Здавалка
Главная | Обратная связь

Защита информации в сетях предприятий и организаций. Основные мероприятия.

⇐ ПредыдущаяСтр 3 из 3

Под безопасностью информационной системыпонимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС.

Под угрозой безопасности информациипонимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Сегодня можно утверждать, что рождается новая современная технология - технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Реализация этой технологии требует увеличивающихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз ИС и ИТ.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например:

  • вывод из строя компьютера или его операционной системы;
  • искажение сведений в БиД;
  • разрушение ПО компьютеров;
  • нарушение работы линий связи и т.д.

Источником активных угроз могут быть действия взломщика, вредоносные программы и т.п.

Разглашение информации ее владельцем или обладателем умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям. Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, неимеющим права доступа к охраняемым сведениям.

.

Bключающее в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование СИБ.

Техническое (аппаратное) обеспечение.

Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности СИБ.

Программное обеспечение.

Имеются в виду различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и способов несанкционированного доступа к информации.

Математическое обеспечение.

Это - математические методы, используемые для различных расчетов, связанных с оценкой опасности технических средств, которыми располагают злоумышленники, зон и норм необходимой защиты.

Лингвистическое обеспечение.

Совокупность специальных языковых средств общения специалистов и пользователей в сфере обеспечения информационной безопасности.

Нормативно-методическое обеспечение.

Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография - это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений. На физическом уровне, представляющем среду распространения данных (кабель, оптоволокно, радиоканал, каналообразующее оборудование), применяют обычно средства шифрования или сокрытия сигнала. Они малоприменимы в коммерческих открытых сетях, так как есть более надежное шифрование.

На канальном уровне, ответственном за организацию взаимодействия двух смежных узлов (двухточечные звенья), могут быть использованы средства шифрования и достоверной идентификации пользователя. Однако использование и тех и других средств на этом уровне может оказаться избыточным. Необязательно производить (пере-) шифрование на каждом двухточечном звене между двумя узлами.

Сетевой уровень решает задачи распространения и маршрутизации пакетов информации по сети в целом. Этот уровень критичен в отношении реализации средств криптозащиты. Понятие пакета существует на этом уровне. На более высоких уровнях есть понятие сообщения. Сообщение может содержать контекст или формироваться на прикладном уровне, защита которого затруднена с точки зрения управления сетью.

Первый этап (анализ объекта защиты)

Cостоит в определении того, что нужно защищать:

· определяется информация, которая нуждается в защите;

· выделяются наиболее важные элементы (критические) защищаемой информации;

· определяется срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации);

· определяются ключевые элементы информации (индикаторы) отражающие характер охраняемых сведений;

· классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения управления).

Второй этап

Предусматривает выявление угроз:

· определяется, кого может заинтересовать защищаемая информация;

· оцениваются методы, используемые конкурентами для получения этой информации;

· оцениваются вероятные каналы утечки информации;

· разрабатывается система мероприятий по пресечению действий конкурента или любого взломщика.

Tретий этап

Проводится анализ эффективности принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.).

Четвертый этап

Определяются необходимые меры защиты. На основании проведенных на первых трех этапах аналитических исследований вырабатываются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.

Пятый этап

Руководителями фирмы (организации) рассматриваются представленные предложения по всем необходимым мерам безопасности и расчеты их стоимости и эффективности.

Шестой этап

Cостоит в реализации принятых дополнительных мер безопасности с учетом установленных приоритетов.

Седьмой этап

Предполагает контроль и доведение до персонала фирмы реализуемых мер безопасности.

 

⇐ Предыдущая123






©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.