Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
1)Угрозы безопасности информации и их классификация.
Угроза - это потенциально возможное событие, действие, процесс или явление, которое может привести к понятию ущерба чьим-либо интересам.
Нарушение безопасности - это реализация угрозы.
Естественные угрозы - это угрозы, вызванные воздействием на АС объективных физических процессов, стихийных природных явлений, не зависящих от человеека.
Естественные делятся на:
природные (стихийные бедствия, магнитные бури, радиоактивное излучение, осадки)
технические. Связаны надежностью технических средств, обработки информации и систем обеспечения.
Искусственные делят на:
непреднамеренные - совершенные по незнанию и без злого умысла, из любопытности или халатности
преднамеренные
Каналы проникновения в систему и их классификация:
По способу:
прямые
косвенные
По типу основного средства для реализации угрозы:
человек
аппаратура
программа
По способу получения информации:
физический
электромагнитный
информационный
Меры противодействия угрозам:
Правовые и законодательные.
Законы, указы, нормативные акты, регламентирующие правила обращения с информацией и определяющие ответственность за нарушение этих правил.
Морально-этические.
Нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения вычислительной техники. Невыполнение этих норм ведет к падению авторитета, престижа организации, страны, людей.
Административные или организационные.
Меры организационного характера, регламентирующие процессы функционирования АС, деятельность персонала с целью максимального затруднения или исключения реализации угроз безопасности:
организация явного или скрытого контроля за работой пользователей
организация учета, хранения, использования, уничтожения документов и носителей информации.
организация охраны и надежного пропускного режима
мероприятия, осуществляемые при подборе и подготовке персонала
мероприятия по проектированию, разработке правил доступа к информации
мероприятия при разработке, модификации технических средств
Физические.
Применение разного рода технических средств охраны и сооружений, предназначенных для создания физических препятствий на путях проникновения в систему.
Технические.
Основаны на использовании технических устройств и программ, входящих в состав АС и выполняющих функции защиты:
средства аутентификации
аппаратное шифрование
другие
2)Организационная структура, основные функции службы компьютерной безопасности
Для непосредственной организации (построения) и эффективного функционирования комплексной системы защиты информации в АС может быть (а на государственных предприятиях и при больших объемах защищаемой информации - должна быть) создана специальная служба обеспечения безопасности информации (служба компьютерной безопасности).
Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее нормального функционирования.
На это подразделение целесообразно возложить решение следующих основных задач:
определение требований к системе защиты информации, ее носителей и
процессов обработки, разработка политики безопасности;
организация мероприятий по реализации принятой политики
безопасности, оказание методической помощи и координация работ по
созданию и развитию комплексной системы защиты;
контроль за соблюдением установленных правил безопасной работы в
АС, оценка эффективности и достаточности принятых мер и
применяемых средств защиты.
Основные функции службы заключаются в следующем:
формирование требований к системе защиты при создании и развитии АС;
участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
обучение пользователей и персонала АС правилам безопасной обработки информации и обслуживания компонентов АС;
распределение между пользователями необходимых реквизитов доступа к ресурсам АС;
контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
взаимодействие с ответственными за безопасность информации в подразделениях;
регламентация действий и контроль за администраторами баз данных,
серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);
• принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты;
• наблюдение за работой системы защиты и ее элементов и организация проверок надежности их функционирования.
Организационно-правовой статус службы обеспечения безопасности информации определяется следующим образом:
• служба должна подчиняться тому лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
• сотрудники службы должны иметь право доступа во все помещения, где установлены технические средства АС, и право требовать от руководства подразделений прекращения автоматизированной обработки информации при наличии непосредственной угрозы для защищаемой информации;
• руководителю службы защиты должно быть предоставлено право ' запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности;
• численность службы должна быть достаточной для выполнения всех перечисленных выше функций;
• штатный персонал службы не должен иметь других обязанностей, связанных с функционированием АС;
• сотрудникам службы должны обеспечиваться все условия, необходимые им для выполнения своих функций.
Для решения задач, возложенных на подразделение обеспечения безопасности информации, его сотрудники должны иметь следующие права:
• определять необходимость, разрабатывать представлять на согласование и утверждение руководством нормативные и организационно-распорядительные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников других подразделений;
• получать необходимую информацию от сотрудников других подразделений по вопросам применения информационных технологий и эксплуатации АС, в части касающейся ОИБ;
• участвовать в проработке технических решений по вопросам ОИБ при проектировании и разработке новых подсистем и комплексов задач (задач);
• участвовать в испытаниях разработанных подсистем и комплексов задач (задач) по вопросам оценки качества реализации требований по ОИБ;
• контролировать деятельность сотрудников других подразделений организации по вопросам ОИБ.
Естественно, все эти задачи не под силу одному человеку, особенно в крупной организации (компании, банке и т.п.). Более того, в службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. В состав такого подразделения должны входить следующие специалисты:
• руководитель, непосредственно отвечающий за состояние информационной безопасности и организацию работ по созданию комплексных систем защиты информации в АС;
• аналитики по вопросам компьютерной безопасности, отвечающие за анализ состояния информационной безопасности, определение требований к защищенности различных подсистем АС и путей обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;
• администраторы средств защиты, контроля и управления, отвечающие за сопровождение и администрирование конкретных средств защиты информации и средств анализа защищенности подсистем АС;
• администраторы криптографических средств защиты, ответственные за установку, настройку, снятие СКЗИ, генерацию и распределение ключей и т.п.;
• ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участвующие в разработке технических заданий по вопросам защиты информации, в выборе средств и методов защиты, участвующие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите и т.д.);
• специалисты по защите информации от утечки по техническим каналам;
• ответственные за организацию конфиденциального (секретного) делопроизводства и др.
3)Технические средства управления — аппаратура приема и обработки информации, техника умственного труда, и она жизненно необходима всем, кто работает с информацией. Чем совершеннее эта техника и чем лучше руководитель умеет ею пользоваться, тем эффективнее технология управления, организация управленческого труда и сам процесс управления. Эффективность применения комплекса технических средств (КТС) управления зависит от нескольких условий. Во-первых, от возможностей и качества самой компьютерной техники и средств телекоммуникаций. Во-вторых, от совершенства программного обеспечения и, наконец, от профессиональной подготовленности пользователей этих программных средств и КТС.
Благодаря достижениям кибернетики появились мощные быстродействующие средства обработки информации — электронно-вычислительные машины. Велик соблазн погрузиться в ностальгические воспоминания о легендарной "Урал-1" и других ЭВМ этого славного семейства: "Урал-14Д", "Урал-16", о малых машинах "Проминь", "Стрела", "Мир", "Наири-2", "Наири-К", о "чуде XX века" быстродействующей БЭСМ-6, подумать только — скорость обработки информации до 1 млн. операций в секунду! Об ЭВМ серии М-20 и М-222 с их записью информации на магнитные барабаны, о "Минск-22" и "Минск-32", позволяющих оператору вести диалог с ЭВМ, и, наконец, о смелом прорыве к лучшим образцам мировой вычислительной техники — создании единой серии ЭВМ различной мощности — ЕС ЭВМ, в которой были использованы большие возможности интеграции стран социализма. Да, славные были страницы истории отечественной кибернетики, много талантливых ученых и специалистов работало над созданием ЭВМ и программного обеспечения. Увы, сегодня, в конце XX века, научно-техническая мысль России переживает тяжелый кризис, и понадобятся десятилетия, чтобы вновь выйти на уровень мировой компьютерной техники.