Методы и средства защиты информации

Методы и средства защиты информации представляют собой совокупность 3 групп мероприятий:

1. правовые

2. организационные;

3. инженерно-технические.

Правовые – совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых обязательны в системе защиты информации. Мероприятия правового характера – международные и государственные акты и законы, посвященные защите информации, а так же документы самого предприятия (коллективный договор, трудовой договор, должностные инструкции, правила внутреннего распорядка).

Организационные меры – регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка, несанкционированный доступ к конфиденциальной информации становится невозможным или затруднительным. Подразделяется:

1. приказы

2. рекомендации

3. инструкции.

Правила работы с Интернет, создание паролей и т.д.

Инженерно-технические меры в свою очередь подразделяются на:

1. инженерные меры защиты связаны с защитой зданий и помещений от несанкционированного доступа: проходные, камеры слежения, замки.

2. программные: антивирусная защита, сетевые экраны, средства архивирования и восстановления данных;

3. аппаратные: электронные устройства, ключи, чипы, предотвращающие доступ к носителям информации или компьютерам.

 

**. Понятие концепции безопасности предприятия

Безопасность информационного ресурса кис достигается разработкой и поддержанием концепции информационной безопасности предприятия, которое является неотъемлемой частью единой политики защитных мероприятий предприятия. 

Разработка концепции безопасности рекомендуется проводить в 2 этапа:

На 1 этапе должна быть четко определена целевая установка защиты, т.е. какие конкретно информационные, программные, вычислительные ресурсы необходимо защищать. На этом этапе объекты защиты дифференцируются по значимости, по степени реальности угроз, по значению р-са для деятельности предприятия.

На 2 этапе проводится анализ преступных действий, которые потенциально могут быть совершены в отношении защищаемых объектов. Важно определить степень опасности таких преступлений как экономический шпионаж, хищение носителей информации, уничтожение информационных и программных ресурсов, саботаж сотрудников, случайное уничтожение информации.

 Разработка концепции безопасности состоит из разработки мероприятий по 3 направлениям:

1. мероприятия правового характера;

2. мероприятия организационного характера;

3. инженерно-технические мероприятия;

Содержание концепции безопасности примерно следующее:

1. идентификация, проверка подлинности и контроль доступа пользователей на защищаемый объект;

2. разделение полномочий пользователей имеющих доступ к вычислительным ресурсам;

3. регистрация и учет работы пользователей;

4. регистрация попыток нарушения полномочий пользователя;

5.  криптографическая защита информации;

6. применение электронно-цифровой подписи при передаче инфы по каналам связи;

7. обеспечение мер антивирусной защиты и защиты информации при работе с Интернет;

8. контроль целостности программ, информационных ресурсов;

9. с-ма архивир-я и воспроизведения инфы;

10. регламент работы службы безопасности;

11. организационные мероприятия по обеспечению безопасности, технические средства обеспечения безопасности.

Модели жизненного цикла КИС

Сегодня проектирование информационных систем постепенно переходит от исследовательского процесса с непредсказуемыми последствиями к высокотехнологичному производству, нацеленному на гарантированный результат. Сохраняя классическую структуру жизненного цикла информационной системы, современная технология проектирования имеет две особенности:
а) новое, более технологичное наполнение отдельных этапов проектир-я;
б) новые м-ды управл-я процессом проектир-я.. Жизненный цикл включает в себя:

1. Предпроектную стадию

1.1. Осознание потребности в автоматизации;
1.2. Определение целей, задач и стратегии автоматизации;
1.3. Составление технического задания на проектирование;

2. Стадию проектирования

2.1. Проектирование архитектуры системы;
2.2. Проектирование функциональной модели;
2.3. Проектирование информационной (концептуальной) модели;
2.4. Проектирование алгоритмической модели;
2.5. Составление технического задания (спецификации) на разработку;
2.6. (Исполнение “пилотного” проекта);

3. Стадию разработки

3.1. Разработка базы данных;
3.2. Разработка (установка) технических средств;
3.3. Разработка сетевых приложений;
3.4. Разработка пользовательских приложений;
3.5. Разработка документации;

4. Стадию внедрения

4.1. Верификация (тестирование) системы;
4.2. Корректировка системы;
4.3. Обучение персонала;
4.4. Опытная эксплуатация;
4.5. Акт о внедрении;

5. Стадию эксплуатации;

6. Стадию модернизации.