Принцип системности обеспечения компьютерной безопасности предполагает
На современном этапе существуют следующие предпосылки сложившейся кризисной ситуации обеспечения безопасности информационных технологий:
- современные ПК за последние годы приобрели большую вычислительную мощность, но одновременно с этим стали гораздо проще в эксплуатации;
- прогресс в области аппаратных средств сочетается с еще более бурным развитием ПО;
- развитие гибких и мобильных технологий обработки информации привело к тому, что практически исчезает грань между обрабатываемыми данными и исполняемыми программами за счет появления и широкого распространения виртуальных машин и интерпретаторов;
- несоответствие бурного развития средств обработки информации и медленной проработки теории информационной безопасности привело к появлению существенного разрыва между теоретическими моделями безопасности, оперирующими абстрактными понятиями типа "объект", "субъект" и реальными категориями современных информационных технологий;
- необходимость создания глобального информационного пространства и обеспечение безопасности протекающих в нем процессов потребовали разработки международных стандартов, следование которым может обеспечить необходимый уровень гарантии обеспечения защиты.
Вследствие совокупного действия всех перечисленных факторов перед разработчиками современных информационных технологий, предназначенных для обработки конфиденциальной информации, стоят следующие задачи, требующие немедленного и эффективного решения:
- обеспечение безопасности новых типов информационных ресурсов;
- организация доверенного взаимодействия сторон (взаимной идентификации / аутентификации) в информационном пространстве;
- защита от автоматических средств нападения;
- интеграция в качестве обязательного элемента защиты информации в процессе автоматизации ее обработки.
Таким образом, организация информационной технологии требует решения проблем по защите информации, составляющей коммерческую или государственную тайну, а также безопасности самой информационной технологии.
Современные автоматизированные информационные технологии обладают следующими основными признаками:
- Наличие информации различной степени конфиденциальности;
- Необходимость криптографической защиты информации различной степени конфиденциальности при передаче данных между различными подразделениями или уровнями управления;
- Иерархичность полномочий субъектов доступа и программ к АРМ специалистов, каналам связи, информационным ресурсам, необходимость оперативного изменения этих полномочий;
- Организация обработки информации в интерактивном (диалоговом) режиме, в режиме разделения времени между пользователями и в режиме реального времени;
- Обязательное управление потоками информации как в локальных вычислительных сетях, так и при передаче данных на большие расстояния;
- Необходимость регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;
- Обязательное обеспечение целостности программного обеспечения и информации в автоматизированных информационных технологиях;
- Наличие средств восстановления системы защиты информации;
- Обязательный учет магнитных носителей информации;
- Наличие физической охраны средств вычислительной техники и магнитных носителей.
В этих условиях проблема создания системы защиты информации в информационных технологиях включает в себя две взаимодополняющие задачи:
- Разработка системы защиты информации (ее синтез).
- Оценка разработанной системы защиты информации путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты информации комплексу требований к таким системам.
Вторая задача является задачей классификации, которая в настоящее время решается практически исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.
Создание базовой системы защиты информации в организациях и на предприятиях основывается на следующих принципах, представленных на рис. 8.3.
- Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программно-аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных систем защиты.
- Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Специалистам экономического объекта предоставляется минимум строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.
- Полнота контроля и регистрация попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого специалиста и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.
- Обеспечение надежности системы защиты, т. е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок специалистов экономического объекта и обслуживающего персонала.
- Обеспечение контроля за функционированием системы защиты, т. е. создание средств и методов контроля работоспособности механизмов защиты.
- "Прозрачность" системы защиты информации для общего, прикладного программного обеспечения и специалистов экономического объекта.
- Экономическая целесообразность использования системы защиты. Она выражается в том, что стоимость разработки и эксплуатации системы защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации информационной технологии без системы защиты информации.
В процессе организации системы защиты информации в информационных технологиях решаются следующие вопросы:
- устанавливается наличие конфиденциальной информации, оценивается уровень конфиденциальности и объемы такой информации;
- определяются режимы обработки информации (интерактивный, реального времени и т. д.), состав комплекса технических средств, общесистемные программные средства и т. д. ;
- анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
- определяется степень участия персонала, функциональных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
- вводятся мероприятия по обеспечению режима секретности на стадии разработки системы.
Важным организационным мероприятием по обеспечению безопасности информации является охрана объекта, на котором расположена защищаемая автоматизированная информационная технология (территория здания, помещения, хранилища информационных ресурсов). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к автоматизированным информационным технологиям и каналам связи.
Функционирование системы защиты информации от несанкционированного доступа предусматривает:
Принцип системности. Системный подход предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности.
Принцип комплексности предполагает согласованное применение разнородных средств при построении целостной СИБ, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Принцип непрерывности защиты. ЗИ – это не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Принцип разумной достаточности. Создать абсолютно непреодолимую систему безопасности принципиально невозможно. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
Принцип гибкости управления и применения. Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень безопасности. Данный принцип подразумевает возможность изменения уровня защищенности в зависимости от изменения внешних условий и требований с течением времени.
Принцип открытости алгоритмов и механизмов защиты. Суть принципа состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможность ее преодоления даже разработчику защиты.
Принцип простоты применения защитных мер и средств. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций.
Разработка СИБ должна проходить в трех параллельных направлениях: методическом, организационном и техническом.
- разработка методики определения и описания информационных потоков (ИП), т.е. формального и точного описания порядка работы с информацией;
- определение категорий конфиденциальной информации и разработка классификации информации по этим категориям;
- создание матрицы конфиденциальности;
- определение возможных пути разглашения конфиденциальной информации т.е. модели угроз;
- определение модели нарушителя для каждой угрозы и атаки;
- определение уровней риска для всей матрицы конфиденциальности, т.е. вероятности реализации каждой атаки и стоимости ущерба при каждой атаке.
В рамках организационного направления работ создается совокупность правил (руководящих документов), регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.
- анализ информационной структуры предприятия;
- разработку регламента обеспечения безопасности;
- применение методологии при работе с персоналом;
- работы по уточнению требований к характеристикам защищенности системы;
- разнесение субъектов и объектов информационных отношений по категориям конфиденциальности;
- определение допустимых форм их взаимодействий и т.д.
Регламент обеспечения безопасности – комплект документов, регламентирующий правила обращения с конфиденциальной информацией (КИ) в зависимости от фазы ее обработки и категории конфиденциальности. В регламенте должен быть определен комплекс методических, административных и технических мер, включающих в себя:
- создание подразделения, ответственного за обеспечение КИ;
- определение порядка допуска сотрудников к КИ и обязанностей, ограничений и условий, накладываемых на них;
- определение сотрудников, допущенных к КИ;
- классификация КИ и работ с ней по категориям;
- порядок изменения категории конфиденциальности работ и информации;
- требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается КИ, по категориям;
- требования к конфиденциальному делопроизводству;
- требования к учету, хранению и обращению с конфиденциальными документами;
- меры по контролю за обеспечением конфиденциальности работ и информации;
- план мероприятий по противодействию атаке на КИ;
- план мероприятий по восстановлению КИ;
- определение ответственности за разглашение КИ.
В рамках технического направления работ создается комплекс технических средств и технологий ЗИ при ее обработке, хранении и передаче, включая криптографические средства. Для этого проводится сбор исходных данных для разработки технических предложений по оснащенности автоматизированной системы обработки, хранения и передачи информации средствами ЗИ, позволяющими реализовать требуемый уровень защищенности.
Российский государственный социальный
университет
РЕФЕРАТ
по дисциплине «Безопасность жизнедеятельности»
«Принцип непрерывности, комплексности, системности рассмотрение информационной безопасности».
(тема реферата)
Москва 2021
ФИО студента
Пешкова Наталья Андреевна
Направление подготовки
Менеджмент (Управление проектами)
Группа
МЕН-Б-3-З-2020-1_ДИСТАНТ
3
Введение
Информационная безопасность – это практические действия, которые направлены на предотвращение несанкционированного доступа к хранящимся, обрабатываемым и передаваемым данным в компании. Помимо этого, методы, которые используются для ее обеспечения, направлены на пресечение возможности использования, раскрытия, искажения, изменения или уничтожения данных, хранящихся на компьютерах, в базах данных, архивах или любых других хранилищах, носителях.[2]
Основной задачей создания информационной безопасности на предприятии является защита данных, а именно обеспечение их целостности и доступности без ущерба для организации. Систему информационной безопасности выстраивают постепенно.
Процесс включает идентификацию: основных средств и нематериальных активов; источников угроз информационной безопасности и уязвимостей; возможностей контроля и управления рисками.
На сегодня существует несколько методов и технических средств, которые помогут достичь высокого уровня информационной безопасности наиболее эффективным способом.
Определение собственной системы защиты информации предприятием начинается с четкой постановки целей, планирования конкретных шагов, направленных на сохранность ценных корпоративных сведений. Соблюдение политики безопасности всеми участниками процесса, внедрение новых методов информационной безопасности позволит в полной мере воздействовать на разные сферы деятельности организации. Основное направление – создание условий стопроцентной безопасности и защиты от нарушения аутентификации, конфиденциальности, целостности.
4
Бабаш А.В. писал, что служба безопасности предприятия, организации не может предусмотреть все угрозы, несмотря на широкие возможности систем защиты данных от постороннего доступа и активное внедрение новых методов и способов обеспечения информационной безопасности. Особенно сложно предусмотреть все мероприятия и организовать надежную систему сохранности и ограничения доступа к информации, если в компании работает большое количество сотрудников.[1]
Собственно, основная часть работы сотрудника компании, ответственного за инциденты, касающиеся информационной безопасности, сводится к тому, чтобы полагаться на интуицию и бдительность каждого работника, например, когда в полученном письме что-то выглядит не совсем правильно. Для того чтобы предотвратить случаи утечки информации из-за неправильного трактования, ошибок или упущений во время работы с ней, которые открывают путь к возможному нарушению, необходимо ознакомиться с основными принципами обеспечения безопасности в информационной сфере и соблюдать требования, обеспечивающие сохранность сведений в компании.
Утечка данных может случиться в самые различные моменты работы с ними.
К примеру, похищение сведений возможно при нажатии на ссылку в электронном письме. Это наиболее распространенный вариант, когда может пострадать не один человек, а сотни и тысячи людей, которых эта информация касается прямо или косвенно.
Второе место в перечне рисков утечки информации занимает мошенничество в социальной сети – вымогание злоумышленниками паролей, попытки получить другие личные данные. Иногда сведения могут добываться еще одним неправомерным путем – с использованием шантажа. Нередко злоумышленники обманывают доверчивых собеседников по телефону.
5
Чипига А.Ф. писал, что основными принципами деятельности мошенников являются поиск «жертвы» и создание ложной информации, которая привлечет внимание и заставит выполнить какое-либо действие, после которого злоумышленники получат доступ к необходимым им сведениям.[3]
Поэтому будет сложно найти спасение в какой-либо волшебной таблетке: чтобы обезопасить компанию и ее информацию, а также сотрудников, нужно ознакомиться с программой обеспечения информационной безопасности, разработать систему защиты сведений, хранящихся и обрабатываемых на предприятии, и создать полноценную систему контроля за соблюдением всеми работниками режима безопасности информации.
Основная нагрузка в вопросе контроля за выполнением политики защиты информации предприятия ложится на службу безопасности. Правильная работа сотрудников с информацией напрямую зависит от поставленных целей.
Например, при предоставлении работнику доступа к определенным бумагам стоит обратить внимание на передачу данных при помощи облачного хранилища – оно должно быть защищенным; использование криптографической защиты позволит максимально ограничить возможность несанкционированного скачивания документов.
Основными принципами обеспечения информационной безопасности в АСОИ являются:[5]
1. Системность.
2. Комплексность.
3. Непрерывность защиты.
4. Разумная достаточность.
5. Гибкость управления и применения.
6. Открытость алгоритмов и механизмов защиты.
7. Простота применения защитных мер и средств.
6
Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз. Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС. При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности предполагает согласование работы разнородных систем защиты информации (СЗИ) при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ.
В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем.
Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов.
7
Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.
Принцип непрерывности защиты учитывает то, что защита информации не есть разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования. Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных
8 программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.
Принцип разумной достаточности опирается на то, что создать абсолютно защищенную систему принципиально невозможно, взлом системы есть вопрос только времени и средств. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности.
Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.
Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень защищенности автоматизированной системы (АС). При определенных условиях функционирования АС СЗИ, обеспечивающая ее защищенность может обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.
Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.
Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.
Разграничение уровней доступа к использованию информации поможет координировать запросы, распределять функции между сотрудниками, своевременно идентифицировать разрешенные и запрещенные действия. Это
9 позволит не только пресечь неправильные, неправомерные действия с обрабатываемыми сведениями, но и поможет корректировать работу с информацией при выявлении отклонений в работе с этими данными.
10
Заключение
Информация очень важна для успешного развития бизнеса, следовательно, нуждается в соответствующей защите. Особенно актуально это стало в бизнес- среде, где на передний план вышли информационные технологии. Так как мы живем в эпоху цифровой экономики, без них рост компании просто невозможен.[4]
Информация сейчас подвергается все большему числу угроз и уязвимостей.
Хакерские атаки, перехват данных по сети, воздействие вирусного ПО и прочие угрозы приобретают более изощренный характер и набирают огромный темп. Отсюда возникает необходимость внедрять системы информационной безопасности, которые могли бы защитить данные компании.
На выбор подходящих средств защиты информации влияют многие факторы, включая сферу деятельности компании, ее размер, техническую сторону, а также знания сотрудников в области информационной безопасности.
Принцип системности требует применения системного подхода в качестве методологической базы при анализе и синтезе КСЗИ. Основная цель системного подхода - формализация вербальных описаний и составление алгоритма деятельности. Суть его заключается в том, что эффективность мероприятий безопасности определяется не только для конкретной системы, но и оценивается с учетом влияния на эффективность её функционирования внешних факторов.
Принцип комплексности предполагает, что система защиты предприятия должна включать совокупность сил и средств, принимаемых ими мер, проводимых мероприятий и действий по обеспечению безопасности персонала, материальных и финансовых средств от возможных угроз всеми доступными законными средствами, методами и мероприятиями. Принцип комплексности указывает на то, что только совокупность объектов защиты, выделенных сил и средств, и принимаемых ими мер, проводимых мероприятий и действий позволяет получить оценки главных вопросов защиты: что защищается, кто защищает и как защищается?
Принцип своевременности означает, что меры защиты не должны «запаздывать».
Принцип непрерывности. Защита информации - это не совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла систем предприятия, начиная с самых ранних стадий проектирования, а не только на этапе их эксплуатации.
Принцип разумной достаточности. Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Принцип простоты применения. Механизмы защиты должны быть интуитивно понятны и просты в использовании.
D uis non lectus sit amet est imperdiet cursus elementum vitae eros. Cras quis odio in risus euismod suscipit. Fusce viverra ligula vel justo bibendum semper. Nulla facilisi. Donec interdum, enim in dignissim lacinia, lectus nisl viverra lorem, ac pulvinar nunc ante.
Elsewhere
Pellentesque consectetur lectus quis enim mollis ut convallis urna malesuada. Sed tincidunt interdum sapien vel gravida. Nulla a tellus lectus.
Существует два подхода к проблеме обеспечения безопасности компьютерных систем и сетей: фрагментарный и комплексный.
Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. Примером являются отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п.
Достоинством такого подхода – высокая избирательность к конкретной угрозе. Недостаток – отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов компьютерной системы (КС) только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
Комплексный подход ориентирован на создание защищенной среды обработки информации в компьютерной системе, объединяющей в единый комплекс разнородные меры противодействия угрозам. Достоинство метода – организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности КС Недостатки – ограничения на свободу действий пользователей КС, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.
Комплексный подход применяют для защиты КС крупных организаций или небольших КС, выполняющих ответственные задачи либо обрабатывающих особо важную информацию. Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.
Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной КС политике безопасности. Политика безопасности регламентирует эффективную работу средств защиты КС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.
Для защиты интересов субъектов информационных отношений необходимо сочетать:
à меры законодательного характера (стандарты, законы, нормативные акты);
à меры административно-организационного характера (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, касающиеся людей);
à программно-техническое обеспечение (конкретные технические меры).
Меры законодательного уровня. К этому уровню можно отнести весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей не совершают противоправных действий потому, что это осуждается и/или наказывается обществом, и потому, что так поступать не принято.
Меры административно-организационного уровня. Администрация организации должна сознавать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Основой мер защиты административно-организационного уровня является политика безопасности и комплекс организационных мер. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов организации.
К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы организационных мер:
à управление персоналом;
à физическая защита;
à поддержание работоспособности;
à реагирование на нарушения режима безопасности;
à планирование восстановительных работ.
Для каждой группы в каждой организации должен существовать набор регламентов, определяющих действия персонала.
Меры и средства программно-технического уровня. В рамках современных информационных систем должны быть доступны следующие механизмы безопасности:
à идентификация и проверка подлинности пользователей;
à управление доступом;
à протоколирование и аудит;
à обеспечение высокой доступности.
Необходимость применения стандартов. Информационные системы компаний почти всегда построены на основе программных и аппаратных продуктов различных производителей. На данный момент нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обеспечить в разнородной ИС надежную защиту информации, требуются специалисты высокой квалификации, которые будут отвечать за безопасность каждого компонента ИС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разнороднее информационная система, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и системах устройств защиты, межсетевых экранов, шлюзов, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков приводят к созданию сложной среды защиты, трудной для управления, а иногда и имеющей проблемы совместимости.
Интероперабельность продуктов защиты является важным требованием для большинства корпоративных информационных систем. Для большинства гетерогенных сред важно обеспечить согласованное взаимодействие с продуктами других производителей. Принятое организацией решение безопасности должно гарантировать защиту на всех платформах в рамках этой организации. Поэтому вполне очевидна потребность в применении единого набора стандартов поставщиками средств защиты, компаниями-системными интеграторами и организациями, выступающими в качестве заказчиков систем безопасности для своих корпоративных сетей и систем.
Стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии управления безопасностью. Стандарты являются необходимой базой, обеспечивающей совместимость продуктов разных производителей, что чрезвычайно важно при создании систем сетевой безопасности в гетерогенных средах.
Комплексный подход к решению проблемы обеспечения безопасности, рациональное сочетании законодательных, административно-организационных и программно-технических мер и обязательное следование промышленным, национальным и международным стандартам являются тем фундаментом, на котором строится вся система защиты корпоративных сетей.
Папиллярные узоры пальцев рук - маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни.
Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначенные для поддерживания проводов на необходимой высоте над землей, водой.
Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.
© cyberpedia.su 2017-2020 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!
Читайте также: