Системы информационной безопасности

Принципы построения системы информационной безопасностиСистема информационной безопасности охватывает все компоненты информационной инфраструктуры, описанные в настоящем проекте, и обеспечивает конфиденциальность, целостность и доступность информации. Система информационной безопасности обеспечивает безопасное функционирование бизнес-процессов и не препятствует работе пользователей с информационнымиресурсамиСистемаинформационной безопасности строится на основе международного стандарта по обеспечению информационной безопасности ISO 17799 («Нормы и правила при обеспечении безопасности информации»). Стандарт ISO 17799 содержит общие рекомендации по организации системы информационной безопасности, обеспечивающей базовый уровень безопасности информационных систем, характерный для большинства организаций. При этом стандарт описывает вопросы, которые должны быть рассмотрены при проектировании системы информационной безопасности, и не накладывает ограничений на использование конкретных средств обеспечения безопасности компонентов инфраструктуры. Стандарт ISO 17799 содержит следующие разделы, описывающие различные аспекты безопасности информационных систем:

Стратегия информационной безопасности — описывает необходимость иметь поддержку высшего руководства компании путем утверждения стратегии информационной безопасности; Организационные вопросы — дает рекомендации по форме управления организации, оптимальной для реализации системы информационной безопасности; Классификация информационных ресурсов — описывает необходимые меры по обеспечению безопасности информационных ресурсов и носителей информации;

Управление персоналом — описывает влияние человеческого фактора на информационную безопасность и меры, направленные на снижение соответствующего риска; Обеспечение физической безопасности — описывает мероприятия по обеспечению физической безопасности компонентов информационной инфраструктуры;Администрирование информационных систем — описывает основные аспекты безопасности при работе с серверами, рабочими станциями и другими информационными системами; Управление доступом — описывает необходимость четкого разграничения прав и обязанностей при работе с информацией;

Разработка и сопровождение информационных систем — описывает основные механизмы обеспечения безопасности информационных систем;

Обеспечение непрерывности бизнеса — описывает мероприятия по обеспечению непрерывной работы организаций;Обеспечение соответствия предъявляемым требованиям — описывает общие требования к системам информационной безопасности и мероприятия по проверке соответствия систем информационной безопасности этим требованиям.

Выбор мер и средств обеспечения информационной безопасности делается на основе анализа рисков, которым подвергаются компоненты информационной инфраструктуры. Критериями информационной безопасности являются сохранение конфиденциальности, целостности и доступности ее информационных ресурсов. При этом потеря любого из вышеперечисленных качеств информации должна рассматриваться как нарушение информационной безопасности.Анализ рисков и структура нарушения информационной безопасностиСистема информационной безопасности предусматривает обеспечение защиты компонентов информационной инфраструктуры от рисков нарушения безопасности ИТ-ресурсов и связанных с ними ИТ-сервисов.Система информационной безопасности представляет собой интегрированный комплекс административных мер и программно-технических средств по обеспечению безопасности информационных ресурсов. Для реализации системы информационной безопасности принципиальной составляющей является административная часть системы, в которую входят:процесс обеспечения информационной безопасности, входящий в систему администрирования и обеспечивающий контроль над функционированием системы информационной безопасности (см. раздел СА настоящего проекта);

политика информационной безопасности, которая определяет основные положения и сферу действия системы информационной безопасности; политики безопасности использования информационных сервисов, которые определяют конкретные требования по обеспечению безопасности компонентов информационной инфраструктуры безопасности;

процедуры обеспечения политик безопасности, описывающие средства и мероприятия по реализации требований политик безопасности и контролю их выполнением (разрабатываются на этапе реализации системы информационной безопасности).

 

 

Система защиты информации

Система защиты информации - это совокупность организационных, административных и технологических мер, программно технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям владельцам системы.Учитывая важность, масштабность и сложность решения проблемы сохранности и безопасности информации, рекомендуется разрабатывать архитектуру безопасности в несколько этапов: анализ возможных угроз; разработка системы защиты;реализация системы защиты; сопровождение системы защиты. Этап разработки системы защиты информации предусматривает использование различных комплексов мер и мероприятий организационно - административного, технического, программно- аппаратного, технологического, правового, морально-этического характера и др.

Наиболее типичные организационно административные средства: создание контрольно-пропускного режима на территории, где располагаются средства обработки информации;

изготовление и выдача специальных пропусков;

мероприятия по подбору персонала, связанного с обработкой данных; допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц; хранение магнитных и иных носителей информации, представляющих определенную тайну, а также регистрационных журналов в сейфах, не доступных для посторонних лиц; организация защиты от установки прослушивающей аппаратуры в помещениях, связанных с обработкой информации; организация учета использования и уничтожения документов (носителей) с конфиденциальной информацией; Технические средства защиты призваны создать некоторую физически замкнутую среду вокруг объекта и элементов защиты. В этом случае используются такие мероприятия: установка средств физической преграды защитного контура помещений, где ведется обработка информации (кодовые замки; охранная сигнализация - звуковая, световая, визуальная без записи и с записью на видеопленку); осуществление электропитания оборудования, отрабатывающего ценную информацию, от автономного источника питания или от общей электросети через специальные сетевые фильтры; применение, во избежание несанкционированного дистанционного съема информации, жидкокристаллических или плазменных дисплеев, струйных или лазерных принтеров соответственно с низким электромагнитным и акустическим излучением;использование автономных средств защиты аппаратуры в виде кожухов, крышек, дверец, шторок с установкой средств контроля вскрытия аппаратуры. Программные средства и методы зашиты активнее и шире других применяются для защиты информации в персональных компьютерах и компьютерных сетях, реализуя такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, событий, пользователей; предотвращение возможных разрушительных воздействий на ресурсы; криптографическая защита информации; идентификация и аутентификация пользователей и процессов и др. Технологические средства защиты информации - это комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных. Среди них: создание архивных копий носителей; ручное или автоматическое сохранениеобрабатываемых файлов во внешней памяти компьютера;

регистрация пользователей компьютерных средств в журналах; автоматическая регистрация доступа пользователей к тем или иным ресурсам;

разработка специальных инструкций по выполнению всех технологических процедур и др.

К правовым и морально-этическим, мерам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушение; нормы поведения, соблюдение которых способствует защите информации.

 

 

6. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине XX века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Увеличение числа атак - еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении и, как следствие, появляются новые виды атак. В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна.

10 Инф-ционные тех-гии в молодежной сфере обнаруживают некоторые негативные стороны. По социологич-ким исследованиям молодежи, респонденты проводящие за компьютером ежедневно более 4 часов, а это 80%, испытывают так называемый компьютерный голод при перерыве в работе на ЭВМ (ПК) хотя бы в 1 день. 25% - ощущают трудности при переключении с компьютерной деят-ти на др-е занятие. 17% отмечают, что им легче общаться с компьютером, чем с людьми (для лиц, работающих более 8 часов в день, этот показатель увеличивается до 40%). Плодящиеся различные комп-ные интернет - клубы становятся не самой лучшей для молодого чел-ка альтернативой спортив-м секциям или просто прогулке на природе, на свежем воздухе. А увлечение некоторыми комп-ми играми может привести к печальным последствиям: истощение, потеря ориентации в пространстве, понижение зрения, псих-кие отклонения, проблемы нравственности, нарушение координации движения, гиподинамия (недостаток движения) и т.п. Причина ухудшения здоровья - это чрезмерное влияние, воздействие электромагнитных излучений (так же от телефонов, ПК, Mp3-плееров и т.п.). --