Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Концептуальна модель інформаційної безпекиСодержание книги
Похожие статьи вашей тематики
Поиск на нашем сайте
Концептуальна модель безпеки інформації зображена на рис. 2.1. Вона включає наступні елементи: ü носії інформації (особи, що обізнані з таємницею, документальні матеріали, машинні носії, фізичні поля); ü джерела загроз інформації (конкуренти, зловмисники, спеціальні служби); ü цілі порушників (здобуття цінної інформації науково-технічного характери, інформації у сфері безпеки та оборони, нанесення збитків, отримання переваг, корисні мотиви тощо); ü методи доступу (агентурні, технічні); ü загрози інформації (конфіденційності, цілісності, доступності); ü об’єкти загроз (відомості економічного, науково-технічного, оборонного характеру тощо); ü методи захисту (правові, організаційні, інженерно-технічні, технічний, криптографічний та стеганографічний захист); ü засоби захисту (технічні, апаратні та програмні в комп’ютерних системах).
Рис. 2.1 Концептуальна модель безпеки інформації Забезпечення інформаційної безпеки (у вузькому змісті безпеки інформації) – це комплексна проблема (рис. 2.2), розв'язання якої на практиці вимагає ефективного сполучення нормативно-правових заходів (законодавчий рівень), організаційних заходів, інженерно-технічних методів і засобів, захисту від ПЕВМН (адміністративний і процедурний рівень), методів і засобів технічних і криптографічному захисту (програмно-технічного рівень). Законодавчий рівень є найважливішим для забезпечення інформаційної безпеки. Розробка й прийняття правових норм покликані врегулювати питання використання інформаційної структури й телекомунікацій, доступу до інформації, захисту інформації від несанкціонованого доступу й витоку по технічних каналах, захисту громадян, суспільства й держави від неправильної інформації, захисту інформаційно-телекомунікаційних систем від неправомірних дій, забезпечення інформаційних аспектів техногенної безпеки і її. У випадку формування законодавства в сфері інформаційних ресурсів і комунікацій у самостійну галузь права – інформаційне право – законодавство в сфері забезпечення інформаційної безпеки буде виступати як його підгалузь, а при кодифікації у вигляді Інформаційного кодексу стане його складовою частиною. Прийнято виділяти два напрямки формування законодавства. До першого належать заходу, спрямовані на створення й підтримку в суспільстві негативного відношення до порушень і порушників інформаційної безпеки. В українськім законодавстві сюди можна віднести відповідні глави Кримінального кодексу України. Рис. 2.2 Рівні забезпечення безпеки інформації До другого напрямку можна віднести законодавчі акти й нормативні документи, що сприяють підвищенню освіченості суспільства в області інформаційної безпеки, що визначають порядок здійснення діяльності в області технічного й криптографічного захисту інформації, розробки засобів захисту й т.п. Різноманіття нормативних документів презентовано міжнародними, національними, галузевими нормативними документами й відповідними нормативними документами організацій, підприємств і фірм. Велику роботу в цьому напрямку проводять Міжнародна організація по стандартизації – ISO, Міжнародна електротехнічна комісія - IЕС, Міжнародний союз електрозв'язку – ITU. Крім того, значні зусилля вживають національні організації по стандартизації АNSI і NIST – у США, BSI і DIN у ФРН, Держстандарт і Держспецзв'язок в Україні, Держстандарт у Росії і т.д. В Україні діють наступні стандарти по технічному захисту інформації: · ДСТУ 3396.0-96. "Захист інформації. Технічний захист інформації. Основні положення". Цей стандарт встановлює об'єкт, мету, організаційні положення забезпечення технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) і державі, а також категорії нормативних документів системи ТЗІ. · ДСТУ 3396.1-96. "Захист інформації. Технічний захист інформації. Порядок проведення робіт". Стандарт встановлює вимоги до порядку проведення робіт з технічного захисту інформації. · ДСТУ 3396.2-96. "Захист інформації. Технічний захист інформації. Терміни й визначення". Даний стандарт встановлює терміни й визначення понять у сфері технічного захисту інформації. Серед міжнародних стандартів про інформаційну безпеку найбільш відомим є британський – BS 7799, розроблений Британським інститутом стандартів (British Standards Institution – BSI). Стандарт BS 7799 складається із двох частин. ISO 27002 (ISO 17799:2005) є основою для розробки стандартів безпеки й методів керування. Керівні принципи охоплюють три головні аспекти: стратегічний, оперативний і дотримання. Поточна версія стандарту складається з наступних основних розділів: · Політика безпеки (Security policy) · Організація інформаційної безпеки (Organization of information security) · Управління ресурсами (Asset management) · Безпека, що обумовлена кадровими ресурсами (Human resources security) · Фізична безпека й безпека оточення (Physical and environmental security) · Управління комунікаціями й процесами (Communications and operations management) · Контроль доступу (Access control) · Придбання, розробка й установлення систем (Information systems acquisition, development and maintenance) · Управління інцидентами інформаційної безпеки (Information security incident management) · Управління безперебійною роботою організації (Business continuity management) · Відповідність правовим і нормативним вимогам (Compliance) Стандарт ISO/IEC27001:2005 був виданий з метою уніфікації процедур ефективного управління безпекою. Заснований на кращих світових практиках, він висуває вимоги до процесів, що забезпечують функціонування системи керування ІБ, їхній постійний моніторинг і поліпшення. Стандарт чітко визначає ключові процеси, якими необхідно управляти при забезпеченні ІБ в організації. Стандарт може застосовуватися в будь-якій організації незалежно від роду діяльності з метою: · установлення вимог і цілей в області інформаційної безпеки; · одержання впевненості в тому, що ризики в області інформаційної безпеки управляються рентабельно; · одержання впевненості відповідності діяльності підприємства або організації законодавству й/або іншим нормативним документам; · реалізації процесу впровадження й управління засобами контролю для одержання впевненості в досягненні специфічних цілей в області захисту організації; · ідентифікації й відстеження існуючих процесів управління інформаційною безпекою; · визначення керівництвом компанії статусу процесів управління захистом інформації; · використання внутрішніми й зовнішніми аудиторами для визначення рівня відповідності Політиці безпеки, директивам і стандартам, установленим підприємством/організацією; · забезпечення партнерів і постачальників відповідною інформацією про стандарти, процедури й політику організації; · забезпечення споживачів усією відповідною інформацією. Повсюдно нормативне регулювання порядку проведення робіт зі стандартизації й сертифікації в області захисту інформації враховує два аспекти : формальний – визначення критеріїв, яким повинні відповідати захищені інформаційні технології й практичний – визначення конкретного комплексу заходів безпеки стосовно розглянутої інформаційної технології. Основними критеріями працездатності концепцій і стандартів ІБ у цей час уважаються наступні: ü універсальність – характеристика стандарту, визначена множиною типів обчислювальним систем, на які він орієнтований; ü гнучкість – можливість застосування стандарту до інформаційних технологій, що постійно розвиваються; ü гарантуємість – кількість і якість передбачених стандартом методів і засобів підтвердження надійності результатів кваліфікаційного аналізу; ü реализуємість – можливість адекватної реалізації на практиці; ü актуальність – вимоги й критерії стандарту повинні відповідати множині, загроз безпеці, що постійно розвивається. Виходячи з подібних критеріїв оцінки, найбільш працездатним зі створених уже документів уважають «Єдині загальні критерії оцінки безпеки інформаційних технологій», що представляє собою результат спільної роботи Міжнародної організації по стандартизації, Національного інституту стандартів і технологій США, організацій Великобританії, Канади, Німеччини, Франції й Нідерландів. Серед стандартів практичних аспектів інформаційної безпеки можна також відзначити згаданий ВS 7799, у якому узагальнено досвід забезпечення режиму інформаційної безпеки в інформаційних системах різного профілю. Основу заходів адміністративного рівня, тобто заходів, що реалізуються керівництвом організації, становить політика безпеки. Під політикою безпеки розуміється сукупність документованих управлінських рішень, спрямованих на захист інформації й асоційованих з нею ресурсів. Політика безпеки визначає стратегію організації в галузі інформаційної безпеки, а також ресурси, які керівництво вважає за можливе виділити для реалізації її завдань. На підставі політики безпеки будується програма безпеки, яка реалізується на процедурному й програмно-технічному рівнях. Процедурний рівень передбачає заходи безпеки, що реалізуються персоналом організації. Можна виділити наступні групи процедурних заходів: ü управління персоналом; ü фізичний захист; ü підтримка працездатності; ü реагування на порушення режиму безпеки; ü планування відбудовних робіт. Управління персоналом полягає у виконанні наступних умов. По-перше, для кожної посади повинні існувати кваліфікаційні вимоги по ІБ. По-друге, у посадові інструкції повинні входити розділи, що стосуються інформаційної безпеки. По-третє, кожного співробітника потрібно навчити заходам безпеки теоретично й на практиці. Заходи фізичного захисту містять у собі захист від витоку інформації по технічних каналах, інженерні способи захисту і т.д. Планування відбудовних робіт передбачає: ü злагодженість дій персоналу під час і після аварії; ü наявність заздалегідь підготовлених резервних виробничих майданчиків; ü офіційно затверджену схему перенесення на резервний майданчик основних інформаційних ресурсів; ü схему повернення до нормального режиму роботи. Підтримка працездатності містить у собі створення інфраструктури, що включає в себе як технічні, так і процедурні регулятори й здатної забезпечити наперед заданий рівень працездатності на всьому протязі життєвого циклу інформаційної системи Реагування на порушення режиму безпеки може бути регламентоване в рамках окремо взятої організації. У поточний час, переважно здійснюється моніторинг комп'ютерних злочинів у національному масштабі й по окремих статтях законодавства «підвідомчих» Службі безпеки України збуджуються кримінальні справи у випадку наявності складу злочину. Основу програмно-технічного рівня становлять наступні механізми безпеки: ü захист від НСД у комп’ютерних системах (ідентифікація й автентифікація користувачів, керування доступом, протоколювання й аудит; ü криптографічний захист (шифрування й електронний цифровий підпис); ü захист від витоку по каналах ПЕМВН; ü антивірусний захист, захист від атак в інформаційних системах і т.д. Важливо ефективно управляти інформаційною системою в цілому й механізмами безпеки особливо. Згадані заходи безпеки повинні спиратися на загальноприйняті стандарти, бути стійкими до мережних загроз, ураховувати специфіку окремих сервісів.
|
||||
Последнее изменение этой страницы: 2016-04-08; просмотров: 703; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.147.54.100 (0.009 с.) |