Меры защиты - это меры, вводимые руководством, для обеспечения безопасности информации - административные руководящие документы(приказы, положения, инструкции), аппаратные устройства или дополнительные программы - основной целью которых является предотвратить преступления и злоупотребления, не позволив им произойти. Меры защиты могут также выполнять функцию ограничения, уменьшая размер ущерба от преступления.
Информационная безопасность.
То, что в 60-е годы называлось компьютерной безопасностью, а в 70-е - безопасностью данных, сейчас более правильно именуется информационной безопасностью. Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных.
Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.
Информационная безопасность дает гарантию того, что достигаются следующие цели:
Некоторые технологии по защите системы и обеспечению учета всех событий могут быть встроены в сам компьютер. Другие могут быть встроены в программы. Некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах. Принятие решения о выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности.
Что же такое критические данные? Под критическими данными будем понимать данные, которые требуют защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение, или разрушение данных. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи, персональные данные и другие данные, защита которых требуется указами Президента Украины, законами Украины и другими подзаконными актами.
Признаки информационной уязвимости систем.
Следующие признаки могут свидетельствовать о наличии уязвимых мест в информационной безопасности.
Не разработано положений о защите информации или они не соблюдаются. Не назначен ответственный за информационную безопасность.
Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном экране при их вводе.
Удаленные терминалы и микрокомпьютеры оставляются без присмотра в рабочие и нерабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.
Не существует ограничений на доступ к информации, или на характер ее использования. Все пользователи имеют доступ ко всей информации и могут использовать все функции системы.
Не ведется системных журналов, и не хранится информация о том, кто и для чего использует компьютер.
Изменения в программы могут вноситься без их предварительного утверждения руководством.
Отсутствует документация или она не позволяет делать следующее: понимать получаемые отчеты и формулы, по которым получаются результаты, модифицировать программы, готовить данные для ввода, исправлять ошибки, производить оценку мер защиты, и понимать сами данные - их источники, формат хранения, взаимосвязи между ними.
Делаются многочисленные попытки войти в систему с неправильными паролями.
Вводимые данные не проверяются на корректность и точность, или при их проверке много данных отвергается из-за ошибок в них, требуется сделать много исправлений в данных, не делается записей в журналах об отвергнутых транзакциях.
Имеют место выходы из строя системы, приносящие большие убытки
Не производился анализ информации, обрабатываемой в компьютере, с целью определения необходимого для нее уровня безопасности
Мало внимания уделяется информационной безопасности. Хотя политика безопасности и существует, большинство людей считает, что на самом деле она не нужна.
Уголовная ответственность за информационные преступления.
На сегодняшний день преступления в информационной сфере попадают под действие Криминального кодекса Украины на основании Закона Украины «О внесении изменений и дополнений в Уголовный кодекс Украины и Уголовно-процессуальной кодекс Украины», в котором, в частности сказано:
В связи с принятием Закона Украины "О защите информации в автоматизированных системах" Верховная Рада Украины постановляет:
I. Дополнить Уголовный кодекс Украины статьей 198-1 такого содержания:
"Статья 198-1. Нарушение работы автоматизированных систем
Умышленное вмешательство в работу автоматизированных систем, которое
привело к искажению или уничтожению информации или носителей информации, распространение программных или технических средств, предназначенных для незаконного проникновения в автоматизированные системы и
способных обусловить искажение или уничтожение информации или носителей информации, - наказывается
- лишением свободы на срок до двух лет или
- исправительными работами на тот же срок, или штрафом в размере от ста
до двухсот минимальных размеров заработной платы.
Те же действия, если ими вызван вред в больших размерах, или содеянные повторно или по предварительному сговору группой личностей, - наказываются лишением свободы на срок от двух до пяти лет".
Заключение.
Использование технологий, которые входят в понятие информационная система - залог успешной деятельности любой организации и ее управленческого звена.
Информационные процессы и деятельность, связанная с ними, должны регламентироваться стандартизтрованными нормами. Для упрощения обмена информацией, защиты коммерческой тайны и авторских прав, статистического анализа, планирования и эффективного управления по всем иерерхическим уровням глобальной информационной системы страны необходимо законодательное регулирование информационной деятельности организаций.
Что касается защиты информации, то хотя рассмотренные нами средства не всегда надежны, т.к. на сегодняшний день быстрыми темпами развивается не только техника (в нашем случае компьютерная), постоянно совершенствуется не только сама информация, но и методы, позволяющие эту информацию добывать, этими средствами не следует пренебрегать. Наш век часто называют информационной эпохой и он несет с собой огромные возможности, связанные с экономическим ростом, технологическими новшествами. На данный момент обладание электронными данными, которые становятся наибольшей ценностью информационной эры, возлагает на своих владельцев права и обязанности по контролю их использования. Файлы и сообщения, хранимые на дисках и пересылаемые по каналам связи, имеют иногда большую ценность, чем сами компьютеры, диски. Поэтому перспективы информационного века могут быть реализованы только в том случае, если отдельные лица, предприятия и другие подразделения, владеющие информацией, которая все чаще имеет конфиденциальный характер или является особо важной, смогут соответствующим образом защитить свою собственность от всевозможных угроз, выбрать такой уровень защиты, который будет соответствовать их требованиям безопасности, основанным на анализе степени угрозы и ценности хранимой собственности.