Информационная безопасность

Тема 5. Информационные технологии в библиотечном деле. Лекция 11. Информационная безопасность. План лекции. 1.Виды информации. 2.Виды угроз безопасности. 3. Причины нарушений информационной безопасности 4.Способы и средства защиты информации. 5. Информационно-психологическая безопасность личности. 6. Способы психологической защиты. Контрольные вопросы для самопроверки. 1. Назовите виды информации в зависимости от формы ее представления. 2. Какие еще Вы знаете виды информации? 3. Что может быть угрозой информации? 4. Какие способы защиты информации Вы знаете? 5. Какой способ психологической защиты Вы применяете?   1.Виды информации. Под информацией, приментельно к задаче ее защиты, понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. В зависимости от формы представления информация (рис.1) может быть речевой, телекоммуникационной и документированной. Речевая информация возникает в ходе ведения в помещениях разговоров, работы систем связи, звукоусиления и звуковоспроизведения. Телекоммуникационная информация циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче. К документированной информации относится информация, представленная на материальных носителях вместе с идентифицирующими реквизитами. Информация делится на открытую и ограниченного доступа, к которой относят государственную тайну и конфиденциальную информацию. Рис. 1. Виды информации Проблема защиты информации (рис.2) актуальна для любой организации, фирмы и частного пользователя ПК, обладающих различного рода конфиденциальной информацией, доступ к которой должен быть строго ограничен. Проблему защиты информации можно рассматривать как совокупность тесно связанных между собой вопросов в областях права, организации управления, разработки технических средств, программирования и математики. Безопасностью информации называется состояние защищенности информации, которая обрабатывается средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз. Целостностью информации называется способность средств вычислительной техники или автоматизированной системы к неизменности вида и качества информации в условиях случайного искажения или угрозы разрушения. В соответствии с документом Гостехкомиссии РФ «Защита от несанкционированного доступа к информации. Термины и определения» угрозы безопасности и целостности информации заключаются в потенциально возможных воздействиях на вычислительную систему, которые прямо или косвенно могут повредить безопасности и целостности информации, обрабатываемой системой. Ущерб целостности информации – это изменение информации, приводящее к нарушению ее вида, качества или содержания. Ущерб безопасности информации – это нарушение состояния защищенности информации, содержащиеся в вычислительной системе, путем осуществления несанкционированного доступа к объектам данной системы. Под защитой информации понимается комплекс мероприятий, методов и средств, предназначенных для решения следующих задач: 1)       проверка целостности информации 2)       исключение несанкционированного доступа пользователей или программ к защищаемым программа и данным 3)       исключение несанкционированного использования хранящихся в ЭВМ программ (защита программ от копирования).  Несанкционированным доступом к информации называется доступ, который нарушает правила разграничения доступа с использованием штатных средств, предоставляемых вычислительной системой. Политика безопасности – совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз. Модель безопасности – формальное представление политики безопасности. Произвольное управление доступом -  управление доступом, основанное на совокупности правил представления доступа определенных на множестве атрибутов безопасности субъектов и объектов. Ядро безопасности – совокупность аппаратных, программных и специальных компонентов вычислительной системы, реализующих функции защиты и обеспечения безопасности. Идентификация – процесс распознавания сущностей путем присвоения им уникальных меток (идентификаторов) Аутентификация – проверка подлинности идентификаторов сущности с помощью различных (приемно-криптографических) методов. Адекватность – показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствие поставленным задачам. Квалификация уровня безопасности – анализ информационной системы с целью определения уровня ее защищенности и соответствия требованиям безопасности на основе критериев стандарта безопасности. Рис. 2. Концептуальная модель безопасности информации 2.Виды угроз безопасности. Под угрозой безопасности информационных систем  понимаются воздействия на систему, которые прямо или косвенно могут нанести ущерб ее безопасности. Угрозы информационной безопасности могут быть классифицированы по различным признакам: • По аспекту информационной безопасности, на который направлены угрозы: ◦ Угрозы конфиденциальности (неправомерный доступ к информации). ◦ Угрозы целостности (неправомерное изменение данных). ◦ Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы). • По степени преднамеренности действий: ◦ Случайные (неумышленные действия, например, сбои в работе систем, стихийные бедствия). ◦ Преднамеренные (умышленные действия, например, шпионаж и диверсии). • По расположению источника угроз: ◦ Внутренние (источники угроз располагаются внутри системы). ◦ Внешние (источники угроз находятся вне системы). • По размерам наносимого ущерба: ◦ Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба). ◦ Локальные (причинение вреда отдельным частям объекта безопасности). ◦ Частные (причинение вреда отдельным свойствам элементов объекта безопасности). • По степени воздействия на информационную систему: ◦ Пассивные (структура и содержание системы не изменяются). ◦ Активные (структура и содержание системы подвергается изменениям). На основании перечисленных аспектов уязвимости информации можно выделить три основных направления ее защиты: 1.   Совершенствование организационных и организационно-технических мероприятий технологии обработки информации в ЭВМ; 2.   Блокирование несанкционированного доступа к хранимой и обрабатываемой ЭВМ информации с помощью программных средств; 3.   Блокирование несанкционированного получения информации с помощью специализированных технических средств. 3.Причины нарушений информационной безопасности.   На современном этапе предпосылками сложившегося кризисной ситуации с обеспечением безопасности информационных систем являются: 1)   современные компьютеры за последние годы приобрели большую вычислительную мощность, но одновременно с этим стали гораздо проще в эксплуатации; 2)   прогресс в области аппаратных средств сочетается с еще более бурным развитием программного обеспечения; 3)  развитие гибких технологий обработки информации привело к тому, что практически исчезает грань между обрабатываемыми данными и исполняемыми программами за счет появления и распространения виртуальных машин; 4)  несоответствие бурного развития средств обработки информации и медленной проработки теорий информационной безопасности привело к появлению существующего разрыва между теоретическими моделями безопасности и реальными категориями современных информационных технологий; 5)   необходимость создания глобального информационного пространства и обеспечение безопасности протекающих в нем процессов потребовало разработки международных стандартов, следование которым может обеспечить необходимый уровень гарантий обеспечения защиты. Задачи, требующие немедленного эффективного решения: 1.  обеспечение безопасности новых типов информационных ресурсов; 2.  организация доверенного взаимодействия сторон в информационном пространстве; 3.  защита от автоматических средств нападения; 4.  интеграция защиты информации в процессе автоматизации ее обработки в качестве обязательного элемента. 4.Способы и средства защиты информации Под защитой информации в компьютерных системах принято понимать создание и поддержание  организованной совместимости средств, способов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования информации, хранимой и обрабатываемой в электронном виде(рис.3).   Рис. 3. Классификация способов и средств защиты информации.     Препятствия предусматривают создание преград физически недопускающих к информации Управление доступом – способ защиты информации за счет регулирования, использования всех ресурсов систем (технических, программных, временных и т.д.) Маскировка, как правило, осуществляется путем ее шифрования. Регламентация заключается в реализации системы организационных мероприятий, определяющих все стороны обработки информации. Принуждение заставляет соблюдать определенные правила работы с информацией под угрозой материальной, административной или уголовной ответственности. Побуждение  основано на использовании морально-этических категорий (авторитет, коллективная ответственность).   К физическим средствам защиты относятся: - механические преграды, турникеты, специальное остекление; - сейфы, шкафы; - замки с кодовым набором; - датчики разных типов; - устройства маркировки; - устройства идентификации по физическим признакам; - система охранного телевидения и охранной сигнализации.   Под аппаратными средствами понимают технические устройства, встраиваемые непосредственно в систему обработки информации: - аппаратное средство защиты информации - специализированная сеть хранения - дисковые хранилища - ленточные накопители - средства защиты информации от несанкционированного доступа.   Программные средства защиты данных делятся на несколько групп по целевому назначению: - программы идентификации пользователей; - программы определения прав пользователей; - программы  регистрации работы технических средств и пользователей; - программы уничтожения информации после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации; - криптографические программы (программы шифрования данных). 5.Информационно-психологическая безопасность личности.   По данным Всемирной организации здравоохранения, количество людей, нуждающихся в психологической или психиатрической помощи, сейчас растет быстрее, чем число страдающих сердечно-сосудистыми и онкологическими заболеваниями.    Во время психологических консультаций пациентов, обратившихся за помощью в связи с различными проявлениями душевного неблагополучия (неврозы, депрессии, страхи, фобии и пр.), выясняется, что их причиной часто является...информация.    Средства массовой информации - телевидение, радио, Интернет, многочисленные печатные издания - ежедневно обрушивают на нас лавину самой различной информации, интересной, познавательной и... негативной, внушающей порой страх за нашу жизнь и жизнь наших близких. Не каждый человек может с этим справиться.    Источники опасности. В современном мире на первом месте среди источников информации находится телевидение, которое обладает неограниченными возможностями информационного воздействия. Зрительный (визуальный) канал является ведущим каналом получения информации из внешнего мира, более 90% информации получаем мы с его помощью. Десятки европейских, в том числе и русскоязычных, телевизионных каналов и радиостанций в своих выпусках новостей в первую очередь извещают нас о новых человеческих трагедиях и гибели десятков, сотен, а то и тысяч людей, связанных с природными катаклизмами, терактами, техногенными катастрофами и авариями. В многочисленных сериалах и кинофильмах нам показывают ужасные сцены убийства, насилия и жестокости. Политические комментаторы постоянно делают мрачные прогнозы на будущее. Журналисты смакуют жуткие сенсационные подробности различных преступлений.    Никто не спорит, что появление компьютера – одно из важнейших достижений ХХ века. Современные компьютерные технологии позволяют знакомиться с мировыми культурными ценностями, пользоваться электронной почтой, получать разнообразные интересующие человека сведения. Компьютер стал в нашей жизни необходимым инструментом получения информации. Но надо научиться правильно пользоваться этим инструментом, чтобы он приносил благо, а не вред. Возникла серьезная проблема влияния компьютеризации на психику человека, на его душевную организацию. Психологи отмечают серьезные изменения в познавательной и коммуникативной сферах личности человека, чья деятельность связана с использованием компьютера. Человек часто не в состоянии проверить достоверность получаемой информации, увлекаясь «знаковой информацией», он теряет т.н. «смысловую чувствительность», у него появляется безучастность к происходящему в мире. Психологи и психиатры всерьез обеспокоены появлением интернет-зависимости, уводящей личность в виртуальный мир, когда человек страдает маниакальным стремлением часами бродить по киберпространству, забывая о сне и еде. Особенно их волнует чрезмерное увлечение компьютерными играми - компьютерная игромания, увлечение общением через Интернет – чатомания, от которых нередко трудно избавиться.    Негативную информацию человек получает не только через телевидение или Интернет. На концертах беснующихся поп-звезд и на дискотеках на молодежную, как правило, публику обрушиваются сверхдопустимые для слухового восприятия децибелы, в которых зачастую, кроме ритма и грохота, нет вообще никакой информации...    Общаясь с другими людьми, человек получает также не всегда приятную для него информацию. По каналу ОБС - «одна баба сказала» часто распространяются различные сплетни и слухи(рис.4), волнующие получателя информации. Наши встречи со знакомыми не всегда обходятся без рассказов о болезнях и других неприятностях, произошедших с их родными и знакомыми... Бесконечны потоки негативной информации, от которых многие не знают, как защититься.     Современные информационные технологии, широко используемые СМИ, оказывают на человека воздействие, имеющее цель изменить его потребности, взгляды, социальную ориентацию в интересах тех, кто оплачивает эти средства массовой информации, власть, политические силы, коммерческие структуры и пр. При таком информационном воздействии происходит деформация психики человека, затрагивающая не только сферу его сознания, но и область бессознательного. Личность постепенно теряет свою индивидуальность, происходит ее зомбирование, она становится легко управляемой. Изменяются критерии добра и зла. Жестокость и насилие становятся привычными атрибутами жизни. Исчезают такие присущие человеку качества, как сочувствие, сострадание, сопереживание, терпимость. В конечном счете, всё это приводит к тому, что возникает бездуховность, появляется стремление обеспечивать только свое биологическое существование, жить по принципу - «моя хата с краю», пассивность становится нормой жизни. Поэтому неслучайно перед человечеством встала острая проблема обеспечения его информационно-психологической безопасности.   Информационно-психологическая безопасность личности – это определенная защищенность сознания и бессознательной сферы психики от вредных информационных воздействий, способных против воли и желания человека изменять его психологические характеристики и поведение. Как и какими средствами ее можно обеспечить?    Люди подвержены информационному воздействию по-разному. Это зависит от возраста, индивидуально-психологических особенностей личности, жизненного опыта. Часто СМИ при информационно-психологическом воздействии на человека используют не метод убеждения личности, при котором происходит активное осмысливание получаемой информации, и ее принятие или неприятие в зависимости от приводимых аргументов, а метод внушения, при котором информация воспринимается человеком пассивно, при этом она не осмысливается, не перерабатывается.    Существуют различные приемы и техники внушения, позволяющие нужной информации проникать в глубины психики (в область бессознательного), минуя защитные барьеры сознания (известный «эффект 25-го кадра», например). Внушению в большей или меньшей мере поддаются все люди, но если человеку присущи такие личностные качества как безответственность, робость, доверчивость, тревожность, мечтательность, суеверность, религиозность, склонность к подражанию, подверженность влиянию мнения группы, толпы и т.п., он становится более внушаемым. Кроме того, физическое напряжение, недосыпание, утомление, сильное эмоциональное возбуждение, ощущение невостребованности, ненужности, оторванности, скука усиливают вероятность внушения. Восприимчивость к внушению со стороны СМИ снижается по мере приобретения жизненного опыта и научных знаний.   6. Способы психологической защиты. Для обеспечения информационно-психологической безопасности личности можно рекомендовать различные способы психологической защиты. Они позволяют предотвратить или нейтрализовать негативное воздействие информации в различных ситуациях, например, масс-коммуникационных (получение информации через средства массовой коммуникации - СМК или СМИ), контакт-коммуникационных (получение информации во время массовых зрелищных мероприятий, на митингах, собраниях и пр.) и межличностных (получение информации при общении с людьми, во время бесед, встреч и пр.). Способ защиты 1-й: «Уход» - увеличение дистанции, прерывание контакта, выход за пределы досягаемости информационного воздействия. Действия в различных информационных ситуациях могут быть такими: • отключение определенных каналов СМИ (раздражающего канала телевидения, выход из Интернета и пр.), отказ от просмотра (прослушивания) конкретных теле-радиопрограмм; • отказ от чтения некоторых газет, статей, рубрик и пр.; • уход, под различными предлогомами, с массовых зрелищных мероприятий: театра, концертного зала, кинотеатра и пр., митингов, собраний и др.; • смена неприятной темы беседы, стремление не обострять межличностные отношения во время беседы (обход «скользких тем», «острых углов» и пр.), уклонение от встреч с теми, кто является источником неприятных переживаний, прерывание под различными предлогами встреч, бесед. В некоторых случаях защита может выразиться в более резких формах – «изгнании» или «игнорировании».    При использовании способа «изгнание» средство или источник негативного информационного воздействия изгоняется (или вытесняется) из информационной среды (отказ от пользования телевизором или компьютером, отказ посещать театральные постановки или концерты и пр.).    «Игнорирование» предполагает невосприятие информации, которая затрудняет или препятствует определенной деятельности человека, может спровоцировать конфликт, вызвать негативные эмоции.    Способ защиты 2-й: «Блокировка» - контроль информационного воздействия, выставление психологических барьеров, ограждение психики от внешнего негативного информационного воздействия. Действия, выполняемые при «блокировке»: • критическое восприятие информации; • эмоциональное отчуждение (восприятие негативной информации «без эмоций»); • увеличение межличностного пространства – «зоны общения» во время беседы; • использование «психологических барьеров» (принижение источника информации, внутреннее осмеяние, развенчание авторитета, несерьезное восприятие информации, недоверие, настороженность, невнимательность, отвлечение и переключение внимания на другие объекты, не связанные с содержанием информационного воздействия и пр.).   Способ защиты 3-й: «Управление» - контроль процесса информационного воздействия, влияние на его характеристики и источник. Выполняемые действия: • использование обратной связи (участие в опросах рейтинга популярности определенных каналов или программ телевидения, популярности периодических изданий и пр.); • выражение в зрелищных мероприятиях своего отношения к происходящему (неодобрения, недовольства выступающими); • использование при беседе принципа «своих не обижают», для чего продемонстрировать желание стать другом, членом одной общности; ослабить или дестабилизировать активность собеседника неожиданным отвлечением (например, сделать комплимент, высказать сочувствие) и др. Способ защиты 4-й: «Затаивание» - контроль своей реакции на внешнее информационное воздействие. Выполняемые действия: •  отсрочка своих реакций, поспешных выводов и оценок, задержка или отказ от действий и поступков, вызываемых информационным воздействием (например, при нахождении в толпе, чтобы не поддаться «эффекту толпы», психическому заражению и не совершить поступков, о которых потом можно будет сожалеть); • маскировка, сокрытие чувств, проявлений эмоций и др.  Умение человека в зависимости от ситуации воспользоваться тем или иным способом психологической защиты от негативного воздействия информации способствует формированию его информационной культуры, которая, в конечном счете, и обеспечит информационно-психологическую безопасность личности.