Invest-currency.ru

Как обезопасить себя в кризис?
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Механизмы информационной безопасности

Механизмы, методы и средства защиты информации

Выделяют следующие механизмы защиты информации:

· формирование и опознание подписи;

· контроль и разграничение доступа;

· система регистрации и учета информации;

· обеспечение целостности данных;

· арбитраж или освидетельствование.

1. Формирование и опознание подписи. Ее механизм основывается на алгоритмах асимметричного шифрования и включает две процедуры: формирование подписи отправителем и ее опознание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных или его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знание которого достаточно для опознавания отправителя.

2. Контроль и разграничение доступа. Осуществляет проверку полномочий объектов (программ и пользователей) на доступ к ресурсам сети. В основе контроля доступа к данным лежит система разграничения доступа специалистов информационной технологии к защищаемой информации.

3. Система регистрации и учета информации. Отвечает за ведение регистрационного журнала, позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. В регистрационном журнале фиксируются все осуществленные или неосуществленные попытки доступа к данным или программам. Содержание регистрационного журнала может анализироваться как периодически, так и непрерывно. В регистрационном журнале ведется список всех контролируемых запросов, осуществляемых специалистами, а также учет всех защищаемых носителей информации с помощью их маркировки, с регистрацией их выдачи и приема.

Система регистрации и учета является одним из эффективных методов увеличения безопасности в информационных системах и технологиях.

4. Обеспечение целостности данных. Применяется как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но не достаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока данных, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.

5. Обеспечение аутентификации. Это механизм установления подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого себя выдает. Механизмы аутентификации подразделяются на одностороннюю и взаимную аутентификацию. При использовании односторонней аутентификации один из взаимодействующих объектов проверяет подлинность другого. Во втором случае – проверка является взаимной.

6. Подстановка трафика (подстановка текста). Используются для реализации службы засекречивания потока данных. Они основываются на генерации объектами информационной системы фиктивных блоков, их шифровании и организации передачи по каналам связи. Тем самым нейтрализуется возможность получения информации об информационной технологии и обслуживаемых ее пользователей посредством наблюдения за внешними характеристиками потоков информации, циркулирующих по каналам связи.

7. Управление маршрутизацией. Обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным), физически ненадежным каналам.

8. Арбитраж. Обеспечивает подтверждение характеристик данных, передаваемых между объектами информационной системы, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.

В основе механизмов защиты лежат методы защиты информации. К основным методам защиты относятся:

Маскировка– это метод защиты информации путем ее криптографического закрытия. Этот метод сейчас широко применяется как при обработке, так и при хранении информации, в том числе и на переносных носителях. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.

Побуждение– это метод защиты, побуждающий специалистов и персонал автоматизированной информационной технологии не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Препятствие – это метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. д.).

Принуждение – это метод защиты, когда специалисты и персонал информационной технологии вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Регламентация – это метод защиты информации, создающий по регламенту в информационных технологиях такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Управление доступом – это метод защиты информации с помощью использования всех ресурсов информационной технологии. Управление доступом включает следующие функции защиты:

· идентификация специалистов, персонала и ресурсов информационной технологии (присвоение каждому объекту персонального идентификатора);

· опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

· проверка полномочий (соответствие дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

· разрешение и создание условий работы в пределах установленного регламента;

· регистрация (протоколирование) обращений к защищаемым ресурсам;

· реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.

Методы обеспечения безопасности реализуются на практике за счет применения средств защиты, которые делятся на формальные и неформальные.

Неформальные средства защиты – это средства защиты, которые определяются целенаправленной деятельностью человека, либо регламентируют эту деятельность

К основным неформальным средствам защиты относятся организационные, законодательные, морально-этические средства.

1. Организационные средства. Представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации в информационных системах. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство и оборудование помещений экономического объекта, проектирование информационной системы, монтаж и наладка оборудования, испытания, эксплуатация и т. д.). К ним можно отнести, например, охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).

2. Законодательные средства. Определяются законодательными актами страны, в которых регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушения этих правил.

3. Морально-этические средства. Реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет к утечке информации и нарушению секретности.

Формальные средства защиты – это средства, выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека.

Читать еще:  Основные внутренние угрозы национальной безопасности россии

К основным формальным средствам защиты, которые используются для защиты информации в информационных системах, относятся программные и технические средства.

1. Программные средства. Представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

2. Технические средства. Реализуются в виде электрических, электромеханических и электронных устройств. Все технические средства делятся аппаратные и физические. Аппаратные средства представляют собой устройства , встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Физические средства представляют собой автономные устройства и системы, создающие физические препятствия для злоумышленников (замки, решетки, охранная сигнализация и т.д.). К ним можно отнести, например, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

Механизмы обеспечения информационной безопасности

Ниже наведены принципы или механизмы(методы защиты информации) которые решают проблемы защиты информации:

Идентификация — это процедура определения каждого пользователя в информационных взаимодействиях перед тем, как он сможет пользоваться этой же системой.

Политика — это список утвержденных или сложившихся правил, которые объясняют принцип работы средства информационной безопасности.

Аутентификация — процесс, который дает систем понять, что пользователь представился тем какие вводные данные он ввел.

Авторизация — это процесс создания профиля прав на отдельного пользователя из существующих правил контроля.

Контроль доступа — Созидание и поддержание списка правил, которые при создании профиля дает определенный доступ к тем или иным ресурсам. Также может быть реализован с помощью контроля удаленного доступа.

Мониторинг и аудит — это процесс постоянного отслеживания событий, которые происходят в ИС. Мониторинг предполагает в режиме реального времени, а аудит — анализ произошедших событий.

Управление конфигурацией — созидание и поддержание функций среды ИС для поддержании ее в соответствии с требованиями которые могут быть наведенными в политике безопасности предприятия.

Реагирование на инциденты — это множество мероприятий и процедур, которые вступают в действие на нарушение или подозрение информационной безопасности.

Управление пользователями — это поддержание условий для работы сотрудников в ИС. Эти условия могут быть описаны в политике безопасности.

Управление рисками — поддержание защитных средств относительно возможных потерь в денежном эквиваленте.

Также описанны инструменты, которыми реализуются выше описанные механизмы и принципы и уменьшает риск угроз информационной безопасности. Полный список привести не возможно, так как он зависит от конкретной ситуации в которой находится ИС. Основные средства информационной безопасности:

Нормативное обеспечение — это документы, которые дают возможность проводить защиту и функционирование информационной безопасности.

Персонал — это люди, будут обеспечивать жизнь ИС. Внедрять, поддерживать, разрабатывать и исполнять.

Модели безопасности — это алгоритмы или схемы которая заложена в основе защиты информации в ИС.

Антивирусные ПО — инструмент для выявления и ликвидации зловредного кода. Вирусы и тд.

Криптография — это множество средств модификации информации в вид, который не дает проанализировать информацию в открытом виде. (RSA).

Межсетевые экраны — это устройства которые контролируют трафик из одной сети в другую.

Системы обнаружения атак — Это инструмент мониторинга активности информационной деятельности, иногда с самостоятельным принятием решений.

Сканеры безопасности — это инструмент для проверки качества модели безопасности для определенной ИС.

Резервное копирование — дублирование информации на избыточные копии, на случай их надобности.

Обучение пользователей — подготовка к пользованию информационной средой активных участников. Которые будут следовать правилам информационной безопасности.

Аварийный план — это список мероприятий, который на случай событий которые не предопределены правилами информационной безопасности.

Механизмы наведены на компьютерною безопасность информационной среды. Также нужно учитывать физическую безопасность, для этого нужно дополнительно уведомлять о возможных признаках физического воздействия на аппаратуру ИС.

Шифрование применяется для обеспечения секретности, позволяющая изменять данные в зашифрованный вид, при котором перевести начальную информацию можно только при наличии специального ключа розшифрования. Системам шифрования существуют столько лет, сколько письменному обмену информацией.

Секретность информации работает на основе введения алгоритма закрытых или открытых ключей (кодов).Закрытый ключ в шифровании дает два существенных преимущества относительно. Во-первых, при использовании одного алгоритма можно использовать разные ключи для отправки сообщений разным получателям. Во-вторых, если секретность ключа каким-то образом будет нарушена, ключ можно легко заменить, при этом не меняя алгоритм шифрования. Делая итог, безопасность систем шифрования напрямую зависит не от секретности алгоритма шифрования, а от секретности ключа. Также Многие алгоритмы шифрования есть открытыми в сети.

Количество возможных ключей зависит от используемого алгоритма, что в свою очередь зависит от длины или числа бит в ключе.К примеру, 16-битный ключ дает 612(56) всех комбинаций ключей. Очевидно, что чем больше комбинаций ключей, тем труднее подобрать ключ, тем надёжнее зашифровано сообщение. Так, например, если использовать 128-битный ключ, то необходимо будет перебрать 2128 ключей, что не под силу даже самым мощным компьютерам. Нужно отметить, что возрастающая производительность техники приводит к уменьшению времени, требующегося для вскрытия ключей, и системам обеспечения безопасности приходится использование всё более длинных ключей, в свою очередь приводит к увеличению затрат на шифрование.
Основной проблемой подобных систем является генерация и передача ключа. Есть два варианта шифрования: симметричное шифрование (шифрованием с секретным ключом) и асимметричное шифрование(с открытым ключом).

Использования симметричного шифрования подразумевает, что адресат и адресант имеют один и тот же ключ (секретный), с его помощью они могут делать операции с данными шифрование и розшифрование. В симметричном шифровании используются ключи небольшой длины, поэтому можно быстро шифровать большие объёмы данных.Однако сложно найти безопасный механизм, с помощью которого отправитель и получатель могут тайно от других выбрать один и тот же ключ. Существует проблема безопасного распространения секретных ключей по небезопасной сети. При этом для каждого адресата необходимо хранить отдельный секретный ключ. Используя схему шифрования с открытым ключом для шифрования используются два различных ключа. При помощи одного послание зашифровывается, а при помощи второго — расшифровывается. Недостатком асимметричного шифрования есть необходимость использовать длинные ключ,относительно симметричного шифрования.

Электронная подпись

Контрольные суммы используются для представления длинных сообщений путем создания резюме фиксированной длины. Алгоритмы подщета контрольных сумм разработаны специальным образом, чтобы они были уникальны для каждого блока данных. Таким образом, устраняется возможность подмены одного сообщения другим.
Однако при использовании контрольных сумм существует проблема передачи их получателю. Для решении этой проблемы используют электронную подпись.
С помощью электронной подписи получатель убеждается в том, что он получил письмо от правильного собеседника а не от мошенника. Электронная подпись создается с помощью шифрования контрольной суммы блока информации и доп. информации личного ключа отправителя. Таким образом, расшифровать подпись может кто угодно используя открытый ключ. А правильно создать подпись может только владелец.

Читать еще:  Безопасное расстояние до токоведущих частей

Информационная безопасность. Механизмы информационной безопасности

Информационная безопасность. Определение и основные задачи. Политика информационной безопасности. Составные элементы политики информационной безопасности.

Информационная безопасность – это комплекс мер, обеспечивающий для охватываемой им информации следующее:

конфиденциальность – возможность ознакомления с информацией имеют в своём распоряжении только те лица, кто владеет соответствующими полномочиями;

целостность – возможность внести изменения в информацию должны иметь только те лица, кто на это уполномочен;

доступность – возможность получения авторизованного доступа к информации со стороны пользователя в соответствующий, санкционированный для работы, период времени;

— учёт – все значимые действия пользователей (даже если они не выходят за рамки, определённого для этого пользователя правил), должны быть зафиксированы и проанализированы;

— неотрекаемость или апеллируемость – пользователь, направивший информацию другому пользователю, не может отречься от факта направления информации, а пользователь, получивший информацию, не может отречься от факта её получения.

Политика ИБ – это набор формальных (официально утверждённых либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности.

Информационная безопасность. Механизмы информационной безопасности.

Информационная безопасность – это комплекс мер, обеспечивающий для охватываемой им информации следующее:

конфиденциальность – возможность ознакомления с информацией имеют в своём распоряжении только те лица, кто владеет соответствующими полномочиями;

целостность – возможность внести изменения в информацию должны иметь только те лица, кто на это уполномочен;

доступность – возможность получения авторизованного доступа к информации со стороны пользователя в соответствующий, санкционированный для работы, период времени;

— учёт – все значимые действия пользователей (даже если они не выходят за рамки, определённого для этого пользователя правил), должны быть зафиксированы и проанализированы;

— неотрекаемость или апеллируемость – пользователь, направивший информацию другому пользователю, не может отречься от факта направления информации, а пользователь, получивший информацию, не может отречься от факта её получения.

— идентификация – определённый (распознавание) каждый участок процесса информационно взаимодействует перед тем, как к нему будут применены какие-либо понятия информационной безопасности.

— аутентификация – подтверждение идентификации;

— контроль доступа – создание и поддержание набора правил, определённые каждому участнику процесса информационного обмена разрешение на доступ к ресурсам и уровню этого доступа.

— авторизация – формирование профиля прав для контроля конкретного участка процесса информационного обмена (аутенфицированного или анонимного) из набора правил контроля доступа;

— аудит и мониторинг – регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределённых, значимых или подозрительных событий.

Аудит предполагает анализ событий постфактум, а мониторинг – приближено к режиму реального времени.

— реагирование на инциденты – совокупность процедур и мероприятий, которые производятся при нарушении или подозрении на нарушение информационной безопасности.

— управление конфигурацией – создание и поддержание функционирования среды информационного обмена в работоспособном состоянии и в соответствии с требованиями ИБ;

— управление пользователями – обеспечение условий работы пользователя в среде информационного обмена в соответствии с требованиями ИБ;

— управление рисками – обеспечение соответствия возможных потерь от нарушения ИБ и мощности защитных средств;

— обеспечение устойчивости – поддержание среды информационного обмена в минимально допустимом работоспособном состоянии и соответствие требованиям ИБ в условиях деструктивных внешних или внутренних воздействий.

Защитные механизмы информационной безопасности

ЗАЩИТА ИНФОРМАЦИИ

Содержание лекции:

1. Защита информации. Необходимость защиты информации. Защитные механизмы информационной безопасности.

2. Основные угрозы целостности и конфиденциальности. Законодательный уровень информационной безопасности.

3. Физическая защита. Парольная аутентификация. Шифрование.

Цель лекции:

изучитьвиды угроз безопасности компьютерных систем и способы защиты от них

Защита информации. Необходимость защиты информации. Защитные механизмы информационной безопасности.

Использование автоматизированных систем во всех сферах деятельности человека, основанных на применении современных информационно-коммуникационных технологий, выдвинуло целый ряд проблем перед разработчиками и пользователями этих систем.

Одна из наиболее острых проблем – проблема информационной безопасности, которую необходимо обеспечивать, контролировать, а также создавать условия для ее управления.

Практически вся современная информация готовится или может быть достаточно легко преобразована в машиночитаемую форму.

Характерной особенностью такой информации является возможность посторонних лиц легко и незаметно:

· или уничтожить её.

Это обстоятельство вызывает необходимость организации безопасного функционирования данных в любых информационных системах. Такие мероприятия называют защитой информации или информационной безопасностью.

Противоправные действия с информацией не только затрагивают интересы государства, общества и личности, но оказывают негативные, а порой трагические и катастрофические воздействия на здания, помещения, личную безопасность обслуживающего персонала и пользователей информации. Подобные воздействия происходят также по причине стихийных бедствий, техногенных катастроф и террористических актов.

Главной целью любой системы обеспечения информационной безопасности (далее — ИБ) является:

· создание условий функционирования предприятия, предотвращение угроз его безопасности,

· защита законных интересов предприятия от противоправных посягательств,

· недопущение хищения финансовых средств,

· недопущение разглашения служебной информации,

· недопущение утраты служебной информации,

· недопущение утечки служебной информации,

· недопущение искажения служебной информации

· недопущение уничтожения служебной информации,

· обеспечение в рамках производственной деятельности всех подразделений предприятия.

Защитные механизмы информационной безопасности

Более детальное рассмотрение этой проблемы позволяет сформулировать основные задачи любой системы ИБ предприятия :

· необходимость отнесения определенной информации к категории ограниченного доступа (служебной или коммерческой тайне);

· прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

· создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

· создание механизма и условий оперативного реагирования на угрозы ИБ и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

Читать еще:  Образовательная область безопасности жизнедеятельности

· создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения ИБ.

Актуальность темы заключается в том, что проблемы информационной безопасности имеют не только местные (частные) и государственные, но и геополитические аспекты. Это комплексная проблема, поэтому её решение рассматривается на разных уровнях: законодательном, административном, процедурном и программно-техническом.

Компьютерные технические устройства воспринимают информацию по форме её представления, как: текстовую, графическую, числовую (цифровую), звуковую, видео (статическую и динамическую), мультимедийную (комбинированную), а также: оптическую и электромагнитную.

Поскольку информация представляет интерес для различных категорий пользователей, то основным назначением информации является её использование. При этом выделяют такие её свойства, как: адресность, актуальность, возможность кодирования, высокая скорость сбора, обработки и передачи, достаточность, достоверность, многократность использования, правовая корректность, полнота, своевременность.

Слово “безопасность” латинского происхождения – secure (securus). Затем в английском языке оно получило написание “security”.

Общеизвестно, что “безопасность” – это отсутствие опасности; состояние деятельности, при которой с определённой вероятностью исключено причинение ущерба здоровью человека, зданиям, помещениям и материально-техническим средствам в них.

Под безопасностью информации (Information security) или информационной безопасностью понимают защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб владельцам и пользователям информации и поддерживающей её структуре.

При рассмотрении проблем, связанных с обеспечением безопасности, используют понятие “несанкционированный доступ” – это неправомочное обращение к информационным ресурсам с целью их использования (чтения, модификации), а также порчи или уничтожения. Данное понятие также связано с распространением разного рода компьютерных вирусов.

В свою очередь “санкционированный доступ” – это доступ к объектам, программам и данным пользователей, имеющих право выполнять определённые действия (чтение, копирование и др.), а также полномочия и права пользователей на использование ресурсов и услуг, определённых администратором вычислительной системы.

Защищённой считают информацию, не претерпевшую незаконных изменений в процессе передачи, хранения и сохранения, не изменившую такие свойства, как достоверность, полнота и целостность данных.

Под терминами “защита информации” и “информационная безопасность” подразумевается совокупность методов, средств и мероприятий, направленных на исключение искажений, уничтожения и несанкционированного использования накапливаемых, обрабатываемых и хранимых данных.

Информационная безопасность. Механизмы и инструменты информационной безопасности. (2 семестр лекция 2)

Информационная безопасность – это комплекс мероприятий, обеспечивающий для охватываемой им информации следующее:

· Конфиденциальность – возможность ознакомиться с информацией имеют в своем распоряжении только те лица, кто владеет соответствующими полномочиями;

· Целостность и сохранность – возможность внести изменение в информацию должны иметь только те лица, кто на это уполномочен;

· Доступность – возможность получения авторизованного доступа к информации со стороны пользователей в соответствующий, санкционированный для работы, период времени;

· Учет – все значимые действия пользователей, (даже если они не выходят за рамки определенных для этого пользователя правил), должны быть зафиксированы и проанализированы;

· Неотрекаемостьили апеллируемость – пользователь, направивший информацию другому пользователю, не может отречься от факта направления информации, а пользователь, получивший информацию, не может отречься от факта ее получения.

Механизмы информационной безопасности

· Идентификация – определение (распознавание) каждого участника процесса информационного взаимодействия перед тем как к нему будут применены какие бы то ни было понятия информационной безопасности;

· Аутентификация – обеспечение уверенности в том, что участник процесса обмена информацией идентифицирован верно, т.е. действительно является тем, чей идентификатор он предъявил;

· Контроль доступа– создание и поддержание набора правил, определяющих каждому участнику процесса информационного обмена разрешение на доступ к ресурсам и уровень этого доступа;

· Авторизация– формирование профиля прав для конкретного участника процесса информационного обмена (аутентифицированного или анонимного) из набора правил контроля доступа;

· Аудити мониторинг – регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределенных значимых или подозрительных событий. Аудит предполагает анализ событий постфактум, а мониторинг – приближенно к режиму реального времени;

· Реагирование на инциденты –совокупность процедур или мероприятий, которые производятся при нарушении или подозрении на нарушение информационной безопасности;

· Управление конфигурацией– создание и поддержание функционирования среды информационного обмена в работоспособном состоянии и в соответствии с требованиями информационной безопасности;

· Управление пользователями– обеспечение условий работы пользователей в среде информационного обмена в соответствии с требованиями информационной безопасности;

· Управление рисками– обеспечение соответствия возможных потерь от нарушения информационной безопасности мощности защитных средств (то есть затратам на их построение); Безопасность не приносит прибыли, она лишь уменьшает вероятностный ущерб, но требует на себя реальных трат. Есть 2 границы: граница сверху (стоимость системы защиты не должна превышать стоимость защищаемого объекта и информации) граница снизу (затраты злоумышленника на взлом должны превышать его потенциальную прибыль)

· Обеспечение устойчивости– поддержание среды информационного обмена в минимально допустимом работоспособном состоянии и соответствии требованиям информационной безопасности в условиях деструктивных внешних или внутренних воздействий.

Основные инструменты информационной безопасности

· Персонал– люди, которые будут обеспечивать претворение в жизнь информационной безопасности;

· Нормативное обеспечение – документы, которые создают правовое пространство для функционирования информационной безопасности;

· Модели безопасности – схемы обеспечения информационной безопасности, заложенные в данную конкретную информационную систему или среду;

· Криптография– методы и средства преобразования информации в вид, затрудняющий или делающий невозможным несанкционированные операции с нею, вместе с методами и средствами создания, хранения и распространения ключей;

· Антивирусное обеспечение – средство для обнаружения и уничтожения зловредного кода;

· Межсетевые экраны– устройства контроля доступа из одной информационной сети в другую;

· Сканеры безопасности– устройства проверки качества функционирования модели безопасности для данной конкретной информационной системы;

· Системы обнаружения атак – устройства мониторинга активности в информационной среде, иногда с возможностью принятия самостоятельного участия в указанной активной деятельности;

· Резервное копирование– сохранение избыточных копий информационных ресурсов на случай их возможной утраты или повреждения;

· Дублирование (резервирование)– создание альтернативных устройств, необходимых для функционирования информационной среды, предназначенных для случаев выхода из строя основных устройств;

· Аварийный план– набор мероприятий, проводимых при нарушении правил информационной безопасности;

· Обучение пользователей– обучение пользователей правилам работы в соответствии с требованиями информационной безопасности.

Дата добавления: 2018-08-06 ; просмотров: 550 ;

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×