Проанализировав информацию, предоставленную в книге по Информационной безопасности Макаренко мы получили общие понятия по самому термину информационной безопасности, по отличиям информационной от компьютерной безопасности. Были получены данные по основным используемым мерам предотвращения информационных утечек. Были узнаны основные виды угроз в информационной сфере. А именно:
1-Разглашение конфиденциальной информации.
Данный вид угроз подразумевает разглашение информации, представляющей коммерческую тайну, посредством отсылки ее по электронной почте, через Интернет (чат, форум и т. Д.), с помощью средств обмена мгновенными сообщениями, путем копирования информации на переносные носители или распечатки данных. Для обнаружения факта разглашения конфиденциальной информации разные компании предлагают перехват почтового, внутрисетевого (на уровне TCP/IP) и Web-трафика (протоколы HTTP, FTP, IM и т. Д.) с последующим анализом различными методами фильтрации, в том числе с помощью анализа контента.
2-Обход средств защиты от разглашения конфиденциальной информации
Обход средств защиты от разглашения конфиденциальной информации удается добиться при помощи различных преобразований данных, например, шифрования, архивации с большой глубиной вложенности, преобразования в графический формат или редкие текстовые форматы,
изменения кодировки, использования неизвестного ПО или общения на иностранном языке, незнакомом большинству сотрудников компании.
3-Кража конфиденциальной информации
Неправомерный доступ к информации возможен при ее передаче через обычное соединение (без шифрования) — путем взлома корпоративной сети; если данные размещены в местах, доступных посторонним людям или сотрудникам, не имеющим соответствующих прав; если посторонний человек имеет возможность читать с экрана монитора; если имеется доступ к напечатанным материалам, переносным носителям или компьютерам.
4-Нарушение авторских прав на информацию
В рамках угрозы нарушения авторских прав, возможно, копирование частей документов одного автора в документы другого автора (а также в почтовые сообщения, Web-формы и т. Д.); индивидуальное шифрование документов, при котором компания лишается возможности работать с документом после увольнения или перевода сотрудника или в случае утраты пароля; использование опубликованных в Интернете материалов без обработки в своих документах; использование мультимедиа-файлов (графики, аудио- и видеозаписей), ПО и прочих информационных объектов, защищенных авторским правом; подделка данных адресата или отправителя с целью опорочить его доброе имя или скомпрометировать компанию.
5-Нецелевое использование ресурсов
Под нецелевым использованием ресурсов подразумеваются посещение сайтов общей и развлекательной направленности (не имеющих отношения к исполнению служебных обязанностей) в рабочее время; загрузка, хранение и использование мультимедиа-файлов и ПО развлекательной направленности в рабочее время; использование ненормативной, грубой, некорректной лексики при ведении деловой переписки; загрузка, просмотр и распространение материалов для взрослых, а также материалов, содержащих нацистскую символику, агитацию или другие противозаконные материалы; использование ресурсов компании для рассылки информации рекламного характера, спама или информации личного характера, в том числе информации о сотрудниках, номерах социального страхования,
кредитных карт и т. Д.
Пункт Третий. Понятие уровней информационной безопасности
Как мы можем понимать – информация она везде. Поэтому и для ее защиты требуется множество уровней. Сама по себе информационная безопасность – это практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная, или например, физическая). Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных. Под уровнем же информационной безопасности подразумевается некоторая область распространения информации, будь то законодательная область, техническая (компьютерная безопасность) и другие. Вот об этом и пойдет далее наша речь.