Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Меры противодействия угрозам безопасности
По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: законодательные (правовые), административные (организаци-онные), процедурные и программно-технические. К законодательным мерам защиты относятся действующие в стране нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Важное значение имеют стандарты в области защиты информации (в первую очередь, ме-ждународные). Среди этих стандартов выделяются «Оранжевая книга», рекомендации X.800 и «Общие критерии оценки безопасности информационных технологий» (Common Criteria for IT Security Evaluation). «Оранжевая книга» — крупнейший базовый стандарт. В ней даются важнейшие по-нятия, определяются основные сервися безопасности и предлагается метод классифика-ции информационных систем по требованиям безопасности. Рекомендации X.800 в основном посвящены вопросам защиты сетевых конфигура-ций. Они предлагают развитый набор сервисов и механизмов безопасности. «Общие критерии» описывают 11 классов, 66 семейств и 135 компонентов функцио-нальных требований безопасности. Классам присвоены следующие названия: Первая группа определяет элементарные сервисы безопасности: 1.FAU — аудит, безопасность (требования к сервису, протоколирование и аудит); 2.FIA — идентификация и аутентификация; 3.FRU — использование ресурсов (для обеспечения отказоустойчивости). Вторая группа описывает производные сервисы, реализованные на базе элементарных: 4.FCO — связь (безопасность коммуникаций отправитель-получатель); 5.FPR — приватность; 6.FDP — защита данных пользователя; 7.FPT — защита функций безопасности объекта оценки. Третья группа классов связана с инфраструктурой объекта оценки: 8. FCS — криптографическая поддержка (обслуживает управление криптоключами и крипто-операциями); 9.FMT — управление безопасностью; 10. FTA — доступ к объекту оценки (управление сеансами работы пользователей); 11. FTP — доверенный маршрут/канал; Кроме этого «Общие критерии» содержат сведения о том, каким образом могут быть достигнуты цели безопасности при современном уровне информационных технологий и позволяют сертифицировать систему защиты (ей присваивается определенный уровень безопасности).
Осенью 2006 года в России был принят национальный стандарт ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология — Практические правила управления инфор-мационной безопасностью», соотвествующий международному стандарту ИСО 17799. Стандарт представляет собой перечень мер, необходимых для обеспечения информацион-ной безопасности организации, включая действия по созданию и внедрению системы управления информационной безопасности, которая строится таким же образом и на тех же принципах, что и система менеджмента качества, и совместима с ней. Административные меры защиты —меры организационного характера,регламен-тирующие процессы функционирования АИС, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают: 1. Подбор и подготовку персонала системы. 2. Организацию охраны и пропускного режима. 3. Организацию учета, хранения, использования и уничтожения документов и носи-телей с информацией. 4. Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.д.). В составе административных мер защиты важную роль играет формирование про-граммы работ в области информационной безопасности и обеспечение ее выполнения (для этого необходимо выделять необходимые ресурсы и контролировать состояние дел). Ос-новой программы является политика безопасности организации — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, ко-торыми руководствуется организация в своей деятельности. Разработка политики безопасности включает определение следующих основных моментов: — какие данные и насколько серьезно необходимо защищать; — кто и какой ущерб может нанести организации в информационном аспекте; — основные риски и способы их уменьшения до приемлемой величины. С практической точки зрения политику безопасности можно условно разделить на три уровня: верхний, средний и нижний.
К верхнему уровню относятся решения,затрагивающие организацию в целом(какправило, носят общий характер и исходят от руководства). Например, цели организации в области информационной безопасности, программа работ в области информационной безопасности (с назначением ответственных за ее реализацию). К среднему уровню относятся вопросы, касающиеся отдельных аспектов информа-ционной безопасности, но важные для различных систем, эксплуатируемых организацией (например, использование на работе персональных ноутбуков, установка непроверенного программного обеспечения, работа с Интернетом и т.д.). Политика безопасности нижнего уровня касается конкретных сервисов и должна быть наиболее детальной. Часто правила достижения целей политики безопасности ниж-него уровня заложены в эти сервисы на уровне реализации [см. 4. С. 148—149]. Меры процедурного уровня —отдельные мероприятия,выполняемые на протяжениивсего жизненного цикла АИС. Они ориентированы на людей (а не на технические средст-ва) и подразделяются на: — управление персоналом; — физическая защита; — поддержание работоспособности; — реагирование на нарушения режима безопасности; — планирование восстановительных работ. Программно-технические меры защиты основаны на использовании специальныхаппаратных средств и программного обеспечения, входящих в состав АИС и выполняю-щих функции защиты: шифрование, аутентификацию, разграничение доступа к ресурсам, регистрацию событий, поиск и удаление вирусов и т.д. Они будут подробно рассмотрены в следующих главах.
|
||||||
Последнее изменение этой страницы: 2019-12-15; просмотров: 423; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 54.159.186.146 (0.006 с.) |