Главная Другое
Экономика Финансы Маркетинг Астрономия География Туризм Биология История Информатика Культура Математика Физика Философия Химия Банк Право Военное дело Бухгалтерия Журналистика Спорт Психология Литература Музыка Медицина |
страница 1страница 2 ... страница 13страница 14СОДЕРЖАНИЕ
3. Комплексный подход к построению системы информационной безопасности 3.1. Объекты информационной системы, нуждающиеся в защите. Методика их выявления. Анализ рисков
4. Аудит информационной безопасности 4.1. Этический кодекс аудитора информационных систем (вместо эпиграфа)
5. Социальный инжиниринг: методики атак, манипулирование людьми, способы защиты
6. Выработка официальной политики предприятия в области информационной безопасности
7. Технические вопросы информационной безопасности: обеспечение парольного доступа, антивирусная защита, шифрование, межсетевые экраны 7.1. Защита от НСД. Парольный доступ к системе и информации
7.4. Защита электронных документов при передаче по каналам связи. Шифрование 7.5. Резервное копирование информации. ПО для резервного копирования 8. Законодательно-правовое обеспечение информационной безопасности. Нормативные документы по обеспечению информационной безопасности и их применение в практической деятельности 9. Лицензирование и сертификация в области технической защиты информации в Украине
11.1.Организационные мероприятия и процедуры по обеспечению защиты информации в автоматизированных системах 11.2.Меры защиты. Четыре уровня защиты 11.3.Защита серверной комнаты (Дик Льюис)
Использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем в процессе управления предприятием. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. С каждым годом все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономической деятельности любого предприятия. И поэтому должно быть ясно, что информация – это ресурс, который надо защищать! Так как автоматизация привела к тому, что теперь операции с вычислительной техникой выполняются простыми служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации. Шансов быть пойманным у компьютерного преступника гораздо меньше, чем у грабителя банка - и даже при поимке у него меньше шансов попасть в тюрьму. Обнаруживается в среднем 1 процент компьютерных преступлений. И вероятность того, что за компьютерное мошенничество преступник попадет в тюрьму, меньше 10 процентов. Основной причиной наличия потерь, связанных с компьютерами, является недостаточная образованность в области безопасности. Только наличие некоторых знаний в области безопасности может прекратить инциденты и ошибки, обеспечить эффективное применение мер защиты, предотвратить преступление или своевременно обнаружить подозреваемого. Осведомленность конечного пользователя о мерах безопасности обеспечивает четыре уровня защиты компьютерных и информационных ресурсов:
Подробнее эти меры рассматриваются в Разделе 11 данного сборника. Что может создавать опасность для бизнесменов или коммерсантов, заинтересованных, разумеется, в соблюдении коммерческой тайны?
2. ГЛАВНЫЕ ЦЕЛИ И ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 2.1. ЦЕЛИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ. При разработке эффективной защиты информационных систем должны быть поставлены следующие цели:
Обеспечение гарантий – общая задача, без решения которой решение остальных четырех не имеет смысла. Адекватная защита информации требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы. 2.2. ВЗАИМОСВЯЗЬ ОСНОВНЫХ ЦЕЛЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ см. рис. ниже. 2.3. ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Задачи информационной безопасности (да и безопасности любого другого рода) сводятся, как правило, к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий. Соответственно, составляющими информационной безопасности являются:
Вкратце все это можно сформулировать в трех предложениях. Основными задачами информационной безопасности являются:
Все эти три задачи реализуются за счет неких организационных мероприятий и программных продуктов. 2.4. БАЗОВАЯ ТЕХНИЧЕСКАЯ МОДЕЛЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Решение задач защиты возлагается на услуги безопасности. Услуги, в зависимости от того на решение каких задач они направлены, можно отнести к одному из трех классов:
Системное объединение услуг позволило построить базовую техническую модель ИТ-безопасности, которая представлена на рисунке ниже. Данная модель иллюстрирует использование основных услуг безопасности при обеспечении ИТ-безопасности и взаимодействие данных услуг. Опорные услуги безопасности, как уже было сказано, выступают в роли базиса, связующей среды для построения всех остальных услуг безопасности. К данному классу относятся следующие услуги безопасности. Идентификация (присвоение имен). Однозначная идентифицируемость объектов и субъектов информационных взаимоотношений является необходимыми условием для реализации большинства услуг безопасности. Идентификация обеспечивает возможность присвоения уникального идентификатора пользователям, процессам, информационным и иным ресурсам. У ![]() Управление безопасностью и администрирование. Под управлением безопасностью понимают распространение и управление информацией, необходимой для работы услуг и механизмов безопасности. Под администрированием понимают процессы настройки параметров инсталляции и эксплуатации программного и аппаратного обеспечения услуг безопасности, а также учет вносимых изменений в эксплуатируемое оборудование. Защищенность системы представляет собой совокупность свойств системы, которые позволяют доверять технической реализации системы. Рассматривается не только качество реализованных средств защиты, но и процедуры их разработки, способы достижения и решения технических задач. Примерами средств защищенности системы являются защита остаточной информации (или защита от повторного использования), минимизация полномочий, разделение процессов, модульность и уровневость разработки, минимизация круга осведомленных лиц и т.д. Услуги предотвращения нарушений безопасности. К данному классу можно отнести следующие услуги: Защищенные телекоммуникации (каналы связи). В распределенных системах обеспечение надежной защиты в большой степени зависит от защищенности каналов связи. Услуга защиты каналов связи обеспечивает целостность, конфиденциальность и доступность информации при её передаче по каналам связи. Различные механизмы безопасности обеспечивают скрытие смыслового содержания передаваемых сообщений, защиту от уничтожения, подстановки, модификации и повторной передачи данных и других видов злоумышленных действий. Аутентификация является наиболее важной услугой безопасности, особенно в открытых системах. Аутентификация представляет собой услугу проверки подлинности, которая позволяет достоверно убедиться в подлинности субъекта или сообщений. Авторизация представляет собой услугу, направленную на предоставление (наделение) субъектам определенных полномочий относительно выполнения ими действий в данной ИТ-системе. Управление доступом. Данная услуга определена как «предотвращение неавторизованного использования ресурсов, включая предотвращение использования ресурсов недопустимым способом». Услуга применяется к различным типам доступа к ресурсам, например использование коммуникационных ресурсов, чтение, запись или удаление информационных ресурсов, использование ресурсов вычислительных систем по обработке данных и т.д. Политика управления доступом является основой политики безопасности ИТ-системы. Причастность (доказательство принадлежности). Причастность определяется как «предотвращение возможности отказа одним из реальных участников коммуникаций от факта его полного или частичного участия в передаче данных». Определены две формы причастности: причастность к посылке сообщения (доказательство источника) и подтверждение (доказательство) получения сообщений. Причастность выполняет функции как предотвращения, так и обнаружения нарушений безопасности. В класс услуг предотвращения она помещена потому, что механизмы причастности предотвращают возможность отказа от выполненных действий. Приватность (секретность) транзакций. И в государственных, и в частных (корпоративных) ИТ-системах в последнее время усиливаются требования по обеспечению приватности личности, использующей услуги и ресурсы ИТ-системы. Под приватностью (privacy) понимают использование ИТ-системы без угрозы разглашения информации (данных) о личности пользователя. Услуга приватности транзакций обеспечивает защиту от потери приватности путем анализа действия, операций и т.п. выполняемых пользователем в ИТ-системе. Услуги предупреждения и восстановления безопасности. Поскольку не существует достаточного множества предотвращающих мер безопасности, в ИТ-систему встраиваются услуги обнаружения нарушений безопасности, направленные на усиление услуг предотвращения. К данному классу услуг относятся: Аудит безопасности, направленный на обнаружение событий, оказывающих влияние на безопасность системы и обеспечение реагирования системы на выявленные вторжения, а также на обеспечение формирования необходимых данных для последующего восстановления ИТ-системы в безопасное состояние. По сути, аудит безопасности выполняет функцию контроля безопасности системы, под которым понимают сбор, накопление информации о событиях, происходящих в информационной системе и анализ записей безопасности с целью проверки эффективности управления системой, обеспечения гарантий соответствия функционирования системы политике безопасности и выработке рекомендаций о необходимых изменениях в управлении, политике и процессах безопасности. Механизмы аудита служат для решения следующих задач:
Особенностью аудита является его сильная зависимость от других услуг и механизмов безопасности. Так идентификация и аутентификация служат отправной точкой подотчетности пользователей. Для обеспечения конфиденциальности и целостности регистрационной информации применяют механизмы управления доступом. Обнаружение происшествий и политика сдерживания. Услуга обнаружения происшествий направлена на обнаружение как попыток нарушений безопасности, так и на регистрацию легитимной активности пользователей. Обнаружение может быть локальным и/или дистанционным и реализуется через тревожную сигнализацию о происшествиях (event reporting (alarm)), регистрацию событий (event logging) и восстановительные действия (recovery actions). Реализация механизмов обнаружения попыток нарушений безопасности – довольно сложная задача требующая привлечения методов искусственного интеллекта. Здесь проблема заключается в определении того минимума информации, который бы позволил с заданной вероятностью выявить (или не пропустить) возможные события по вмешательству в работу компьютерной системы. Контроль целостности программной, аппаратной и информационной частей ИТ-системы и ресурсов направлен на своевременное обнаружение нарушений целостности. Восстановление безопасности выполняет функцию реакции системы на нарушение безопасности. Услуга реализуется через выполнение таких действий как немедленное разъединение или прекращение работы, отказ субъекту в доступе, временное лишение субъекта прав, занесение субъекта в "черный список" и т.п. На основе базовой модели можно построить модели обеспечения каждой из выше рассмотренных задач обеспечения безопасности. Для каждой задачи будут важны те или иные услуги безопасности. На рисунках в приложении к материалам представлены модели решения каждой из основных задач безопасности. Однако следует учитывать, что адекватную защиту ИТ-систем можно обеспечит только путем комплексного решения всех задач. Смотрите также: Главные цели и задачи безопасности информационных систем Цели безопасности информационных систем
2351.82kb.
14 стр.
Института естественных наук и математики
23.88kb.
1 стр.
Рабочая программа по дисциплине «методология защиты информации и обеспечения информационной безопасности информационных систем»
56.25kb.
1 стр.
Математическое обеспечение и администрирование информационных систем” Cанкт-Петербург 2011 Направление 010500 «Математическое обеспечение и администрирование информационных систем»
41.68kb.
1 стр.
Лекция 13. Эффективность информационных систем
201.22kb.
1 стр.
Проектирование информационных систем
273.48kb.
1 стр.
Обзор систем безопасности современных автомобилей
434.07kb.
3 стр.
Администрирование информационных систем рабочая программа
89.54kb.
1 стр.
Программа по дисциплине надежность информационных систем краснобаев Ю. Л
44.51kb.
1 стр.
Методология и технология разработки информационных систем
97.82kb.
1 стр.
Программа дисциплины «Администрирование информационных систем»
201.28kb.
1 стр.
Case-технологии. Современные методы и средства проектирования информационных систем 1889.96kb.
10 стр.
|