Связанные понятия
Компьютерная безопасность — раздел информационной безопасности, характеризующий невозможность возникновения ущерба компьютера, превышающего величину приемлемого ущерба для него от всех выявленных и изученных источников его отказов в определённых условиях работы и на заданном интервале времени.
Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.
Конфиденциа́льность (от лат. confidentia — доверие) — необходимость предотвращения разглашения, утечки какой-либо информации.
Компьютерная сеть (вычислительная сеть) — система, обеспечивающая обмен данными между вычислительными устройствами (компьютеры, серверы, маршрутизаторы и другое оборудование). Для передачи информации могут быть использованы различные среды.
Програ́ммное обеспе́чение (допустимо также произношение обеспече́ние) (ПО) — программа или множество программ, используемых для управления компьютером (ISO/IEC 26514:2008).
Упоминания в литературе
Выводы: «Критерии безопасности компьютерных систем» министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем. В свое время этот документ явился настоящим прорывом в области
безопасности информационных технологий и послужил отправной точной для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение секретности обрабатываемой информации и исключение возможностей ее разглашения. Большое внимание уделено меткам (грифам секретности) и правилам экспорта секретной информации.
Вывод: безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. Задачи обеспечения безопасности информации реализуются комплексной системой защиты информации, которая по своему назначению способна решить множество проблем, возникающих в процессе работы с конфиденциальной информацией и документами. Основным условием
безопасности информационных ресурсов ограниченного доступа от различных видов угроз является прежде всего организация в фирме аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы защиты и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.
Одной из важных особенностей массового использования информационных технологий является то, что для эффективного решения проблемы защиты государственного информационного pecypca необходимо рассредоточение мероприятий по защите данных среди массовых пользователей. Информация должна быть защищена в первую очередь там, где она создается, собирается, перерабатывается, и теми организациями, которые понесут непосредственный урон при несанкционированном доступе к данным. Поэтому, как показывает практика, знание основ
информационной безопасности и защиты информации необходимо сегодня всем, без исключения, сотрудникам государственных организаций и коммерческих фирм, всем работающим с компьютерной техникой.
• Обеспечение
информационной безопасности . Внедряемая информационная система может содержать данные, представляющие коммерческую тайну организации, или данные, которые в соответствии с законодательством должны быть защищены, например финансовые данные или персональные данные. Работы по обеспечению информационной безопасности, в случае их включения проект, увеличат стоимость и сложность проекта, т. к. такие работы сами по себе достаточно сложны и должны учитывать обеспечение информационной безопасности на уровне рабочих мест пользователей, серверов и мест хранения данных, на уровне информационно-вычислительной сети. В рамках проведения работ по обеспечению информационной безопасности должны быть разработаны нормативно-регламентирующие документы, а информационная система в случае обработки данных, защита которых должна быть обеспечена в соответствии с законодательством, должна быть сертифицирована государственными органами для обработки таких данных. Как правило, обеспечение информационной безопасности выделяют в отдельное направление работ или в подпроект, имеющий свой организационный, функциональный, методологический, интеграционный и проч. объёмы работ, специфические факторы сложности и инструменты управления такими работами.
В современном обществе особую актуальность приобретает проблема
информационной безопасности , состоящая не только в реализации прав субъектов на получение полной и достоверной информации, но также в обеспечении охраны их имущественных и личных неимущественных интересов путем предотвращения незаконного доступа к информации, составляющей коммерческую или иную тайну. Проблемы информационной безопасности выходят за рамки настоящего исследования и станут предметом самостоятельного изучения.
Связанные понятия (продолжение)
В компьютерной безопасности термин «уязвимость» (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные...
Подробнее: Уязвимость (компьютерная безопасность)
Идентифика́ция в информационных системах — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе. Для выполнения процедуры идентификации в информационной системе субъекту предварительно должен быть назначен соответствующий идентификатор (то есть проведена регистрация субъекта в информационной системе).
Система автоматизации документооборота , система электронного документооборота (СЭДО) — автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на человеко-читаемые документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.
Политика безопасности организации (англ. organizational security policies) — совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
Персона́льные данные (ПД) или личностные данные — любые сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которые предоставляются другому физическому или юридическому лицу либо лицам.
Аутентифика́ция (англ. authentication < греч. αὐθεντικός «реальный, подлинный» < αὐτός «сам; он самый») — процедура проверки подлинности, например...
Ба́за да́нных — представленная в объективной форме совокупность самостоятельных материалов (статей, расчётов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).
Интранет (англ. Intranet, также употребляется термин интрасеть) — в отличие от Интернета, это внутренняя частная сеть организации или крупного государственного ведомства. Как правило, интранет — это Интернет в миниатюре, который построен на использовании протокола IP для обмена и совместного использования некоторой части информации внутри этой организации. Это могут быть списки сотрудников, списки телефонов партнёров и заказчиков. Чаще всего в разговорной речи под этим термином имеют в виду только...
Вредоносная программа (другие термины: зловредная программа, вредонос, зловред; англ. malware — контаминация слов malicious и software) — любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного использования ресурсов ЭВМ или причинения вреда (нанесения ущерба) владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ, путём копирования, искажения, удаления...
Протокол передачи данных — набор соглашений интерфейса логического уровня, которые определяют обмен данными между различными программами. Эти соглашения задают единообразный способ передачи сообщений и обработки ошибок при взаимодействии программного обеспечения разнесённой в пространстве аппаратуры, соединённой тем или иным интерфейсом.
Интернет вещей (англ. internet of things, IoT) — концепция вычислительной сети физических предметов («вещей»), оснащённых встроенными технологиями для взаимодействия друг с другом или с внешней средой, рассматривающая организацию таких сетей как явление, способное перестроить экономические и общественные процессы, исключающее из части действий и операций необходимость участия человека.
Контроль доступа — функция открытой системы, обеспечивающая технологию безопасности, которая разрешает или запрещает доступ к определённым типам данных, основанную на идентификации субъекта, которому нужен доступ, и объекта данных, являющегося целью доступа.
Информацио́нные техноло́гии (ИТ, также — информационно-коммуникационные технологии) — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (ФЗ № 149-ФЗ); приёмы, способы и методы применения средств вычислительной техники при выполнении функций сбора, хранения, обработки, передачи и использования данных (ГОСТ 34.003-90); ресурсы, необходимые для сбора, обработки, хранения и распространения информации (ISO/IEC...
Анализатор трафика , или сниффер (от англ. to sniff — нюхать) — программа или устройство для перехвата и анализа сетевого трафика (своего и/или чужого).
Шифрова́ние — обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с предоставлением, в это же время, авторизованным пользователям доступа к ней. Главным образом, шифрование служит задачей соблюдения конфиденциальности передаваемой информации. Важной особенностью любого алгоритма шифрования является использование ключа, который утверждает выбор конкретного преобразования из совокупности возможных для данного алгоритма.
Криптогра́фия (от др.-греч. κρυπτός «скрытый» + γράφω «пишу») — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства.
Система управления взаимоотношениями с клиентами (CRM, CRM-система, сокращение от англ. Customer Relationship Management) — прикладное программное обеспечение для организаций, предназначенное для автоматизации стратегий взаимодействия с заказчиками (клиентами), в частности для повышения уровня продаж, оптимизации маркетинга и улучшения обслуживания клиентов путём сохранения информации о клиентах и истории взаимоотношений с ними, установления и улучшения бизнес-процессов и последующего анализа результатов...
Антиви́русная програ́мма (антиви́рус, средство антивирусной защиты, средство обнаружения вредоносных программ) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов и профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
Экспло́ит (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).
Подробнее: Эксплойт
Взаимодействие компьютеров между собой, а также с другим активным сетевым оборудованием, в TCP/IP-сетях организовано на основе использования сетевых служб, которые обеспечиваются специальными процессами сетевой операционной системы (ОС) — демонами в UNIX-подобных ОС, службами в ОС семейства Windows и т. п. Примерами сетевых сервисов являются веб-серверы (в т.ч. сайты всемирной паутины), электронная почта, FTP-серверы для обмена файлами, приложения IP-телефонии и многое другое.
Подробнее: Сетевые сервисы
Электро́нная по́дпись (ЭП), Электро́нная цифровая по́дпись (ЭЦП), Цифровая подпись (ЦП) позволяет подтвердить авторство электронного документа (будь то реальное лицо или, например, аккаунт в криптовалютной системе). Подпись связана как с автором, так и с самим документом с помощью криптографических методов, и не может быть подделана с помощью обычного копирования.
Информационная инфраструктура — система организационных структур, подсистем, обеспечивающих функционирование и развитие информационного пространства страны и средств информационного взаимодействия.Включает в себя...
Тестирование на проникновение (жарг. Пентест) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Анализ ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Результатом работы является отчет, содержащий...
Авториза́ция (англ. authorization «разрешение; уполномочивание») — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.
Передача данных (обмен данными, цифровая передача, цифровая связь) — физический перенос данных (цифрового битового потока) в виде сигналов от точки к точке или от точки к нескольким точкам средствами электросвязи по каналу передачи данных, как правило, для последующей обработки средствами вычислительной техники. Примерами подобных каналов могут служить медные провода, ВОЛС, беспроводные каналы передачи данных или запоминающее устройство.
Больши́е да́нные (англ. big data, ) — обозначение структурированных и неструктурированных данных огромных объёмов и значительного многообразия, эффективно обрабатываемых горизонтально масштабируемыми программными инструментами, появившимися в конце 2000-х годов и альтернативных традиционным системам управления базами данных и решениям класса Business Intelligence.
Хост (от англ. host — «хозяин, принимающий гостей») — любое устройство, предоставляющее сервисы формата «клиент-сервер» в режиме сервера по каким-либо интерфейсам и уникально определённое на этих интерфейсах. В более частном случае под хостом могут понимать любой компьютер, сервер, подключённый к локальной или глобальной сети.
Целостность информации — термин в информатике (криптографии, теории телекоммуникаций, теории информационной безопасности), означающий, что данные не были изменены при выполнении какой-либо операции над ними, будь то передача, хранение или отображение.
Инфраструктура открытых ключей (ИОК, англ. PKI - Public Key Infrastructure) — набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов...
Социáльная инженерия — совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии.
Компрометация в криптографии — факт доступа постороннего лица к защищаемой информации, а также подозрение на него. Чаще всего рассматривают компрометацию закрытого ключа, закрытого алгоритма, цифрового сертификата, учётных записей (паролей), абонентов или других защищаемых элементов, позволяющих удостоверить личность участника обмена информацией.
Систе́мный администра́тор (англ. system administrator — дословно «администратор системы»), ИТ-администратор — сотрудник, должностные обязанности которого подразумевают обеспечение штатной работы парка компьютерной техники, сети и программного обеспечения. Зачастую системному администратору вменяется обеспечение информационной безопасности в организации. Разговорное название — сисадми́н (англ. sysadmin).
Взлом программного обеспечения (англ. software cracking) — действия, направленные на устранение защиты программного обеспечения (ПО), встроенной разработчиками для ограничения функциональных возможностей. Последнее необходимо для стимуляции покупки такого проприетарного ПО, после которой ограничения снимаются.
Интернет-безопасность — это отрасль компьютерной безопасности, связанная специальным образом не только с Интернетом, но и с сетевой безопасностью, поскольку она применяется к другим приложениям или операционным системам в целом. Её цель — установить правила и принять меры для предотвращения атак через Интернет. Интернет представляет собой небезопасный канал для обмена информацией, который приводит к высокому риску вторжения или мошенничества, таких как фишинг, компьютерные вирусы, трояны, черви и...
Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности автоматизированной системы в соответствии с определёнными критериями и показателями безопасности.
Бизнес-процесс — это совокупность взаимосвязанных мероприятий или работ, направленных на создание определённого продукта или услуги для потребителей. В качестве графического описания деятельности применяются блок-схемы бизнес-процессов..
Однора́нговая, децентрализо́ванная, или пи́ринговая (англ. peer-to-peer, P2P — равный к равному) сеть — это оверлейная компьютерная сеть, основанная на равноправии участников. Часто в такой сети отсутствуют выделенные серверы, а каждый узел (peer) является как клиентом, так и выполняет функции сервера. В отличие от архитектуры клиент-сервера, такая организация позволяет сохранять работоспособность сети при любом количестве и любом сочетании доступных узлов. Участниками сети являются все пиры.
Крипто-войны — это неофициальное название попыток правительства США ограничить общественности и зарубежным государствам доступ к криптографическим методам с сильной защитой от дешифровки национальными разведывательными управлениями, особенно, американским АНБ.Примерно в 2005 году общественность объявила, что отстояла доступ к шифрованию в криптографической войне. Впоследствии, утечка данных 2013 года показала, что АНБ тайно ослабило алгоритмы шифрования и стандарты безопасности, что породило новые...
Подробнее: Криптографические войны
Межсетево́й экра́н , сетево́й экра́н — программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.
Веб-служба , веб-сервис (англ. web service) — идентифицируемая уникальным веб-адресом (URL-адресом) программная система со стандартизированными интерфейсами, а также HTML-документ сайта, отображаемый браузером пользователя.
Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.
Упоминания в литературе (продолжение)
На наш взгляд, в настоящее время мы являемся свидетелями нового этапа современной информационной революции или даже очередной революции. Принципиально новый качественный рывок связан с массовым применением мобильных средств связи, невиданными ранее функциональными возможностями мобильных устройств, «облачной» обработкой данных. Теперь, наряду со ставшими уже привычными возможностями общения по мобильному телефону, обмена SMS и медиафайлами, письмами по электронной почте, в наши дни в повседневный обиход вошли мобильный доступ в Интернет, мобильный банкинг, электронные государственные услуги и др. В управленческой сфере находят применение мобильные АРМ пользователей информационных систем и ресурсов. Дальнейшая глобализация, «облачные» технологии, управление «большими данными» (англ. Big Data) – приметы сегодняшней действительности. Спектр новых технологических решений постоянно расширяется, появляются новые технологии информационного взаимодействия, отношение к которым еще только формируется (например, блокчейн – англ. Blockchain, цепочка блоков транзакций), а регламентация возможности их применения в сфере управления еще предстоит [196]. Вместе с этим все более возрастает значение обеспечения
информационной безопасности и защиты информации.
Охватив самые важные направления информационного развития университета, хотелось бы затронуть защиту персональных данных. В качестве программно-аппаратной защиты нами выбран комплекс VipNet компании ИнфоТекс, позволяющий организовывать полную защиту информации в сети университета. Для решения
информационной безопасности комплекс VipNet нацелен на создание защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления. Кроме этого используется система защиты информации DallasLock, работающая в качестве средства опознавания пользователей системы аппаратными электронными идентификаторами:
В порядке осуществления своей нормативной компетенции Минкомсвязи принят ряд актов, имеющих определяющий характер для развития интернет-отрасли, в частности: Приказ Минкомсвязи РФ от 27.12.2010 № 190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия»; Приказ Минкомсвязи РФ от 25.08.2009 № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и
безопасности информационных систем общего пользования»; Приказ Минкомсвязи РФ № 103 от 11.04.2012 «Об утверждении Административного регламента Федерального агентства по печати и массовым коммуникациям по предоставлению государственной услуги „Оказание государственной поддержки организациям, осуществляющим производство, распространение и (или) тиражирование социально значимых проектов в области электронных средств массовой информации, в том числе создание и поддержание в сети Интернет сайтов, имеющих социальное или образовательное значение"» и др.
Период с 2000 года в России характеризуется внедрением информационных и коммуникационных технологий во все сферы общества, их эффективным использованием в социально-политической и экономических отраслях. Большинство ученых едины во мнении, что существующее общество имеет информационную природу, они продолжают анализировать особенности информационного общества с целью выявления возможности построения подобного общества в России, возможные трудности и перспективы, анализируются новые, ранее неизученные проблемы (негативные аспекты) внедрения научно-технологических разработок: проблемы информационной доступности,
информационной безопасности , расслоения общества, информационные преступления, информационные войны и пр. аспекты.
– способен понимать сущность и значение информации в развитии современного информационного общества, сознавать опасности и угрозы, возникающие в этом процессе, соблюдать основные требования
информационной безопасности , (ОК-12);
Принятая в 2000 г. Доктрина
информационной безопасности Российской Федерации содержала положение о том, что современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений[2]. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации.
«Стратегия развития информационного общества в Российской Федерации» (утв. Президентом РФ 7.02.2008 № Пр-212 (РГ 16.02.2008) представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления ее обеспечения и служит основой для формирования государственной политики и подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения
информационной безопасности Российской Федерации, а также для разработки ее целевых программ.
В некоторых случаях внутренние нормативно-правовые основы принимаются во исполнение или с учетом многосторонних документов, которые могут быть обязательными или необязательными для сторон. К таким документам относятся Конвенция о кибербезопасности и защите личных данных Африканского союза, Соглашение о сотрудничестве государств – членов Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации, Конвенция Совета Европы о киберпреступности, Директива 2013/40/EU Европейского парламента и Совета Европейского союза об атаках на информационные системы, Конвенция о борьбе с преступлениями в области информационных технологий арабских государств и Соглашение о сотрудничестве в области обеспечения международной
информационной безопасности Шанхайской организации сотрудничества.
Такая мера профилактики позволит уберечь детей от нездорового интереса и активности асоциальных членов общества с девиантным сексуальным поведением. Необходимо также повышать родительскую компетентность в вопросах
информационной безопасности . Нужно предупреждать их о возможности использования размещенных в социальных сетях фотоизображений детей для причинения им вреда.
– системы сбора и обработки информации: (серверы баз данных; серверы анализа данных и систем поддержки принятия решений; серверы
информационной безопасности ; маршрутизаторы, коммутаторы и т. п.; автоматизированные рабочие места диспетчеров, технологов и аналитиков).