Invest-currency.ru

Как обезопасить себя в кризис?
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Основные цели обеспечения информационной безопасности

Основные цели информационной безопасности

Доклад

Тема: Информационная безопасность.

гр. ТАБИС – 151 ЗФО

СОДЕРЖАНИЕ

Список используемой литературы……………………………………………………10

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Информация— это сведения об окружающем мире и протекающих в нем процессах, воспринимаемые человеком или специальным устройством для нужд человека.

Как условие и средство существования человека в обществе информация необходима каждому. Она нуждается в защите также, как пища, вода, воздух, как вся среда обитания.

Сегодня реальность во многом заменяется виртуальным миром. Мы знакомимся, общаемся и играем в Интернете; у нас есть друзья, с которыми в настоящей жизни мы никогда не встречались, но доверяемся таким людям больше, чем близким. Выкладывая информацию о себе на страницах социальных сетей, мы создаем своего виртуального (информационного) двойника.

Используя электронное пространство, мы полагаем, будто это безопасно, потому что мы всего лишь делимся информацией о себе, а к нашей обычной жизни вроде бы это не может иметь отношения. Однако на самом деле границы между абстрактной категорией «информация» и реальным человеком, носителем этой информации, в современной обществе становятся зыбкими.

Информация о человеке, его персональные данные сегодня превратились в дорогой товар, который используется по-разному:

· кто-то использует эти данные для того, чтобы при помощи рекламы продать вам какую-то вещь;

· кому-то вы просто не нравитесь, и в Интернете вас могут пытаться оскорбить, очернить, выставить вас в дурном свете, создать плохую репутацию;

· с помощью ваших персональных данных мошенники, воры, могут украсть ваши деньги, шантажировать вас, заставлять совершать какие-то действия;

· и многое другое.

Поэтому защита личной информации может быть приравнена к защите реальной личности. Важно научиться правильно, безопасно обращаться со своими персональными данными.

Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Информационную безопасность можно подразделить на следующие виды:

Технические — обеспечение безопасности при помощи компьютерных технологий.

Социальные — обеспечение безопасности при помощи человеческих факторов.

Основные цели информационной безопасности

Основные цели достижения высокого уровня информационной безопасности – это обеспечение конфиденциальности, целостности, доступности, подлинности и неотказуемости информации.

Конфиденциальность информации — такое состояние информации, при котором доступ к ней только у объектов с наличием прав на неё.

Целостность информации — блокировка несанкционированных изменений информации.

Доступность информации — избежание сокрытия информации от пользователей с правами доступа.

Подлинность информации — предполагает соответствие этой информации её явному описанию и содержанию.

Неотказуемость или апеллируемость (англ. non-repudiation) — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты.

Нарушение какой-либо из этих категорий приводит к нарушению информационной безопасности в целом.

Выделяют следующие уровни обеспечения ИБ:

· Административный (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами).

· Процедурный (меры безопасности, ориентированные на людей).

Цели и задачи обеспечения информационной безопасности;

Подразделения, участвующие в обеспечении ИБ организации

Структура государственных органов РФ, обеспечивающих ИБ

Цели и задачи обеспечения информационной безопасности

Тема лекции№3. Задачи, методы и средства обеспечения информационной безопасности

Вопросы лекции:

Система защиты информации – совокупность взаимосвязанных средств, методов и мероприятий, направленных на предотвращение уничтожения, искажения, несанкционированного получения конфиденциальных сведений.

Классификация задач защиты информации может быть представлена следующей схемой.

Рассмотрим подробнее каждый класс задач в зависимости от их целенаправленности1.

Обеспечение защиты системы от обнаружения

Скрытиесведений о средствах, комплексах, объектах и системах обработки информации. Организационная сторона этих задач связана с недопущением разглашения конфиденциальных сведений сотрудниками и утечки их по агентурным каналам. Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них (технические задачи скрытия должны решаться, например, для подвижных объектов).

Дезинформация заключается в распространении заведомо ложных сведений относительно истинного назначения каких-либо объектов, изделий, государственной деятельности, положения дел на предприятии и т.п. Дезинформация проводится путем имитации или искажения признаков и свойств отдельных элементов объектов защиты, создания ложных объектов и т.п. Примером технической дезинформации может служить передача, обработка, хранение в АСОИ ложной информации.

Легендированиезадача близкая к дезинформации, когда назначение и направленность работ на объекте полностью не скрывают, а маскируют их действительное предназначение.

Обеспечение защиты содержания информации

Введение избыточности элементов системы предполагает введение в состав элементов системы обработки информации организационной, программно-аппаратной, информационной и временной избыточности.

Организационная избыточность осуществляется за счет введения дополнительной численности персонала, его дополнительного обучения для работы с конфиденциальной информацией, а также выбора мест размещения комплексов обработки конфиденциальной информации.

Программно-аппаратная избыточность предполагает наличие дополнительных программных и аппаратных средств, обеспечивающих информационную защиту на всех фазах хранения, передачи и обработки информации в АСОИ.

Информационная избыточность создается за счет использования дублирующих массивов и баз данных.

Временная избыточность предполагает выделение дополнительного времени для проведения обработки конфиденциальной информации.

Резервирование элементовсистемы в отличие от введения избыточности предполагает не введение дополнительных элементов, обеспечивающих защиту, а перевод части элементов системы в резерв, с целью их использования в тех или иных критических ситуациях.

Регулирование доступа к элементам системы и защищаемой информации предусматривает разграничение доступа к средствам, комплексам и системам обработки информации (на территорию, в помещение, к техническим средствам, к программам, базам данных и т.п.) и предполагает реализацию идентификации, проверки подлинности и контроля доступа, а также регистрацию субъектов и учет носителей информации.

Кроме того, к данному классу относятся задачи по установлению контролируемых зон вокруг средств обработки конфиденциальной информации, за пределами которых становится невозможным выделение и регистрация с помощью технических средств злоумышленников сигналов, содержащих конфиденциальные сведения. Например, сигналов, возникающих из-за побочных электромагнитных излучений или наводок в проводах, выходящих за пределы контролируемой зоны.

Регулирование использованияэлементов системы и защищаемой информации предполагает предъявление пользователями некоторых полномочий при доступе к тем или иным операциям (или процедурам). Для решения данного класса задач применительно к конфиденциальной информации могут использоваться такие операции, как дробление (расчленение информации на части с таким условием, что получение сведений об одной части не дает возможности восстановить всю картину в целом) и ранжирование (разграничение доступа к информации в зависимости от степени ее секретности).

Маскировка информацииэто, в первую очередь скрытие факта передачи информации (например, с помощью методов стеганографии). Во-вторых, это использование как криптографических методов защиты данных, так и не криптографических (например, кодовое зашумление).

Регистрация сведенийпредполагает фиксацию всех сведений о фактах и событиях в процессе функционирования средств обработки конфиденциальной информации (например, специальные программные средства, регистрирующие попытки НСД и др.).

Уничтожение информации рассматривается как процедура по частичному или полному уничтожению элементов конфиденциальной информации не представляющих в дальнейшем ценность, завершивших свой жизненный цикл и пр. Так для АСОИ типичной процедурой является уничтожение остаточной информации в элементах ОЗУ, программных модулях, на отдельных магнитных или бумажных носителях после завершения какой-либо задачи. Для криптографических систем это может быть уничтожение криптографических ключей по истечении установленного протоколом срока использования.

Читать еще:  Уязвимости информационной безопасности

Обеспечение сигнализации состоит в реализации процедуры сбора, генерирования, передачи, отображения и хранения сигналов о состоянии механизмов защиты с целью обеспечения регулярного управления ими, а также объектами и процессами обработки информации. Фактически это обеспечение обратной связи в системе управления.

Оценка системы защиты информации включает широкий круг задач, связанных с оценкой эффективности функционирования механизмов обработки и защиты информации на основе сравнения уровня безопасности информации, достигаемого применением выбранных механизмов, с требуемым уровнем.

Обеспечение реагирования на проявление дестабилизирующих факторов является признаком активности системы защиты информации.

Обеспечение защиты системы от информационного воздействия

Защита от воздействия на технические средства обработки информации направлена на исключение таких воздействий как:

§ уничтожение информации (например, электронное подавление средств связи);

§ искажение или модификацию информации (например, с использованием компьютерных вирусов);

§ внедрение ложной информации в систему (например, изменение программных кодов).

Защита от информационного воздействия на общество включает разработку методов противостояния негативному воздействию, например, средств массовой информации с целью влияния на общественное сознание (пропаганда, реклама и т.д.).

Защита от информационного воздействия на психику рассматривает защиту от т.н. психотропного оружия.

Нетрудно заметить, что классы задач совпадают со способами защиты, которые можно классифицировать подобным образом.

Кроме того, к пассивным способам можно добавить и активнst^

1. Принуждение – способ защиты, при котором личный состав, работающий с конфиденциальными сведениями, вынужден соблюдать правила и условия обращения с указанными сведениями под угрозой дисциплинарной или административной ответственности.

2. Побуждение – способ защиты, при котором личный состав, работающий с конфиденциальными сведениями, посредством моральных, этических, психологических, материальных и других мотивов, побуждается к соблюдению всех правил обращения с указанными сведениями.

3. Нападение – предполагает встречное воздействие на дестабилизирующие факторы и причины их порождающие, с целью недопущения или максимального ослабления их воздействия на защищаемую информацию.

Таким образом, Защита информации — это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее.

Защита информации (ЗИ) подразделяется на:

защиту от утечки,

защиту от несанкционированного воздействия (НСВ),

защиту от непреднамеренного воздействия (непреднамеренные ошибки либо неграмотные действия персонала),

защиту от разглашения,

защиту от несанкционированного доступа

защиту от разведки (технической и агентурной).

Защита от утечки производится созданием препятствия; защита от НСВ – препятствием и нападением; защита от непреднамеренного воздействия – управлением и регламентацией; защита от разглашения – управлением, регламентацией, принуждением, побуждением; защита от несанкционированного доступа – препятствием, управлением, маскировкой, регламентацией; защита от разведки (технической и агентурной) – осуществляется с применением всех указанных способов защиты информации.

Системе защиты информации для достижения цели, то есть заранее намеченного результата защиты, недостаточно владеть всеми представленными способами защиты и иметь в распоряжения необходимые средства защиты. Необходимо грамотное сочетание всех названных способов и средств защиты информации в зависимости от сложившейся обстановки, поставленной задачи и соответствующих ей приоритетов, а также возможностей потенциального конкурента. При этом, для постановки задачи на организацию защиты информации необходимо иметь следующие исходные данные:

1. Силы и средства ЗИ, имеющиеся в распоряжении.

2. Способы защиты информации, реализуемые системой защиты.

3. Сведения о возможностях потенциального конкурента по получению конфиденциальной информации организации.

4. Порядок принятия решения по управлению силами и средствами защиты информации.

5. Порядок управления и контроля использования сил и средств ЗИ.

Применение различных способов защиты информации подразумевает использование различных средств, что требует согласованного по целям, масштабу и времени управления ими с учетом условий обстановки, возможностей организации и потенциального противника, а также задач, решаемых организацией.

Цели и задачи защиты информации

В современной среде нельзя обеспечить полный физический контроль за каналами связи и повсеместно распространяющимися автоматизированными системами обработки и хранения информации – вторжение возможно из любой точки сети, спектр потенциальных атак на информацию чрезвычайно широк. В этой связи можно рассматривать следующие основные цели защиты информации:

1. предотвращение утечки, хищения, утраты, замены, искажения, подделки информации;

2. предупреждение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

3. предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

4. обеспечение правового режима документированной информации как объекта собственности;

5. защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

6. обеспечение прав субъектов в информационных процессах, а также при разработке, производстве и применении информационных систем, технологий и средств их обеспечения [26, с. 13; 28, с. 35-37].

Задачи защиты информации можно подразделить на два уровня.

Первый уровень – задачи общеконцептуального плана.

· предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

· выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

· обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;

· локализация преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

· ликвидация последствий угроз и преступных действий и восстановление статус-кво.

Второй уровень – прикладные задачи. Они зависят: от видов защищаемой на предприятии информации; степени ее конфиденциальности; состава носителей защищаемой информации [18, с. 5-12; 19, с. 25-27].

Защита информации разбивается на решение двух основных групп задач:

1. Своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой, инженерно-технической, маркетинговой и иной деятельности, то есть обеспечение специалистов организаций, предприятий и фирм секретной или конфиденциальной информацией.

2. Ограждение засекреченной информации от несанкционированного доступа к ней соперника, других субъектов в злонамеренных целях.

При решении первой группы задач — обеспечении специалистов информацией — всегда учитывается, что специалисты могут использовать как открытую, так и засекреченную информацию. Снабжение специалистов открытой информацией ничем не ограничивается, кроме ее фактического наличия. При снабжении же специалиста засекреченной информацией действуют ограничения: наличие соответствующего допуска и разрешения на доступ к конкретной информации. В решении проблемы доступа специалиста к соответствующей засекреченной информации всегда существуют противоречия, с одной стороны, — максимально ограничить его доступ к засекреченной информации и тем самым уменьшить вероятность утечки этой информации, с другой стороны — наиболее полно удовлетворить его потребности в информации, в том числе и засекреченной для обоснованного решения им служебных задач. В обычных, не режимных условиях, специалист имеет возможность использовать в целях решения стоящей перед ним проблемы разнообразную информацию: ретроспективную, узко и широко-тематическую, отраслевую и межотраслевую, фактографическую и концептуальную. При обеспечении его засекреченной информацией возможности доступа к ней ограничиваются двумя факторами: его служебным положением и решаемой специалистом в настоящее время проблемой [19, с. 15-20].

Вторая группа задач — это ограждение защищаемой информации от несанкционированного доступа к ней соперника, включает такие условия, как:

1. Защита информационного суверенитета страны и расширение возможности государства по укреплению своего могущества за счет формирования и управления развитием своего информационного потенциала.

2. Создание условий эффективного использования информационных ресурсов общества, отрасли, предприятия, фирмы, структурного подразделения, индивида.

3. Обеспечение безопасности защищаемой информации: предотвращение хищения, утраты, несанкционированного уничтожения, модификации, блокирования информации и другие вмешательства в информацию, и информационные системы.

Читать еще:  Удаление вирусов онлайн бесплатно

4. Сохранение секретности или конфиденциальности засекреченной информации в соответствии с установленными правилами ее защиты, в том числе предупреждения ее утечки и несанкционированного доступа к ее носителям, предотвращению ее копирования, фотографирования.

5. Сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки, установленных собственником информации или уполномоченными им лицами.

6. Обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальной персональной информации, в том числе накапливаемой в банках данных.

7. Недопущение безнаказанного растаскивания и незаконного использования интеллектуальной собственности, принадлежащей государству, предприятиям и фирмам, частным лицам [18, с. 22-27].

Проблемы информационной безопасности решаются, как правило, посредством создания специализированных систем защиты информации, которые должны обеспечивать безопасность информационной системы от несанкционированного доступа к информации и ресурсам, несанкционированных и непреднамеренных вредоносных воздействий. Система защиты информации является инструментом администраторов информационной безопасности.

Основные цели защиты информации

Дата добавления: 2013-12-23 ; просмотров: 14019 ; Нарушение авторских прав

Согласно статье 16 Закона РФ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.02.2006 г. защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

За­щите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Закон подразделяет информацию по уровню доступа на общедоступную и информацию ограниченного доступа. Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. К конфиденциальной ин­формации относятся сведения, определяемые общим понятием — тайна. В законах встречается 32 вида тайн. Однако, обобщённый перечень сведе­ний, отнесённых к разряду конфиденциальных, приводится в Указе Прези­дента РФ №188 от 06.03.1997 г. Следует отметить, что согласно ст. 139 Гражданского Кодекса РФ к коммерческой тайне относятся сведения, представляющие потенциальную ценность для её обладателя в силу неизвестности третьим лицам.

В современной среде нельзя обеспечить физический контроль за каналами связи как внутри, так и особенно вне организации – вторжение возможно с любой точки сети, спектр потенциальных атак на конфиденциальную информацию чрезвычайно широк. В этой связи можно рассматривать следующие основные цели защиты информации:

1) предотвращение утечки, хищения, утраты, замены, искажения, подделки информации;

2) предупреждение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

3) предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

4) обеспечение правового режима документированной информации как объекта собственности;

5) защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

6) обеспечение прав субъектов в информационных процессах, а также при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

1.2 Что же может являться угрозой безопасности для информационных систем предприятий?

Многочисленные публикации последних лет показывают, что злоупотребление информацией, циркулирующей в информационных системах и передаваемой по каналам связи, совершенствуется не менее интенсивно, чем меры защиты от него. Под угрозой безопасности информационной системы понимают события или действия, которые приводят к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов системы управления, а также программных и аппаратных средств. (рис. 1.2.1)

Рис. 1.2.1. Классификация угроз безопасности информационных систем агроформирования

Следует помнить, что угрозы могут быть случайные, непреднамеренные, но особенно опасны угрозы умышленные, которые преследуют цель нанесения ущерба системе управления или пользователям, это делается нередко ради получения личной выгоды. Защита от умышленных угроз – это своего рода соревнование обороны и нападения: кто больше знает, предусматривает действенные меры, тот и выигрывает.

«Внешнему врагу» порой весьма непросто проникнуть в корпоративную информационную систему агроформирования. Ситуация коренным образом меняется, если у злоумышленника есть союзник внутри предприятия. Защищаясь от «внутренних врагов», следует различать тех, кто наносит своему предприятию вред целенаправленно, и тех, кто делает это по неосторожности. Соответственно методы защиты от их действий существенно разнятся.

Шпионы– внедренные в компанию недоброжелатели, как правило, хорошо знакомы с используемыми защитными механизмами и стремятся легальным путем получить все необходимые коды доступа. В таких условиях предотвратить утечку информации почти невозможно, тем не менее, ее необходимо точно зафиксировать, чтобы в дальнейшем бороться с ней. Для защиты от этого вида угроз традиционно используется служба физической безопасности. Как правило, «шпионы» могут нанести значительно больший ущерб, чем «сотрудники», но, к счастью, встречаются намного реже. Для обеспечения надежного мониторинга нужно выстроить правильную политику обеспечения доступа пользователей, предоставляя им ровно столько полномочий, сколько нужно. Изменение прав доступа должно меняться автоматически с помощью средств управления идентификационной информацией. Такие решения есть у Oracle, Check Point и ряда других компаний. Желательно не ограничивать процедуру аутентификации простой проверкой пароля, но использовать более сложную систему опознавания пользователей.

Сотрудники. Защищаться от «шпионов» достаточно сложно, однако это явление довольно редкое. Большинство же инцидентов происходит по вине тех пользователей, которые, имея доступ к конфиденциальной информации, не заботятся о ее защите. В этом случае шифрование и контроль сменных накопителей могут уменьшить вероятность случайной утечки. Впрочем, такие инструменты имеют еще и воспитательный аспект, поскольку с их помощью компания может продемонстрировать, что заботится о сохранении своих секретов и может даже за это наказать.

Также не менее опасны внешние угрозы.

«Троянский конь». Аналогия с древнегреческим троянским конем оправдана – и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. «Троянский конь» представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем дарится, продается, подменяется пользователям информационных систем. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне), причет личность командующего установить порой невозможно. Для защиты от этой угрозы желательно, чтобы программист или системный администратор с помощью специальных средств могли отслеживать такие нежелательные программы. А программы пользователей должны храниться и защищаться индивидуально.

Вирус – программа, которая может заражать другие программы путем включения в них модифицированной копии, обладающее способностью к дальнейшему размножению. Считается, что вирус характеризуется двумя основными особенностями: способностью к саморазмножению, и способностью к вмешательству в вычислительный процесс.

«Червь»– программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Подходящей средой распространения «червя» является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют.

Захватчик паролей– это программа, специально предназначенная для воровства паролей. При попытке обращения пользователя к терминалу системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе, однако, его имя и пароль уже известны владельцу программы-захватчика. Для предотвращения этой угрозы перед входом в систему необходимо убедится, что введено имя и пароль именно системной программе ввода, а не какой-нибудь другой.

Читать еще:  Образовательная область безопасности жизнедеятельности

Цели создания системы обеспечения информационной безопасности

Раздел II

Обеспечение безопасности информационных технологий

Тема 8: Организационная структура системы обеспечения безопасности информационных технологий. Распределение функций. Система нормативно-методических и организационно-распорядительных документов организации по обеспечению безопасности информационных технологий.

Тема 9: Обязанности конечных пользователей и ответственных за обеспечение безопасности информационных технологий в подразделениях. Ответственность за нарушения. Порядок работы с носителями ключевой информации.

Тема 10: Инструкции по организации парольной и антивирусной защиты.

Тема 11: Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы.

Тема 12: Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств автоматизированной системы.

Тема 13: Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач.

Тема 14: Определение требований к защите и категорирование ресурсов. Проведение информационных обследований и анализ подсистем автоматизированной системы как объекта защиты.

Тема 15: Планы защиты и планы обеспечения непрерывной работы и восстановления подсистем автоматизированной системы.

Тема 16: Основные задачи подразделений обеспечения безопасности информационных технологий. Организация работ по обеспечению безопасности информационных технологий.

Тема 17: Концепция безопасности информационных технологий предприятия (организации).

ТЕМА 8

Организационная структура системы обеспечения безопасности информационных технологий. Распределение функций. Система нормативно-методических и организационно-распорядительных документов организации по обеспечению безопасности информационных технологий.

Понятие технологии обеспечения безопасности информации и ресурсов в АС

Под технологией обеспечения безопасности информации и ресурсов в АСпонимается определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.

Требования к технологии управления безопасностью:

· соответствие современному уровню развития информационных технологий;

· учет особенностей построения и функционирования различных подсистем АС;

· точная и своевременная реализация политики безопасности организации;

· минимизация затрат на реализацию самой технологии обеспечения безопасности.

Для реализации технологии обеспечения безопасности в АС необходимо:

· наличие полной и непротиворечивой правовой базы (системы взаимоувязанных нормативно — методических и организационно-распорядительных документов) по вопросам обеспечения безопасности ИТ;

· распределение функций и определение порядка взаимодействия подразделений и должностных лиц организации по вопросам обеспечения безопасности ИТ на всех этапах жизненного цикла подсистем АС, обеспечивающее четкое разделение их полномочий и ответственности;

· наличие специального органа (подразделения защиты информации, обеспечения информационной безопасности), наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики безопасности ИТ организации и осуществляющего контроль и координацию действий всех подразделений и сотрудников организации по вопросам обеспечения безопасности ИТ.

Реализация технологии обеспечения безопасности ИТ предполагает:

· назначение и подготовку должностных лиц (сотрудников), ответственных за организацию, реализацию функций и осуществление конкретных практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

· строгий учет всех подлежащих защите ресурсов системы (информации, ее носителей, процессов обработки) и определение требований к организационно-техническим мерам и средствам их защиты;

· разработку реально выполнимых и непротиворечивых организационно-распорядительных документов по вопросам обеспечения безопасности информации;

· реализацию (реорганизацию) технологических процессов обработки информации в АС с учетом требований по безопасности ИТ;

· принятие эффективных мер сохранности и обеспечения физической целостности технических средств и поддержку необходимого уровня защищенности компонентов АС;

· применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывную административную поддержку их использования;

· регламентацию всех процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений, использующих АС, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе утвержденных организационно-распорядительных документов по вопросам обеспечения безопасности ИТ;

· четкое знание и строгое соблюдение всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

· персональную ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;

· эффективный контроль за соблюдением сотрудниками подразделений -пользователями и обслуживающим АС персоналом, — требований по обеспечению безопасности информации;

· проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработку и реализацию предложений по совершенствованию системы защиты информации в АС.

Организационные (административные) меры регламентируют процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Цели создания системы обеспечения информационной безопасности

Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами

Обеспечение информационной безопасности — это непрерывный процесс, основное содержание которого составляет управление рисками через управление людьми, ресурсами, средствами защиты и т.п. Люди — обслуживающий персонал и конечные пользователи АС, — являются неотъемлемой частью автоматизированной (то есть «человеко-машинной») системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность.

Уровень информационной безопасности организации существенно зависит от деятельности следующих категорий сотрудников и должностных лиц организации (см. Рис. 2.8.1):

· сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с применением средств автоматизации;

· программистов, осуществляющих разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации;

· сотрудников подразделения внедрения и сопровождения ПО,

· обеспечивающих нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ (задач);

· сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и обслуживание технических средств обработки и передачи информации и системного программного обеспечения;

· системных администраторов штатных средств защиты (ОС, СУБД и т.п.);

· сотрудников подразделения защиты информации, оценивающих состояние безопасности ИТ, определяющих требования к системе защиты, разрабатывающих организационно-распорядительные документы по вопросам обеспечения безопасности ИТ (аналитиков), внедряющих и администрирующих специализированные дополнительные средства защиты (администраторов безопасности);

· руководителей организации, определяющих цели и задачи функционирования АС, направления ее развития, принимающих стратегические решения по вопросам безопасности и утверждающих основные документы, регламентирующие порядок безопасной обработки и использования защищаемой информации сотрудниками организации.

Кроме того, на безопасность ИТ организации могут оказывать влияние посторонние лица и сторонние организации, предпринимающие попытки вмешательства в процесс нормального функционирования АС или несанкционированного доступа к информации как локально, так и удаленно.

Рис. 2.8.1. Субъекты, влияющие на состояние безопасности ИТ

Дата добавления: 2018-02-28 ; просмотров: 149 ;

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector