 г.).
Заслон от вирусов и спама
Заслон для вирусов и спама . Самую большую угрозу безопасности компании, по данным экспертов, представляет вредоносное ПО. На август 2014 года ежедневно появляется около 200 тыс. новых его образцов. По данным участников ИБ-рынка, в 2013 году 95% российских компаний по меньшей мере один раз подверглись хакерской атаке. Не менее серьезной угрозой является утечка в результате незащищенного обмена корпоративной информацией через мобильные устройства сотрудников.
Чтобы не допустить возникновения этих угроз, необходимо отказаться от «левого» софта, установить файрвол и современный антивирус , регулярно обновлять его.
Информационная безопасность в образовательной организации
Подготовила Бритикова Л. Г.
Когда речь заходит об информационной безопасности, обычно мы начинаем думать о компьютерах, сетях, интернете и хакерах. Но для образовательной среды проблема стоит шире: в ограждении учащегося от информации, которая может негативно повлиять на его формирование и развитие, то есть о пропаганде различной направленности.
Понятие информационной безопасности
Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.
На практике важнейшими являются три аспекта информационной безопасности:
Доступность (возможность за разумное время получить требуемую информационную услугу);
Целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
Конфиденциальность (защита от несанкционированного прочтения).
Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.
Основные угрозы информационной безопасности
Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:
Аппаратные средства. Это компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - принтеры, контроллеры, кабели, линии связи и т.д.);
Программное обеспечение. Это приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
Данные ,хранимые временно и постоянно, на дисках, флэшках, печатные, архивы, системные журналы и т.д.;
Персонал . Пользователи, системные администраторы, программисты и др.
Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:
Аварийные ситуации из-за стихийных бедствий и отключений электропитания;
Отказы и сбои аппаратуры;
Ошибки в программном обеспечении;
Ошибки в работе персонала;
Помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:
Недовольством служащего своей карьерой;
Взяткой;
Любопытством;
Стремлением самоутвердиться любой ценой.
Можно составить гипотетическую модель потенциального нарушителя:
Квалификация нарушителя на уровне разработчика данной системы;
Нарушителем может быть как постороннее лицо, так и законный пользователь системы;
Нарушителю известна информация о принципах работы системы;
нарушитель выбирает наиболее слабое звено в защите.
Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ. Несанкционированный доступ использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.
Проведем классификацию каналов несанкционированного доступа, по которым можно осуществить хищение, изменение или уничтожение информации:
Через человека:
Хищение носителей информации;
Чтение информации с экрана или клавиатуры;
Чтение информации из распечатки.
Через программу:
Перехват паролей;
Дешифровка зашифрованной информации;
Копирование информации с носителя.
Через аппаратуру:
Подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;
Перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.
Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки. Нарушитель может находиться за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.
Обеспечение информационной безопасности
Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:
1. Законодательный. Это законы, нормативные акты, стандарты и т.п.
Нормативно-правовая база определяющая порядок защиты информации:
.
В соответствии с данной статьей защита информации представляет собой принятие правовых, организационных и технических мер. Меры должны быть направлены на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.
Ст. 9 Федерального закона № 149-ФЗ, п. 5 гласит "Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению такой информации. Такая обязанность возлагается Трудовым кодексом РФ (далее – ТК РФ), гл. 14 которого определяет защиту персональных данных работника. В соответствии со статьей ТК РФ: "Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами. Для развития данных положений в РФ принят Федеральный закон № 152-ФЗ РФ «О персональных данных», который вступил в силу с 1 января 2008 г. Его основной целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайны. Статья 3 данного закона определяет: "Персональные данные - любая информация, относящаяся к определенному или неопределенному на основании такой информации лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественной положение, другая информация"
, согласно которому содержание и художественное оформление информации, предназначенной для обучения детей в дошкольных образовательных учреждениях, должны соответствовать содержанию и художественному оформлению информации для детей данного возраста. А также в соответствии с Федеральным законом «Об основных гарантиях прав ребенка» образовательные учреждения обязаны ограничивать доступ учащихся к ресурсам сети Интернет, пропагандирующим насилие и жестокость, порнографию, наркоманию, токсикоманию, антиобщественное поведение.
2. Морально-этический . Всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации.
3. Административный . Действия общего характера, предпринимаемые руководством организации. Такими документами могут быть:
приказ руководителя о
назначении ответственного за обеспечение информационной безопасности;
должностные обязанности ответственного за обеспечение информационной безопасности;
перечень защищаемых информационных ресурсов и баз данных;
инструкцию, определяющую порядок предоставления информации сторонним организациям по их запросам, а также по правам доступа к ней сотрудников организации.
4. Физический . Механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей.
5. Аппаратно-программный (электронные устройства и специальные программы защиты информации).
Принятые меры по созданию безопасной информационной системы в школе
:
Обеспечена защита компьютеров от внешних несанкционированных воздействий (компьютерные вирусы, логические бомбы, атаки хакеров и т. д.)
Установлен строгий контроль за электронной почтой, обеспечен постоянный контроль за входящей и исходящей корреспонденцией.
Установлены соответствующие пароли на персональные ЭВМ
Использованы контент-фильтры, для фильтрации сайтов по их содержимому.
Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.
Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать. Под защитой должна находиться вся система обработки информации.
Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.
Надежная система защиты должна быть полностью протестирована и согласована. Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.
В заключение своего доклада хотелось бы дать некоторые рекомендации по организации работы в информационном пространстве, чтобы уберечь себя и своих близких от интернет-преступников.
1. Перед началом работы необходимо четко сформулировать цель и вопрос поиска информации.
2. Желательно выработать оптимальный алгоритм поиска информации в сети Интернет, что значительно сократит время и силы, затраченные на поиск.
3. Заранее установить временный лимит (2-3 часа) работы в информационном пространстве (просмотр телепередачи, чтение, Интернет).
4. Во время работы необходимо делать перерыв на 5-10 минут для снятия физического напряжения и зрительной нагрузки.
5. Необходимо знать 3-4 упражнения для снятия зрительного напряжения и физической усталости.
6. Работать в хорошо проветренном помещении, при оптимальном освещении и в удобной позе.
7. Не стоит легкомысленно обращаться со спам-письмами и заходить на небезопасные веб-сайты. Для интернет-преступников вы становитесь лёгкой добычей.
9. Не используйте в логине или пароле персональные данные.
10. Все это позволяет интернет-преступникам получить данные доступа к аккаунтам электронной почты, а также инфицировать домашние ПК для включения их в бот-сеть или для похищения банковских данных родителей.
11. Создайте собственный профиль на компьютере, чтобы обезопасить информацию, хранящуюся на нем.
12. Не забывайте, что факты, о которых вы узнаете в Интернете, нужно очень хорошо проверить, если выбудете использовать их в своей домашней работе. Целесообразно сравнить три источника информации, прежде чем решить, каким источникам можно доверять.
13. О достоверности информации, помещенной на сайте можно судить по самому сайту, узнав об авторах сайта.
14. Размещая информацию о себе, своих близких и знакомых на страницах социальных сетей, спросите предварительно разрешение у тех, о ком будет эта информация.
15. Не следует размещать на страницах веб-сайтов свои фотографии и фотографии своих близких и знакомых, за которые вам потом может быть стыдно.
16. Соблюдайте правила этики при общении в Интернете: грубость провоцирует других на такое же поведение.
17. Используя в своей работе материал, взятый из информационного источника (книга, периодическая печать, Интернет), следует указать этот источник информации или сделать на него ссылку, если материал был вами переработан.
ТОГБОУ "Школа – интернат для обучающихся с ограниченными возможностями здоровья"
Доклад
"Информационная безопасность в образовательной организации"
Подготовила Бритикова Л. Г.
Тамбов 2016г.
