Информационная безопасность и защиты информации в социальной сфере

Введение
Масштабное распространение современных вычислительных технологий, которые используются в качестве средства для работы с данными, стало причиной возникновения процесса информатизации социума и стало причиной возникновения абсолютно новых технологий, информационных.
Возникновение чего-то нового всегда имеет свои плюсы и минусы. К примеру постоянно совершенствующийся транспорт очень сильно помог в доставке людей или необходимых товаров на любые расстояния, однако ежегодно наблюдается увеличение количества транспортных катастроф и возрастание материального ущерба. Использование информационных технологий в атомной промышленности помогло решить много существующих проблем, однако привело к ужасным экологическим последствиям.
Таким образом, можно с уверенностью сказать, что информационные технологии также не будут исключением из правил. В связи с этим весьма актуальными являются вопросы безопасности данного вида технологий. От их уровня в современное время очень сильно зависит эффективность работы и, в некоторых случаях, жизнь современных людей. Особенно важно уделять внимание данному вопросу в социальной сфере, поскольку люди до сих пор остаются одним из главных ресурсов на нашей планете.
Цель данной работы заключается в изучении информационной безопасности и защиты информации в социальной сфере. Для решения поставленной цели были решены следующие задачи:
- изучен имеющийся материал по тематике исследования;
- изучено понятие информационной безопасности;
- рассмотрены основные понятия и принципы управления информационной безопасностью;
- перечислены основные методы обеспечения информационной безопасности;
- рассмотрена защита информации в социальной сфере.
В ходе выполнения данных задач применялись такие методы исследования, как анализ, синтез, описание и обобщение.
В качестве объекта исследования выступает информационная безопасность и защита информации в социальной сфере, а предметом исследования является социальная сфера.
1 Понятие информационной безопасности
Комплексная система информационной безопасности - это совокупность специальных органов, служб, средств, методов и мероприятий, которые направлены на увеличение надежности хранения информации.
Понятие информационной безопасности имеет различные значения в зависимости от применяемого контекста. В плане защиты РФ применяется самое широкое его понятие - здесь подразумевается защита национальных интересов в информационной области, которые задаются интересами людей, общества и государства. Применительно к организации хранения, обработки и передачи информации, данное понятие обозначает защиту данных и структуры от любых внешних воздействий, способных привести к ущербу субъектам рассматриваемой системы.
Таким образом, можно выделить следующие шаги черты информационной безопасности:
- целостность;
- доступность;
- конфиденциальность.
Конфиденциальность - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
Целостность - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
Доступность - состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
В данной последовательности необходимо осуществлять построение любой комплексной системы защиты. В большинстве ситуаций конфиденциальность информации играет существенно меньшую роль, чем целостность и доступность.
Процесс создания информационной безопасности представляет собой непрерывный процесс, в котором осуществляется обоснованный выбор рационального метода, определение вариантов его внедрения и развития, постоянный контроль его работы, определение наиболее слабых его мест с последующим их устранением.
Обеспечить безопасность информации можно только с помощью совместного использования всех имеющихся средств защиты

. Максимальный эффект может быть достигнут в случае, когда все используемые средства составляют некий единый механизм, получивший название комплексная система защиты информации.
В практической деятельности можно выделить следующие направления информационной безопасности:
- правовая защита;
- организационная защита;
- инженерно-техническая защита [2].
Инженерно-техническая защита информации – это совокупность специальных мер, персонала, технических средств, направленных на предотвращение разглашения, утечки, несанкционированного доступа и других форм незаконного вмешательства в информационные ресурсы.
По функциональному назначению средства инженерно-технической защиты информации можно разбить на следующие группы:
- физические (устройства, инженерные сооружения, затрудняющие или исключающие проникновение злоумышленников к источникам конфиденциальной информации);
- аппаратные (механические, электрические, электронные и др. устройства, предназначенные для защиты информации от утечки и разглашения и противодействия техническим средствам промышленного шпионажа);
- программные (система специальных программ, включаемых в состав общего и специального обеспечения, реализующих функции защиты информации и сохранения целостности и конфиденциальности);
- криптографические и стеганографические (технические и программные средства шифрования и скрытия информации);
- комбинированные (совокупная реализация аппаратных и программных средств, криптографических и стеганографических методов защиты информации) [3].
2 Управление информационной безопасностью: основные понятия, принципы
Под процессом управления информационной безопасностью понимается такой процесс, результатом действия которого является обеспечение целостности, доступности и конфиденциальности информации. Главная цель управления безопасностью информации – обеспечение эффективного управления безопасностью данных в сфере управления. Принято считать, что данная цель является выполненной, если:
- данные доступны только в том случае, если это необходимо, а используемые информационные технологии устойчивы к внешним атакам и могут быстро восстановиться после них;
- данные могут получать только те люди, которые имеют права на это;
- данные полностью защищены от любых изменений внешними пользователями, не зарегистрированными в системе;
- обмен данными между организациями хорошо защищен [3].
Процедура управления безопасностью информации обязательно должно включать следующие процессы:
- создание, управление и соблюдение политики безопасности информации, которая имеет непосредственное отношение к обеспечению безопасности информации;
- анализ текущих и планируемых требований в сфере безопасности информации;
- применение методов контроля текущего уровня безопасности с целью выполнения политики безопасности информации.
- ведение документации текущего перечня контроля безопасности информации;
- контроль за действиями, при которых происходит обращение к важной информации;
- контроль слабых мест в безопасности и инцидентов, которые могут возникнуть;
- создание усовершенствованных систем контроля информационной безопасности с целью снижения риска ее нарушения [3].
Политика безопасности информации должна состоять из следующих аспектов:
- реализация аспектов Политики информационной безопасности;
- возможные злоупотребления аспектами Политики информационной безопасности;
- политика контроля доступа;
- политика использования паролей;
- политика электронной почты;
- политика интернета;
- политика антивирусной защиты;
- политика классификации информации;
- политика классификации документов;
- политика удаленного доступа;
- политика доступа поставщиков к услугам, информации и компонентам;
- политика размещения активов [3].
Указанные положения необходимо сделать полностью доступными для всех пользователей. Также необходимо с каждого из пользователей взять письменное согласие на их соблюдение.
К числу главных моментов системы в рабочем процессе системы управления безопасностью информации относится:
- формирование, пересмотр и корректирование Политики информационной безопасности и набора поддерживающих ее вспомогательных политик;
- реализация и соблюдение политик информационной безопасности, а также обеспечение взаимодействия между ними;
- оценка и классификация всех информационных активов и документов;
- использование, пересмотр и корректирование набора контролей безопасности, мер по оценке рисков и ответных действий;
- мониторинг и управление «брешами» безопасности и инцидентами;
- анализ, ведение отчетности и уменьшение влияния «брешей» в безопасности и инцидентов;
- составление расписания и проведение аудитов, тестирования и обзоров [3].
Взаимодействие указанных деятельностей показано на рисунке.
Рисунок - Ключевые деятельности в рамках управления информационной безопасностью [5]
3 Методы обеспечения информационной безопасности
К числу данных методов можно отнести организационно-правовые мероприятия, которые проводятся в сфере информационной защиты