Получите консультацию через форму обратной связи

подписка на RSS | 1452 Подписчика


Защита электронной информации.


Информационные технологии
4.1 / 5 (53 оценок)

Под безопасностью электронной системы понимают ее способность противодействовать попыткам нанести ущерб собственникам и пользователям систем при появлении различных возбуждающих (преднамеренных и непреднамеренных) воздействий на нее. Природа воздействий может быть разнообразной: попытка проникновения злоумышленника, ошибки персонала, стихийные бедствия (ураган, пожар), выход из строя отдельных ресурсов., Как правило, различают внутреннюю и внешнюю безопасность. Внутренняя безопасность учитывает защиту от стихийных бедствий, от проникновения злоумышленника, доступа к носителям информации или выходу системы из строя. Предметом внутренней безопасности является обеспечение надежной и корректной работы системы, целостности ее программ и данных.

На сегодня сложились два подхода к обеспечению безопасности электронных систем:

Фрагментарный подход, при котором проводится противодействие строго определенным угрозам при определенных условиях (специализированные антивирусные средства, автономные средства шифрования и т.д.);

Комплексный подход, который предусматривает создание среды обработки информации, которое объединяет разнообразные (правовые, организационные, программно-технические) меры для противодействия угрозам.

Комплексный подход, как правило, используется для защиты больших систем. Хотя часто и типовые программные средства содержат встроенные средства защиты информации, но этого не достаточно. В этом случае необходимо обеспечить выполнение следующих мероприятий:

организационные мероприятия по контролю за персоналом, который имеет высокий уровень полномочий на действия в системе (за программистами, администраторами баз данных сети и т.д.);

организационные и технические мероприятия по резервированию критически важной информации;

организационные мероприятия по восстановлению работоспособности системы в случае возникновения нештатных ситуаций;

организационные и технические мероприятия по управлению доступом в помещениях, в которых находится вычислительная техника;

организационные и технические мероприятия по физической защиты помещений, в которых находится вычислительная техника и носители данных, от стихийных бедствий, массовых беспорядков и т.д.

Международные стандарты безопасности информационно-вычислительных систем.

В 1985 году Национальным центром компьютерной безопасности Министерства обороны США была опубликована так называемая "Оранжевая книга" ("Критерии оценки достоверности вычислительных систем Министерства обороны"). В ней приведены основные положения, по которым американское ведомство обороны определяло степень защищенности информационно-вычислительных систем. В ней в систематизированном виде приводились основные понятия, рекомендации и классификация по видам угроз безопасности информационных систем и методы защиты от них. В дальнейшем книга превратилась в сборник научно-обоснованных норм и правил, описывающих системный подход для обеспечения безопасности информационных систем и их элементов, и стала настольной книгой для специалистов в области защиты информации. Предложенная в "Оранжевой книге" методология по сути стала общепринятой и в той или иной степени вошла в национальные стандарты.

Системный подход в соответствии с "Оранжевой книгой" требует:

принятие принципиальных решений в области безопасности на основе текущего состояния информационной системы;

прогнозирование возможных угроз и анализа связанного с ними риска для информационной системы;

планирование мероприятий по предотвращению возникновения критических ситуаций;

планирование мероприятий по выходу из критических ситуаций на случай, если они возникнут.

Одно из основных понятий, введенных в "Оранжевой книге", это политика безопасности. Политика безопасности - это совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обработки, хранения и распределения критической информации. При этом под информационной системой пидрозумиваеться не только аппаратно-программный комплекс, но и обслуживающий персонал.

Понятие политика безопасности.

Политика безопасности формируется на основе анализа текущего состояния и перспективы развития информационной системы, возможных угроз и определяет:

цели, задачи и приоритеты системы безопасности;

сфера действия отдельных подсистем;

гарантированный минимальный уровень защиты;

обязанности персонала по обеспечению защиты;

санкции за нарушение защиты.

Если выполнение политики безопасности проводится не в полной мере или непоследовательно, тогда вероятность нарушения защиты информации резко возрастает. Под защитой информации понимается комплекс мероприятий, который обеспечивает:

сохранения конфиденциальности информации - предотвращение ознакомления с информацией неуполномоченные лиц;

хранения информации - предотвращение повреждения или уничтожения информации в результате сознательных действий злоумышленника, ошибок персонала, стихийных бедствий;

прозрачность, то есть наличие системы безопасности не должна создавать препятствий для нормальной работы системы.

Анализ риска безопасности информационно-вычислительных систем.

Определение политики безопасности невозможно без анализа риска. Анализ риска повышает уровень осведомленности о слабые и сильные стороны защиты, создает базу для подготовки и принятия решений, оптимизирует размер затрат на защиту, поскольку большая часть ресурсов направляется на блокирование угроз, которые могут принести наибольший вред. Анализ риска состоит из следующих основных этапов:

Описание состава системы: аппаратных средств, программного обеспечения, данных, документации, персонала.

Определение слабых мест - выясняются слабые места по каждому элементу системы с оценкой возможных источников угроз.

Оценка вероятности реализации угроз.

Оценка ожидаемых размеров потерь - этот этап сложный, поскольку не всегда возможна количественная оценка данного показателя.

Анализ возможных методов и средств защиты.

Оценка выигрыша от принятых мер. Если ожидаемые потери больше допустимого уровня, необходимо усилить меры безопасности.

Анализ риска завершаеться принятием политики безопасности и составлением плана защиты со следующими разделами:

Текущее состояние. Описание статуса системы безопасности в момент подготовки плана.

Рекомендации. Выбор основных средств защиты, реализующих политику безопасности.

Ответственность. Список ответственных работников и зон ответственности.

Расписание. Определение порядка работы механизмов защиты, в том числе и средств контроля.

Пересмотр положений плана, которые должны периодически пересматриваться.

Организация системы безопасности в организации

Основным вопросом начального этапа внедрения системы безопасности является назначение ответственных лиц за безопасность и разграничение сфер их влияния., Как правило, еще на этапе начальной постановки вопросов выясняется, что за этот аспект безопасности организации никто отвечать не хочет. Системные программисты и администраторы склонны относить эту задачу к компетенции общего службы безопасности, тогда как последняя считает, что этот вопрос находится в компетенции специалистов по компьютерам.

При решении вопросов распределения ответственности за безопасность компьютерной системы необходимо учитывать следующие положения:

никто, кроме руководства, не может принять основополагающие решения в области политики компьютерной безопасности;

никто, кроме специалистов, не сможет обеспечить правильное функционирование системы безопасности

никакая внешняя организация или группа специалистов жизненно не заинтересована в экономической эффективности мер безопасности.

Организационные меры безопасности информационных систем прямо или косвенно связанные с административным управлением и относятся к решениям и действиям, которые применяются руководством для создания таких условий эксплуатации, которые сведут к минимуму слабость защиты. Действия администрации можно регламентировать по следующим направлениям:

меры физической защиты компьютерных систем;

регламентация технологических процессов;

регламентация работы с конфиденциальной информацией;

регламентация процедур резервирования;

регламентация внесения изменений;

регламентация работы персонала и пользователей;

подбор и подготовка кадров;

меры контроля и наблюдения.

В области стратегических решений при создании системы компьютерной безопасности должна быть отнесена разработка общих требований к классификации данных, хранящихся и обрабатываемых в системе.

На практике чаще всего используются следующие категории информации.

Важная информация - незаменимы и необходимое для деятельности информация, процесс восстановления которого после уничтожения невозможно или очень трудоемкий и связан с большими затратами, а ее ошибочное применение или подделка приводит к большим потерям.

Полезная информация - необходимое для деятельности информация, которая может быть восстановлена ​​без больших потерь, причем ее модификация или уничтожение приводит к относительно небольших потерь.

Конфиденциальная информация - информация, доступ к которой для части персонала или посторонних лиц нежелателен, поскольку может повлечь материальные и моральные потери.

Открытая информация - это информация, доступ к которой открыт для всех.

Руководство должно принимать решение о том, кто и каким образом будет определять степень конфиденциальности и важности информации. К сожалению, в нашей стране еще не полностью сформировано законодательство, чтобы рассматривать информацию как товар и регламентировать права интеллектуальной собственности на рынке интеллектуального продукта, как это делается в мировой практике.

Классификация угроз безопасности.

Под угрозой безопасности понимают потенциальные действия или события, которые могут прямо или косвенно принести потери - привести к расстройству, искажения или несанкционированного использования ресурсов сети, включая информацию, которая хранится, передается или обрабатывается, а также программные и аппаратные средства.

Не существует единой общепринятой классификации угроз, хотя существует много ее вариантов. Приведем перечень тем подобных классификаций:

по цели реализации;

по принципу действия на систему;

по характеру воздействия на систему;

по причине появления ошибки защиты;

по способу воздействия атаки на объект;

по объекту атаки;

по используемым средствам атаки;

по состоянию объекта атаки.

12345678
Другие статьи по теме:
 Совершенствование НАУЧНОЙ КОММУНИКАЦИИ С ИСПОЛЬЗОВАНИЕМ СОВРЕМЕННЫХ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ
  range rover evoque
 ТЕНДЕЦИИ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННЫХ БИБЛИОТЕК В НАУЧНЫХ И УЧЕБНЫХ ЗАВЕДЕНИЯХ
 Базовые сведения об internet и web
 5 софт-скиллов, без которых вы не построите карьеру в технологиях
Добавить комментарий:
Введите ваше имя:

Комментарий:

Защита от спама - введите символы с картинки (регистр имеет значение):