Читайте также:
|
По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:
· правовые (законодательные) - действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил; Минусом правовых мер является их постоянное отставание от развития ИТ. Плюсом – что они распространяются на всех.
· морально-этические - нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Минусом является то, что они не подкреплены никаким реальным воздействием.
· технологические - разного рода технологические решения и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализации ответственных операций только при наличии разрешений от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщении в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т.п.; (Резервное копироваине)
· организационные (административные и процедурные) - меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.;
· физические - основаны на применении разного рода механических, электро-или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации;
· технические (аппаратурные и программные) - основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.
Построение системы обеспечения безопасности информации в АС и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
• законность (в соответствии с законодательством)
• системность (При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации)
• комплексность (При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации)
• непрерывность (защита должна работать всегда)
• своевременность (упреждающий характер мер обеспечения безопасности информации)
• непрерывность совершенствования (постоянное совершенствование мер защиты)
• разумная достаточность (стоимость защиты < стоимости информации)
• персональная ответственность (назначается конкретный ответственный, чтобы был известен виновник)
• минимизация полномочий (минимальные права. Только то, что нужно)
• открытость алгоритмов и механизмов защиты (Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам))
• простота применения средств защиты (Механизмы зашиты должны быть интуитивно понятны и просты в использовании)
• специализация и профессионализм (привлечение к разработке средств и реализации мер защиты информации специализированных организаций)
• обязательность контроля (обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации)
5. Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе.
Построение системы обеспечения безопасности информации в АС и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
• законность (в соответствии с законодательством)
• системность (При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации)
• комплексность (При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации)
• непрерывность (защита должна работать всегда)
• своевременность (упреждающий характер мер обеспечения безопасности информации)
• непрерывность совершенствования (постоянное совершенствование мер защиты)
• разумная достаточность (стоимость защиты < стоимости информации)
• персональная ответственность (назначается конкретный ответственный, чтобы был известен виновник)
• минимизация полномочий (минимальные права. Только то, что нужно)
• открытость алгоритмов и механизмов защиты (Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам))
• простота применения средств защиты (Механизмы зашиты должны быть интуитивно понятны и просты в использовании)
• специализация и профессионализм (привлечение к разработке средств и реализации мер защиты информации специализированных организаций)
• обязательность контроля (обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации)
6. Правовые основы обеспечения безопасности информационных технологий. Законы Российской Федерации и другие нормативные правовые акты, руководящие и нормативно-методические документы, регламентирующие отношения субъектов в информационной сфере и деятельность организаций по защите информации.
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
· Законодательные Акты
o Конституция РФ
o ФЗ РФ "Об информации, информационных технологиях и о защите информации"
o ФЗ РФ "О персональных данных"
o ФЗ РФ "Об электронной подписи"
o ФЗ "О лицензировании отдельных видов деятельности"
o ФЗ РФ "О коммерческой тайне"
o Закон РФ "О государственной тайне"
o Уголовный кодекс (статьи 272, 273, 274)
· Нормативные правовые акты Президента РФ
o УП РФ "Об утверждении перечня сведений конфиденциального характера"
o Доктрина информационной безопасности Российской Федерации
o Документы ФСТЭК и ФСБ
· Постановления Правительства РФ
o “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”
· Основные национальные стандарты в области защиты информации
o ГОСТЫ
§ 28-147-89 (шифрование)
§ Р 34-10-94 ЭЦП
§ Р 34-10-2001 ЭП
§ Р 34-11-94 Функция хэширования
7. Государственная система защиты информации. Состав государственной системы защиты информации. Организация защиты информации в системах и средствах информатизации и связи. Контроль состояния защиты информации.
Структура и основные функции государственной системы защиты информации от ее утечки по техническим каналам и организация работ по защите информации определены в "Положении о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", утвержденном Постановлением Правительства от 15 сентября 1993 г. № 912-51.
Этим Положением предусматривается, что мероприятия по защите информации, обрабатываемой техническими средствами, являются составной частью управленческой, научной и производственной деятельности учреждений и предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению установленного федеральными законами "Об информации, информатизации и защите информации" и "О государственной тайне" комплекса мер по защите сведений, составляющих государственную и служебную тайну.
В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами» порядке в виде системы защиты секретной информации.
Основные задачи государственной системы защиты информации:
• проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;
• исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных специальных программно-технических воздействий на информацию с целью ее разрушения, уничтожения, искажения или блокирования в процессе обработки, передачи и хранения;
• принятие в пределах компетенции нормативно-правовых актов, регулирующих отношения в области защиты информации;
• общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;
• контроль за проведением работ по защите информации в органах государственного управления, объединениях, на предприятиях, в организациях и учреждениях.
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
• Комитет Государственной думы по безопасности;
• Совет безопасности России;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
• Федеральная служба безопасности Российской Федерации (ФСБ России);
• Федеральная служба охраны Российской Федерации (ФСО России);
• Служба внешней разведки Российской Федерации (СВР России);
• Министерство обороны Российской Федерации (Минобороны России);
• Министерство внутренних дел Российской Федерации (МВД России);
• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия
• Служба экономической безопасности;
• Служба безопасности персонала (Режимный отдел) (отвечает за подбор персонала);
• Кадровая служба;
• Служба информационной безопасности
Механизмами контроля над деятельностью в сфере информационной безопасности являются:
· Лицензирование каждого вида деятельности в сфере ИБ;
· Сертификация устройств и программ – во многих сферах разрешается использовать только сертифицированное оборудование и ПО
8. Организационная структура системы обеспечения безопасности информационных технологий. Понятие технологии обеспечения безопасности информации и ресурсов в автоматизированной системе. Цели создания системы обеспечения безопасности информационных технологий.
Конечной целью создания системы обеспечения безопасности информационныхтехнологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.
Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.
К обеспечению безопасности информационных технологий организации (и в определенной степени к управлению ее информационной безопасностью) должны привлекаться практически все сотрудники, участвующие в процессах автоматизированной обработки информации, и все категории обслуживающего АС персонала.
За формирование системы защиты и реализацию единой политики информационной безопасности организации и осуществление контроля и координации действий всех подразделений и сотрудников организации по вопросам организации информационной безопасности (ОИБ) должно непосредственно отвечать специальное подразделение (служба) защиты информации (обеспечения информационной безопасности).
В силу малочисленности данного подразделения решение им многих процедурных вопросов и эффективный контроль за соблюдением всеми сотрудниками требований по ОИБ возможны только при назначении во всех подразделениях, эксплуатирующих подсистемы АС, нештатных помощников - ответственных за обеспечение информационной безопасности.
Эффективное использование штатных (для ОС и СУБД) и дополнительных средств защиты обеспечивается системными администраторами и администраторами средств защиты. Системные администраторы обычно входят в штат подразделений автоматизации (информатизации). Администраторы дополнительных средств защиты, как правило, являются сотрудниками подразделения защиты информации.
Таким образом, организационную структуру системы обеспечения информационной безопасности АС организации можно представить в виде, совокупности следующих уровней:
· уровень 1 - Руководство организации
· уровень 2 - Подразделение ОИБ
· уровень 3 - Администраторы штатных и дополнительных средств защиты
· уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках)
уровень 5 - Конечные пользователи и обслуживающий персонал
Под технологией обеспечения информационной безопасности в АС понимается определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.
Требования к технологии управления безопасностью:
• соответствие современному уровню развития информационных технологий;
• учет особенностей построения и функционирования различных подсистем АС;
• точная и своевременная реализация политики безопасности организации;
• минимизация затрат на реализацию самой технологии обеспечения безопасности.
Реализация технологии ОИБ предполагает:
• назначение и подготовку должностных лиц (сотрудников), ответственных за организацию, реализацию функций и осуществление конкретных практических мероприятий по обеспечению безопасности информации и процессов ее обработки;
• строгий учет всех подлежащих защите ресурсов системы (информации, ее носителей, процессов обработки) и определение требований к организационно-техническим мерам и средствам их защиты;
• разработку реально выполнимых и непротиворечивых организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• реализацию (реорганизацию) технологических процессов обработки информации в АС с учетом требований по информационной безопасности;
• принятие эффективных мер сохранности и обеспечения физической целостности технических средств и поддержку необходимого уровня защищенности компонентов АС;
• применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывную административную поддержку их использования;
• регламентацию всех процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений, использующих АС;
• персональную ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;
• эффективный контроль за соблюдением сотрудниками подразделений -пользователями и обслуживающим АС персоналом, - требований по обеспечению безопасности информации;
• проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработку и реализацию предложений по совершенствованию системы защиты информации в АС.
9. Назначение и возможности средств защиты информации от несанкционированного доступа. Задачи, решаемые средствами защиты информации от несанкционированного доступа. Аппаратно-программные средства защиты информации от несанкционированного доступа.
Принято различать внешнюю и внутреннюю безопасность компьютерных систем. Внешняя безопасность включает защиту АС от проникновения злоумышленников извне с целью получения неправомерного доступа к информации и ее носителям, а также с целью вмешательства в процессы функционирования или вывода отдельных компонентов автоматизированной системы из строя.
Усилия по обеспечению внутренней безопасности компьютерных систем фокусируются на создании надежных и удобных механизмов регламентации деятельности всех ее законных пользователей и обслуживающего персонала для принуждения их к безусловному соблюдению установленной в организации дисциплины доступа к ресурсам системы.
На технические средства зашиты от НСД возлагают решение следующих основных задач:
· защиту от вмешательства в процесс функционирования АС посторонних лиц;
· разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС;
· регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов сотрудниками подразделений компьютерной безопасности;
· оперативный контроль за работой пользователей системы и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
· защиту от несанкционированной модификации (обеспечение неизменности, целостности) используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы и вредоносные «программы-закладки»;
· защиту хранимой, обрабатываемой и передаваемой по каналам связи информации ограниченного распространения от несанкционированного разглашения, искажения подмены или фальсификации;
· обеспечение аутентификации абонентов, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
· гибкое управление всеми защитными механизмами.
Программные и аппаратные средства защиты информации позволяют исключить возможность доступа злоумышленников или инсайдеров к персональным данным, коммерческой тайне или другой конфиденциальной информации
На средства аппаратной поддержки возлагается решение следующих задач:
· осуществление идентификации и аутентификации пользователей до загрузки операционной системы (с регистрацией попыток НСД);
· предотвращение несанкционированной загрузки сторонней (незащищенной) операционной системы с отчуждаемых носителей (с гибких дисков, компакт-дисков и, в случае применения электронного замка «Соболь», - с дисков магнитооптических накопителей);
· обеспечение усиленной аутентификации пользователей с применением персональных электронных идентификаторов («таблеток») Touch Memory, Smart -карт и Proximity -карт.
В основе функциональности средств аппаратной поддержки лежит использование расширений базовой системы ввода-вывода и применение персональных устройств идентификации: «таблеток» Touch Memory, Smart -карт, Proximity -карт, хранящих уникальный собственный номер и позволяющих считывать и записывать персональные данные пользователя (ключи и т.п.).
К программно-аппаратным комплексам можно отнести:
· «Соболь» - Средство предотвращения загрузки ОС с других носителей. Принцип работы электронных замков примерно одинаков, и основан на перехвате момента загрузки ОС при помощи кода, размещенного в т.н. Expansion ROM. При получении управления ПО электронного замка проводит идентификацию/аутентификацию пользователя, затем выполняются процедуры контроля целостности аппаратных и программных средств, и затем происходит загрузка ОС, установленной на компьютере.
· Dallas Lock - система защиты информации, в процессе её хранения и обработки, от несанкционированного доступа. Представляет собой программный комплекс средств защиты информации в автоматизированных системах. Система Dallas Lock позволяет в качестве средства опознавания пользователей системы использовать аппаратные электронные идентификаторы:
o USB-флэш-накопители (флешки),
o электронные ключи Touch Memory (iButton),
o USB-ключи Aladdin eToken Pro/Java,
o смарт-карты Aladdin eToken PRO/SC
· СЗИ НСД «Блокхост-сеть» – новая разработка ООО «Газинформсервис» для защиты от НСД рабочих станций и серверов в локальной вычислительной сети предприятия.
Состав СЗИ НСД «Блокхост-сеть»:
o Клиентская часть - обеспечивает локальную защиту от несанкционированного доступа к информации, содержащейся на рабочей станции.;
o Серверная часть выполняет функции централизованного управление удаленными рабочими станциями;
o Аппаратные средства функционирующие в составе СЗИ «Блокхост-сеть» (eToken,RuToken, другие USB устройства), позволяют:
§ хранить персональные данные для идентификации и аутентификации;
§ хранить криптографическую информацию.
10. Антивирусные средства защиты. Общие правила применение антивирусных средств в автоматизированных системах. Технологии обнаружения вирусов. Возможные варианты размещение антивирусных средств. Антивирусная защита, как средство нейтрализации угроз.
Одним из распространенных видов угроз являются компьютерные вирусы. Они способны причинить значительный ущерб. Поэтому важное значение имеет не только защита сети или отдельных средств информационного обмена от вирусов, но и понимание пользователями принципов антивирусной защиты.
В нашей стране наиболее популярны антивирусные пакеты «Антивирус Касперского» и DrWeb. Существуют также другие программы, например «McAfee Virus Scan» и «Norton AntiVirus».
Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).
Антивирусные программы можно классифицировать на:
· Сканеры - предназначены для последовательного просмотра проверяемых файлов в поиске сигнатур известных вирусов. Используется только для поиска уже известных и изученных вирусов. Неэффективно для обнаружения шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора;
· Принцип работы CRC - сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. Недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах.
· Антивирусные блокировщики — это резидентные программы, перехватывающие “вирусо-опасные” ситуации и сообщающие об этом пользователю. К “вирусо-опасным” относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Иногда некоторые функции блокировщиков реализованы в резидентных сканерах.
К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно “выползает неизвестно откуда”. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ
· Иммунизаторы - это программы записывающие в другие программы коды, сообщающие о заражении. Они обычно записывают эти коды в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у них всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время. Кроме того многие программы, разработанные в последнее время, сами проверяют себя на целостность и могут принять внедренные в них коды за вирусы и отказаться работать.
Методики обнаружения и защиты от вирусов:
· Сканирование — последовательный просмотр проверяемых файлов в поиске сигнатур известных вирусов. Используется только для поиска уже известных и изученных вирусов. Неэффективно для обнаружения шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора;
· Эвристический анализ — обнаружение ранее неизвестных вирусов;
· Использование антивирусных мониторов — автоматическая проверка всех запускаемых программ, создаваемых, открываемых и сохраняемых документов, файлов программ и документов, полученных через Интернет или скопированных на жесткий диск с дискеты или компакт-диска;
· Обнаружение изменений — обнаружение изменений, внесенных в предварительно запомненные программой-ревизором характеристики всех областей диска;
· Использование антивирусов, встроенных в BIOS компьютера — контроль обращений к главной загрузочной записи жестких дисков и к загрузочным секторам дисков и дискет.
Правила использования средств антивирусной защиты
Абсолютной защиты от вредоносных программ не существует, но с помощью некоторых мер можно существенно снизить риск заражения компьютера. Ниже перечислены основные меры для надёжной безопасности:
1. Использование лицензионных антивирусов.
2. Правильная настройка антивируса.
3. Постоянное автоматическое обновление баз сигнатур вирусов.
4. Периодическая полная проверка ПК.
5. Проверять на вирусы все.
6. Использовать современные операционные системы, не дающие изменять важные файлы без ведома пользователя;
7. Постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора;
8. Ограничить физический доступ к компьютеру посторонних лиц;
9. Использовать внешние носители информации только от проверенных источников;
10. Не открывать компьютерные файлы, полученные из ненадёжных источников;
11. Использовать персональный Firewall (аппаратный или программный), контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь.
11. Защита информации в ИТ. Основные технологические решения. Шиф-рование данных. Общая характеристика алгоритмов шифрования, схемы работы. Примеры алгоритмов симметричного шифрования и шифрования с открытым ключом. Гибридные криптосистемы. Понятие ЭЦП и сертификата.
Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.
Защита информации от несанкционированного воздействия защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от несанкционированного доступа - защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Основными факторами, способствующими повышению этой уязвимости, являются:
-Резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ и других средств автоматизации;
-Сосредоточение в единых базах данных информации различного назначения и различных принадлежностей;
-Резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней данных;
-Усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима, а также режимов разделения времени и реального времени;
-Автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
· Защита объектов информационной системы;
· Защита процессов, процедур и программ обработки информации;
· Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);
· Подавление побочных электромагнитных излучений;
· Управление системой защиты.
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
1. Определение информационных и технических ресурсов, подлежащих защите;
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
4. Определение требований к системе защиты;
5. Осуществление выбора средств защиты информации и их характеристик;
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
7. Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Дата добавления: 2015-11-16; просмотров: 238 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Структурный подход | | | Программно-технические способы и средства обеспечения информационной безопасности |