Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Оценка рисков нарушения безопасности
Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты. Для оценки рисков необходимо систематически рассматривать следующие аспекты: а) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации; б) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля. Ущерб и затраты на восстановление от повреждения, модификации и уничтожения информации напрямую зависит от временного периода, за который были уничтожены, повреждены или модифицированы данные. Чем больше временной период, тем больше ущерб и затраты на восстановление данных. Для минимизации ущерба и затрат на восстановление необходимо осуществлять резервное копирование базы данных.
13. Уровни обеспечения режима информационной безопасности Административный уровень ИБ К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство компании должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов, а также назначить ответственных за разработку, внедрение и сопровождение системы безопасности. Служба информационной безопасности ОАО «Н-ский аэропорт» состоит из 3 человек, которые отвечают за разработку, внедрение и совершенствование системы безопасности. С практической точки зрения политику безопасности рассматривается на трех уровнях детализации. К верхнему уровню отнесятся решения, затрагивающие организацию в целом. Они носят весьма общий характер и исходят от руководства организации. Список решений этого уровня включает в себя следующие элементы:
· решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы; · формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей; · обеспечение базы для соблюдения законов и правил; · формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом. Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Так как компания отвечает за поддержание критически важной информации отделов ОАО «Н-ский аэропорт», то на первом плане стоит задача уменьшения числа потерь, повреждений или искажений данных. На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности. Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Для обеспечения определенной степени исполнительности персонала выработана система поощрений и наказаний.
Организационный уровень ИБ К организационным средствам защиты отнесятся организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ИС и системы защиты на всех этапах их жизненного цикла. При этом организационные мероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяют полностью или частично перекрывать значительную часть каналов утечки информации, а с другой – обеспечивают объединение всех используемых в ИС средств в целостный механизм защиты.
Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они охватывают все основные пути сохранения информационных ресурсов и включают: · ограничение физического доступа к объектам ИС и реализацию режимных мер; · ограничение возможности перехвата информации вследствие существования физических полей; · ограничение доступа к информационным ресурсам и другим элементам ИС путем установления правил разграничения доступа; · создание твердых копий важных с точки зрения утраты массивов данных; · проведение профилактических и других мер от внедрения вирусов. По содержанию все множество организационных мероприятий можно условно разделить на следующие группы. Мероприятия, осуществляемые при создании ИС: учет требований защиты при разработке общего проекта системы и ее структурных элементов, при строительстве или переоборудовании помещений, при разработке математического, программного, информационного или лингвистического обеспечений, монтаже и наладке оборудования, испытаниях и приемке системы. Мероприятия, осуществляемые в процессе эксплуатации ИС: организация пропускного режима, организация технологии автоматизированной обработки информации, организация работы в сменах ВЦ, распределение реквизитов разграничения доступа (паролей, полномочий и т.д.), организация ведения протоколов, контроль выполнения требований служебных инструкций. Мероприятия общего характера: учет требований защиты при подборе и подготовке кадров, организация плановых и превентивных проверок механизма защиты, планирование всех мероприятий по защите информации, обучение персонала, проведение занятий с привлечением ведущих организаций страны, участие в семинарах и конференциях по проблемам безопасности информации и т.п.
Технический уровень ИБ Технический уровень ИБ делится на аппаратный и программный. Аппаратными средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты. Аппаратные средства защиты К настоящему времени применяется значительное число различных аппаратных средств, причем они могут включаться практически во все устройства ИС: терминалы пользователей, устройства группового ввода-вывода данных, центральные процессоры, внешние запоминающие устройства, другое периферийное оборудование. Так, например, в терминалах пользователей наибольшее распространение получили устройства, предназначенные для предупреждения несанкционированного включения терминала в работу (различного рода замки и блокираторы), обеспечения идентификации терминала (схемы генерирования идентифицирующего кода) и идентификации пользователя (магнитные индивидуальные карточки, дактилоскопические и акустические устройства опознавания и т.п.). Самостоятельную группу составляют аппаратные средства шифрования данных. Современные устройства шифрования могут сопрягаться с помощью стандартных интерфейсов практически с любым устройством ИС, обеспечивая как шифрование, так и дешифрование данных.
Программные средства защиты Программными средствами защиты называются специальные программы, которые включаются в состав программного обеспечения АСОД специально для осуществления функций защиты. Программные средства являются важнейшей и непременной частью механизма защиты современных АСОД, что обусловлено такими их достоинствами, как универсальность, простота реализации, гибкость, практически неограниченные возможности изменения и развития. К недостаткам программных средств относится необходимость расходования ресурсов процессора на их функционирование и возможность несанкционированного (злоумышленного) изменения, а также тот факт, что программные средства защиты можно реализовать только в тех структурных элементах АСОД, в составе которых имеется процессор, хотя функции защиты программными средствами могут осуществляться и в интересах других структурных элементов. Поэтому программные средства защиты применяются в центральных процессорах, устройствах группового управления вводом-выводом данных, а также в аппаратуре связи в тех случаях, когда в их составе имеются процессоры. Известные на сегодняшний день программы защиты в соответствии с выполняемыми ими функциями, можно разделить на следующие группы: · программы идентификации; · программы регулирования работы (технических средств, пользователей, функциональных задач, элементов баз данных и т.д.); · программы шифрования защищаемых данных; · программы защиты программ (операционных систем, систем управления базами данных, программ пользователей и др.); · вспомогательные программы (уничтожение остаточной информации, формирование грифа секретности выдаваемых документов, ведение регистрационных журналов, имитация работы с нарушителем, тестовый контроль механизма защиты и некоторые другие).
|
|||||||
Последнее изменение этой страницы: 2016-08-14; просмотров: 151; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.15.171.202 (0.012 с.) |