Научная статья на тему 'Методы обеспечения информационной безопасности'

Методы обеспечения информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1379
313
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИЯ / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ИНФОРМАЦИОННЫЙ РЕСУРС / ОРГАНИЗАЦИОННЫЕ И ИНЖЕНЕРНО-ТЕХНИЧЕСКИЕ МЕТОДЫ / ЗАЩИТА ИНФОРМАЦИИ / УГРОЗЫ / АТАКИ / КОНТРОЛЬ / ДОСТУП / БИОМЕТРИЯ / АУТЕНТИФИКАЦИЯ / INFORMATION / INFORMATION SECURITY / INFORMATION RESOURCE / ORGANIZATIONAL AND ENGINEERING METHODS / INFORMATION PROTECTION / THREATS / ATTACKS / CONTROL / ACCESS / BIOMETRICS / AUTHENTICATION

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Ребрий Андрей Юрьевич

Надежную защиту информационных ресурсов на сегодняшний день невозможно обеспечить без внедрения современных технологий обеспечения информационной безопасности. В последнее время все более часто имеют место кражи информационных носителей, которые содержат информацию конфиденциального характера, действие хакерских сообществ и иных преступных групп. Поэтому все чаще принимаются организационные и инженерно-технические и правовые методы, которые направлены на повышение качества систем защиты информации. Цель данной статьи раскрыть и раскрыть понятие информации и информационной безопасности, охарактеризовать виды угроз информационной безопасности и проанализировать основные методы обеспечения информационной безопасности.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Ребрий Андрей Юрьевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

METHODS FOR ENSURING INFORMATION SECURITY

Reliable protection of information resources is currently impossible to ensure without the introduction of modern information security technologies. Recently, the theft of information carriers that contain confidential information, the actions of hacker communities and other criminal groups have become more common. Therefore, organizational, engineering, and legal methods are increasingly being adopted to improve the quality of information security systems. The purpose of this article is to reveal and disclose the concept of information and information security, to characterize the types of threats to information security and to analyze the main methods of ensuring information security.

Текст научной работы на тему «Методы обеспечения информационной безопасности»

Методы обеспечения информационной безопасности Methods for ensuring information security

Ребрий Андрей Юрьевич,

«Московский государственный лингвистический университет»

Rebrii Andrei Iurevich Аннотация. Надежную защиту информационных ресурсов на сегодняшний день невозможно обеспечить без внедрения современных технологий обеспечения информационной безопасности. В последнее время все более часто имеют место кражи информационных носителей, которые содержат информацию конфиденциального характера, действие хакерских сообществ и иных преступных групп.

Поэтому все чаще принимаются организационные и инженерно-технические и правовые методы, которые направлены на повышение качества систем защиты информации.

Цель данной статьи - раскрыть и раскрыть понятие информации и информационной безопасности, охарактеризовать виды угроз информационной безопасности и проанализировать основные методы обеспечения информационной безопасности. Summary. Reliable protection of information resources is currently impossible to ensure without the introduction of modern information security technologies. Recently, the theft of information carriers that contain confidential information, the actions of hacker communities and other criminal groups have become more common.

Therefore, organizational, engineering, and legal methods are increasingly being adopted to improve the quality of information security systems.

The purpose of this article is to reveal and disclose the concept of information and information security, to characterize the types of threats to information security and to analyze the main methods of ensuring information security.

Ключевые слова: информация, информационная безопасность, информационный ресурс, организационные и инженерно-технические методы, защита информации, угрозы, атаки, контроль, доступ, биометрия, аутентификация.

Keywords: information, information security, information resource, organizational and engineering methods, information protection, threats, attacks, control, access, biometrics, authentication.

Информация - это знания о предметах, фактах, идеях и т.д., которыми могут обмениваться люди в рамках конкретного контекста. Как и любой другой корпоративный актив, информационные активы организации имеют финансовую ценность. Это значение актива увеличивается в прямой зависимости от количества людей, которые могут использовать эту информацию [3].

Благодаря развитию информационных и коммуникационных технологий и расширению доступа к Интернету организации становятся уязвимыми перед различными типами угроз. Фактически, их информация подвергается воздействию компьютерных атак, в том числе на критическую информационную инфраструктуру [6].

Угрозы исходят из разных источников, таких как действия сотрудников или атаки хакеров. Финансовые потери, вызванные нарушениями безопасности, как правило, не могут быть точно определены, поскольку значительное количество потерь связано с незначительными инцидентами безопасности, вызвавшими недооценку угрозы безопасности информационной системы, а также различными преступными посягательства на информацию, информационные сети (системы) и информационную инфраструктуру [9-28].

Механизмы обеспечения информационной безопасности на сегодняшний день являются наиболее актуальными для субъектов бизнеса, поскольку от них напрямую зависят финансовые затраты на обеспечение информбезопасности [7].

Таким образом, руководители должны знать угрозы, которые влияют на их активы, и определять их влияние, чтобы определить, что им нужно сделать, чтобы предотвратить атаки, выбирая соответствующие контрмеры. Уязвимости состоят из слабых мест в системе, которые могут быть использованы злоумышленниками, что может привести к опасному воздействию.

Когда в системе существуют уязвимости, угроза может проявляться с помощью агента угроз, использующего определенный метод проникновения, чтобы вызвать нежелательные эффекты. Потери финансовых рисков для организаций могут быть значительными.

Согласно 11-му Ежегодному обзору компьютерной преступности и безопасности, 74,3 % общих потерь вызваны: вирусами, несанкционированным доступом, кражей ноутбуков или мобильных аппаратных средств и хищением запатентованной информации.

Действительно, исследование, проведенное McCue, указывает, что 70% мошеннических операций совершаются инсайдерами, а не внешними преступниками, но 90 % средств контроля безопасности ориентированы на внешние угрозы [2].

Чтобы найти эти угрозы, источники угроз и конкретные области системы, которые могут быть затронуты, должны быть известны, поэтому активы информационной безопасности могут быть защищены заранее. Таким образом, эффективная классификация безопасности необходима для понимания и выявления угроз и их потенциальных воздействий.

На самом деле угрозы безопасности можно наблюдать и классифицировать по-разному, рассматривая разные критерии, такие как источник, агенты и мотивации.

Классификация угроз помогает выявлять и организовывать угрозы безопасности в классах для оценки их воздействия и разрабатывать стратегии предотвращения или смягчения воздействия угроз на систему.

Специалисты области информационной безопасности предлагают разные определения информационной безопасности вот некоторые из них: сохранение конфиденциальности, целостности и доступности информации.

В последние пять лет особенно набрали популярность следующие виды атак:

- эксплуатация уязвимостей;

- вредоносное программное обеспечение;

- фишинг;

- DOS и DDOS;

- социальная инженерия [5].

В компьютерной безопасности уязвимость — это слабость, которая позволяет злоумышленнику снизить уровень безопасности системы.

Уязвимость - это пересечение трех элементов: восприимчивость или недостаток системы, доступ злоумышленника к недостатку и способность злоумышленника использовать недостатки.

Чтобы использовать уязвимость, злоумышленник должен иметь хотя бы один применимый инструмент или метод, которые могут подключаться к слабости системы.

Управление уязвимостями — это циклическая практика выявления, классификации, исправления и смягчения уязвимостей. Эта практика обычно относится к уязвимостям программного обеспечения в вычислительных системах [8].

Использование уязвимости с тем же значением риска может привести к путанице. Риск связан с потенциалом значительной потери. Тогда есть уязвимости без риска: например, когда затронутый актив не имеет значения.

Уязвимость, связанная с одним или несколькими известными случаями работающих и полностью реализованных атак, классифицируется как уязвимость, которую можно использовать, — уязвимость, для которой существует эксплойт.

Ошибка безопасности (дефект безопасности) является более узкой концепцией: есть уязвимости, которые не связаны с программным обеспечением: уязвимости, связанные с оборудованием, сайтом, персоналом, являются уязвимостями, которые не являются ошибками безопасности программного обеспечения.

Выбор правильных элементов управления и их реализация первоначально помогут организации снизить риск информационной безопасности до приемлемых уровней. Выбор контроля должен следовать и должен основываться на оценке риска.

Элементы управления могут различаться по своему характеру, но в принципе они являются способами защиты конфиденциальности, целостности или доступности информации. ISO / IEC 27001: 2005 определил 133 элемента управления в разных областях, но это не является исчерпывающим [3].

Организации могут осуществлять дополнительные меры контроля в соответствии с требованиями организации.

Административный контроль (также называемый процедурным контролем) состоит из утвержденных письменных политик, процедур, стандартов и руководящих принципов.

Административный контроль формирует рамки для ведения бизнеса и управления людьми. Они информируют людей о том, как вести бизнес и как проводить ежедневные операции. В некоторых отраслях промышленности есть политики, процедуры, стандарты и руководящие принципы, которым необходимо следовать — такой пример -стандарт безопасности данных платежных карт (PCI DSS), требуемый Visa и MasterCard [4].

Другие примеры административного контроля включают политику корпоративной безопасности, политику паролей, политику найма и дисциплинарные меры.

Административный контроль служит основой для выбора и реализации логического и физического контроля. Логические и физические элементы управления - это проявления административного контроля. Административный контроль имеет первостепенное значение.

Логические средства управления (также называемые техническими средствами управления) используют ПО и данные для мониторинга и контроля доступа к

информационным и вычислительным системам. Например: пароли, сетевые и межсетевые экраны на основе хоста, сетевые системы обнаружения вторжений, списки управления доступом и шифрование данных - это логические элементы управления.

Важным логическим управлением, которое часто упускается из виду, является принцип наименьших привилегий. Принцип наименьших привилегий требует, чтобы индивидуальный, программный или системный процесс не предоставлял больше прав доступа, чем это необходимо для выполнения задачи.

Ярким примером несоблюдения принципа наименьших привилегий является вход в Windows в качестве пользовательского администратора для чтения электронной почты и просмотра веб-страниц. Нарушения этого принципа могут также возникать, когда человек собирает дополнительные права доступа с течением времени.

Это происходит, когда рабочие обязанности сотрудников меняются, или они продвигаются на новую должность или переводятся в другой отдел. Права доступа, требуемые их новыми обязанностями, часто добавляются к уже имеющимся привилегиям доступа, которые больше не могут быть необходимы или уместны.

Физический контроль наблюдает и контролирует средой рабочего места и вычислительные средства. Они также наблюдают и контролируют доступ к таким объектам и из них как например: двери, замки, отопление и кондиционирование воздуха, дымовая и пожарная сигнализация, системы пожаротушения, камеры, баррикады, ограждения, охранники, кабельные замки и т. д.. Разделение сети и рабочего места на функциональные зоны также является физическим контролем.

Важным физическим контролем, который часто упускается из вида, является разделение обязанностей [1]. Разделение обязанностей гарантирует, что человек не может выполнить одну важную задачу самостоятельно.

Например: работник, который подает заявку на возмещение, также не может санкционировать платеж или распечатать чек. Программист приложений также не должен быть администратором сервера или администратором базы данных — эти роли и обязанности должны быть отделены друг от друга.

Доступ к защищенной информации должен быть ограничен лицами, имеющими право доступа к информации. Также должны быть разрешены компьютерные программы, и во многих случаях компьютеры, которые обрабатывают информацию.

Это требует наличия механизмов для контроля доступа к защищенной информации. Усовершенствование механизмов контроля доступа должно быть в паритете с ценностью защищаемой информации - чем более чувствительной или ценной информацией, тем

сильнее должны быть механизмы контроля. Основа, на которой построены механизмы контроля доступа, начинается с идентификации и аутентификации.

Контроль доступа обычно рассматривается в три этапа: идентификация, аутентификация и авторизация [5].

Существует три различных типа информации, которые могут использоваться для аутентификации:

- что-то что вы вы знаете: такие вещи, как PIN-код, пароль или девичья фамилия вашей матери;

- что-то что у вас есть: водительское удостоверение или паспорт;

- биометрия, включая отпечатки пальцев и рук как показано на рисунке 1, голосовые отпечатки и сканирование сетчатки [2].

Рис.1. Биометрическая аутентификация

После того, как человек, программа или компьютер были успешно идентифицированы и аутентифицированы, необходимо определить, какие информационные ресурсы им разрешены для доступа и какие действия им разрешено выполнять (запускать, просматривать, создавать, удалять или изменять). Это называется авторизацией.

Авторизация доступа к информации и другим вычислительным услугам начинается с административных политик и процедур. Политики предписывают доступ к информации и вычислительным услугам, кем и при каких условиях.

Механизмы контроля доступа настроены для обеспечения соблюдения этих политик. Механизм управления доступом, предлагаемый системой, будет основываться на одном из трех подходов к управлению доступом или может быть получен из комбинации трех подходов.

Из рассмотренного становится, очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, ПО, персонал.

Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно- технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.

Список использованной литературы

1. Бирюков А.А. Информационная безопасность: защита и нападение[Текст]: учеб. пособие/ A.A. Бирюков, Москва: ДМК Пресс. 2018. - 474с.

2. Майкл Х. Дэвид, Л. Джон, В. 19 смертных грехов, угрожающих безопасности программ [Текст]: учеб. пособие / X. Майкл, Дэвид. Л, Джон. В, Москва: ДМК Пресс, 2016. - 228с.

3. Родичев Ю. Нормативная база и стандарты в области информационной безопасности [Текст]: учеб. пособие / Ю. Родчиев Санкт-Петербург: Питер, 2017. - 256с.

4. Управление уязвимостями [Электронный ресурс]. Режим доступа: http://security-microtest.ru/resheniya/information-security-management/vulnerability-management/, свободный (дата обращения: 28.05.2020).

5. Авторизация. Виды и способы аутентификация [Электронный ресурс]. -Режим доступа: http://life-prog.ru/view_programmer.php?id=159&page=16, свободный

(дата обращения: 28.05.2020).

6. Бегишев И.Р. Безопасность критической информационной инфраструктуры Российской Федерации // Безопасность бизнеса. 2019. № 1. С. 27-32.

7. Бегишев И.Р., Бикеев И.И. Преступления в сфере обращения цифровой информации. -Казань: Изд-во «Познание» Казанского инновационного университета, 2020. - 300 с.

8. Идентификация и аутентификация [Электронный ресурс]. Режим доступа: http://www.itsec.ru/articles2/Inf_security/id-i-aut/, свободный (дата обращения: 28.05.2020).

9. Бегишев И.Р. О некоторых способах совершения противоправных деяний в современных информационно-телекоммуникационных системах обращения цифровой информации // Информация и безопасность. - 2009. - № 4. - С. 607-610.

10. Бегишев И.Р. Уголовная ответственность за приобретение или сбыт цифровой и документированной информации, заведомо добытой преступным путем // Актуальные проблемы экономики и права. - 2010. - № 1. - С. 123-126.

11. Бегишев И.Р. Проблемы противодействия преступным посягательствам на информационные системы критически важных и потенциально опасных объектов // Информационная безопасность регионов. - 2010. - № 1. - С. 9-13.

12. Бегишев И.Р. Проблемы ответственности за незаконные действия с информацией, заведомо добытой преступным путем // Безопасность информационных технологий. -2010. - № 1. - С. 43-44.

13. Бегишев И.Р. Преступления в сфере обращения цифровой информации: состояние, пробелы и пути их решения // Информационное право. - 2010. - № 2. - С. 18-21.

14. Бегишев И.Р. Изготовление, сбыт и приобретение специальных технических средств, предназначенных для нарушения систем защиты цифровой информации: правовой аспект // Информация и безопасность. - 2010. - № 2. - С. 255-258.

15. Бегишев И.Р. Информационное оружие как средство совершения преступлений // Информационное право. - 2010. - № 4. - С. 23-25.

16. Бегишев И.Р. Современное состояние преступлений в сфере обращения цифровой информации // Информация и безопасность. - 2010. - № 4. - С. 567-572.

17. Бегишев И.Р. Проблемы уголовной ответственности за обращение со специальными техническими средствами, предназначенными для негласного получения информации // Следователь. - 2010. - № 5. - С. 2-4.

18. Бегишев И.Р. Уголовно-правовые аспекты кибертерроризма // Правовые вопросы национальной безопасности. - 2010. - № 5-6. - С. 34-37.

19. Бегишев И.Р. Ответственность за нарушение работы информационно-телекоммуникационных устройств, их систем и сетей // Безопасность информационных технологий. - 2011. - № 1. - С. 73-75.

20. Бегишев И.Р. Перехват охраняемой законом цифровой информации: уголовно-правовые аспекты // Информационная безопасность регионов. - 2011. - № 1. - С. 78-81.

21. Бегишев И.Р. Цифровая информация: понятие и сущность как предмета преступления по российскому уголовному праву // Академический юридический журнал. - 2011. - № 2. - С. 47-55.

22. Бегишев И.Р. Меры предупреждения преступлений в сфере обращения цифровой информации // Информация и безопасность. - 2011. - № 3. - С. 433-438.

23. Бегишев И.Р. Правовые аспекты безопасности информационного общества // Информационное общество. - 2011. - № 4. - С. 54-59.

24. Бегишев И.Р. Создание, использование и распространение вредоносных компьютерных программ // Проблемы права. - 2012. - № 3. - С. 218-221.

25. Бегишев И.Р. Некоторые вопросы противодействия мошенничеству в сфере компьютерной информации // Вестник Казанского юридического института МВД России. - 2016. - № 3. - С. 112-117.

26. Бегишев И.Р. Синдром безопасной атаки: юридико-психологический феномен // Юридическая психология. - 2018. - № 2. - С. 27-30.

27. Хисамова З.И., Бегишев И.Р. Правовое регулирование искусственного интеллекта // Baikal Research Journal. - 2019. - Т. 10, № 2.

28. Бегишев И.Р., Хисамова З.И., Сравнительно-правовой анализ законодательства Великобритании и России в области противодействия преступлениям в цифровой сфере // Baikal Research Journal. - 2019. - Т. 10, № 3.

References

1. Biryukov A. A. Information security: protection and attack [Text]: study. manual / A. A. Biryukov, Moscow: DMK Press. 2018. — 474c.

2. Michael H. David, L. John, V. 19 deadly sins that threaten the security of programs [Text]: studies. manual / X. Michael, David. L, John. in Moscow: DMK Press, 2016. — 228s.

3. Rodichev Yu. Normative base and standards in the field of information security [Text]: textbook. manual / Yu. Rodchiev Saint Petersburg: Peter, 2017. — 256s.

4. Managing vulnerability [Electronic resource]. Access mode: http://security-microtest.ru/resheniya/information-security-management/vulnerability-management/, free (accessed: 28.05.2020).

5. Authorization. Types and methods of authentication [Electronic resource]. — Access mode: http://life-prog.ru/view_programmer.php?id=159&page=16, free (accessed: 28.05.2020).

6. Begishev I. R. Security of critical information infrastructure of the Russian Federation / / business Security. 2019. no. 1. Pp. 27-32.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

7. Begishev I. R., Bikeev I. I. Crimes in the sphere of digital information circulation. — Kazan: publishing house «Cognition» of Kazan innovation University, 2020. — 300 p.

8. Identification and authentication [Electronic resource]. Access mode: http://www.itsec.ru/articles2/Inf_security/id-i-aut/, free (accessed: 28.05.2020).

9. Begishev I. R. about some ways of committing illegal acts in modern information and telecommunications systems of digital information circulation / / Information and security. —

2009. — no. 4. — Pp. 607-610.

10. Begishev I. R. Criminal liability for the acquisition or sale of digital and documented information, knowingly obtained by criminal means // Actual problems of Economics and law,

2010, no. 1, Pp. 123-126.

11. Begishev I. R. Problems of counteraction to criminal encroachments on information systems of critical and potentially dangerous objects / / Information security of regions. — 2010. — no. 1. — P. 9-13.

12. Begishev I. R. Problems of responsibility for illegal actions with information, knowingly obtained by criminal means / / Security of information technologies. — 2010. — no. 1. — P. 4344.

13. Begishev I. R. Crimes in the sphere of digital information circulation: status, gaps and ways to solve them / / Information law. — 2010. — № 2. — P. 18-21.

14. Begishev I. R. Production, sale and acquisition of special technical means intended for violation of digital information protection systems: legal aspect / / Information and security. — 2010. — no. 2. — Pp. 255-258.

15. Begishev I. R. Information weapons as a means of committing crimes / / Information law.

— 2010. — № 4. — P. 23-25.

16. Begishev I. R. Modern state of crimes in the sphere of digital information circulation / / Information and security, 2010, no. 4, Pp. 567-572.

17. Begishev I. R. Problems of criminal liability for handling special technical means intended for secret receipt of information / / Investigator. — 2010. — No. 5. — P. 2-4.

18. Begishev I. R. Criminal and legal aspects of cyberterrorism // Legal issues of national security, 2010, no. 5-6, Pp. 34-37.

19. Begishev I. R. Responsibility for the violation of information and telecommunications devices, their systems and networks / / Security of information technologies. — 2011. — no. 1.

— Pp. 73-75.

20. Begishev I. R. Interception of digital information protected by law: criminal and legal aspects / / Information security of regions. — 2011. — no. 1. — Pp. 78-81.

21. Begishev I. R. Digital information: concept and essence as the subject of a crime under Russian criminal law // Academic journal of law, 2011, no. 2, Pp. 47-55.

22. Begishev I. R. Measures of crime prevention in the sphere of digital information circulation / / Information and security, 2011, no. 3, Pp. 433-438.

23. Begishev I. R. Legal aspects of information society security / / Information society. — 2011. — no. 4. — Pp. 54-59.

24. Begishev I. R. Creation, use and distribution of malicious computer programs // Problems of law, 2012, no. 3, Pp. 218-221.

25. Begishev I. R. Some issues of countering fraud in the field of computer information // Bulletin of the Kazan law Institute of the Ministry of internal Affairs of Russia, 2016, no. 3, Pp. 112-117.

26. Begishev I. R. the safe attack Syndrome: a legal and psychological phenomenon / / Legal psychology. — 2018. — № 2. — Pp. 27-30.

27. hisamova Z. I., Begishev I. R. Legal regulation of artificial intelligence / / Baikal Research Journal. — 2019. — Vol. 10, no. 2.

28. Begishev I. R., Khisamova Z. I., Comparative legal analysis of the legislation of great Britain and Russia in the field of countering crimes in the digital sphere / / Baikal Research Journal. — 2019. — Vol. 10, no. 3.

i Надоели баннеры? Вы всегда можете отключить рекламу.