Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48




НазваниеМетодические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48
страница3/10
Дата26.12.2012
Размер0.98 Mb.
ТипМетодические указания
1   2   3   4   5   6   7   8   9   10







6. КУРС ЛЕКЦИЙ


по дисциплине «КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИЯХ СФЕРЫ СЕРВИСА».


Данный конспект лекций разработан с использованием учебного пособия: Садердинов А. А., Трайнев В. А., Федулов А. А. Информационная безопасность предприятия: Учебное пособие.2е изд.—М., Издательско-торговая корпорация «Дашков и К°», 2005. 336 с.


ЛЕКЦИЯ 1. СУЩНОСТЬ И ЗАДАЧИ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ.

Основными принципами информационной безопасности являются:

обеспечение целостности и сохранности данных, т.е. надежное их хранение в неискаженном виде;

соблюдение конфиденциальности информации (ее недоступность для тех пользователей, которые не имеют соответствующих прав);

доступность информации для всех авторизованных пользователей при условии контроля за всеми процессами использования ими получаемой информации;

беспрепятственный доступ к информации в любой момент, когда она может понадобиться предприятию.

Эти принципы невозможно реализовать без особой интегрированной системы информационной безопасности, выполняющей следующие функции:

выработку политики информационной безопасности;

анализ рисков (т.е. ситуаций, в которых может быть нарушена нормальная работа информационной системы, а также утрачены или рассекречены данные);

планирование мер по обеспечению информационной безопасности;

планирование действий в чрезвычайных ситуациях;

выбор технических средств обеспечения информационной безопасности.

Политика информационной безопасности определяет:

какую информацию и от кого (чего) следует защищать;

кому и какая информация требуется для выполнения служебных обязанностей;

какая степень защиты необходима для каждого вида информации;

чем грозит потеря того или иного вида информации;

как организовать работу по защите информации.

Обычно руководители организации решают, какой риск должен быть исключен, а на какой можно пойти, они же затем определяют объем и порядок финансирования работ по обеспечению выбранного уровня информационной безопасности. Идентификация угроз означает уяснение наступления из-за этого возможных негативных воздействий и последствий. Реализация угрозы может привести к раскрытию, модификации, разрушению информации или отказу в информационном обслуживании.

Среди долговременных последствий реализации угрозы могут быть такие, как потеря бизнеса, нарушение какой-либо важной тайны, гражданских прав, адекватности данных, гибель человека и т.п. Вообще надо сказать, что реализация многих угроз приводит обычно к более чем одному воздействию. К последним следует относить: неавторизованный доступ к локальным вычислительным сетям (ЛВС), несоответствующий доступ к ресурсам ЛВС, неавторизованную модификацию данных и программ, раскрытие данных, раскрытие трафика ЛВС, подмену трафика ЛВС и, наконец, неработоспособность ЛВС.

Политика в отношении безопасности должна быть такой, чтобы как можно реже требовалась ее модификация. В этой связи, может быть, более разумно просто принять положение о том, что программное обеспечение обнаружения вирусов должно находиться на персональном компьютере (ПК) ЛВС, серверах и т. д., а администраторы ЛВС должны каждый раз сами определять конкретный используемый информационный продукт. Все дело в том, что стандарты и рекомендации статичны, по крайне мере, в двух аспектах. Во-первых, они не учитывают обычно постоянной перестройки защищаемых систем и их окружения. Во-вторых, они содержат лишь критические рекомендации по формированию режима безопасности. Поэтому информационную безопасность необходимо каждодневно поддерживать, тесно взаимодействуя не только и не сколько с компьютером, сколько с людьми.

Другими словами, стандарты и рекомендации являются лишь отправной точкой в длинной и сложной цепочке действий по защите информационных систем организаций. Обеспечение безопасности это комплексная проблема, для решения которой требуется сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база сегодня отстает от потребностей практики, а имеющиеся законы и указы носят в основном теоретический характер. Одновременно следует учитывать, что в нашей стране сегодня чаще используется зарубежное аппаратно-программное обеспечение.

В условиях жестких ограничений на импорт подобной продукции и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие оставаться законопослушными, оказываются по существу в безвыходном положении, так как у них подчас нет возможности заказать (и получить) современную систему по информационной безопасности «под ключ» и с сертификатом безопасности. Следующий уровень этой проблемы после законодательного - управленческий. Руководство каждой организации должно само определиться с необходимым ему режимом безопасности и выделить для его обеспечения ресурсы нередко значительные. Главное, надо выработать политику безопасности, которая задаст общее направление работ в данной области. Важный момент при выработке политики безопасности анализ угроз и выбор адекватных мер противодействия. Для поддержания режима информационной безопасности особое значение имеют также программно-технические меры, поскольку основная угроза компьютерным системам исходит прежде всего от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.) В качестве средств защиты данных от попыток несанкционированного доступа к ним как с внешней стороны, так и изнутри, предлагаются современные программно-технические средства.

В комплексы защиты могут входить различные по составу и функциональному назначению системы и средства, применяемые, во-первых, в соответствии с идеологией, заложенной в основу построения тех или иных систем управления, и, во-вторых, с учетом принятого уровня информационной безопасности, учитывающего возможные дестабилизирующие факторы. Одним из нужных шагов в решении проблемы безопасности интегрированных систем организационного типа следует считать необходимость создания органа, который бы мог заниматься сертификацией средств и методов защиты информации при работе именно с такими системами.

Предпосылки и цели обеспечения информационной безопасности предприятия. Главная цель мер, принимаемых на управленческом уровне, сформировать программу работ в области информационной безопасности и обеспечить ее выполнение с выделением необходимых ресурсов и контролем за состоянием дел. Основой программы является многоуровневая политика безопасности, отражающая подход организации к защите своих информационных активов. Использование информационных систем сопровождается определенной совокупностью рисков, которые постоянно должны анализироваться специальными подразделениями информационной безопасности или системными администраторами (для небольших организаций). Одни технологии по защите системы и обеспечению учета всех событий могут быть встроены в сам компьютер, вторые заложены в программы, третьи рассчитаны на людей и реализуют указания руководства, содержащиеся в соответствующих документах. Защитные меры предпринимаются, когда риск неприемлемо велик.

Для контроля эффективности деятельности в области безопасности и учета изменений обстановки необходимо производить периодически переоценку рисков. В настоящей монографии излагается система взглядов и принципов, на которых основана вся защита информации от утечки, модификации и разрушения, что является в свою очередь частью общей проблемы безопасности информации. Концепция книги предназначена для заказчиков, разработчиков и покупателей СВТ и АС, которые используются для обработки, хранения и передачи информации, требующей защиты. Концепция является методологической базой нормативно-технических и методических документов, направленных на решение таких задач, как:

выработка требований по защите СВТ и АС от утечки, модификации и разрушения информации;

создание защищенных от утечки, модификации и разрушения информации СВТ и АС;

проведение сертификации защищенных СВТ и АС.

Концепция предусматривает существование двух относительно самостоятельных и, следовательно, отличающихся направлений в проблеме защиты информации от утечки, модификации и разрушения: одно, связанное с СВТ, и другое — с АС. Дело в том, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат, как правило, пользовательской информации. При создании же АС, помимо пользовательской информации появляется нужда в таких характеристиках АС, как полномочия пользователей, модель нарушителя нормального функционирования АС, технология обработки информации. При разработке эффективной защиты ЛВС и ИИСУП необходимо ориентироваться на достижение таких целей, как:

обеспечение конфиденциальности и целостности данных в ходе их хранения, обработки или при передаче по ЛВС;

обеспечение доступности данных, хранимых в ЛВС, а также возможности их своевременной обработки и передачи;

гарантирование идентификации отправителя и получателя сообщений.


ЛЕКЦИЯ 2. ВЫЯВЛЕНИЕ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.


Характеристика угроз информационной безопасности. Суть подобных угроз сводится, как правило, к нанесению того или иного ущерба предприятию (организации). Проявления возможного ущерба могут быть самыми различными:

моральный и материальный ущерб деловой репутации организации;

моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;

материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;

моральный и материальный ущерб от дезорганизации в работе всего предприятия.

Примеры составов преступлений в области информационного обеспечения предприятий, определяемых УК РФ. В соответствии с УК РФ преступлениями в области информационного обеспечения предприятий вполне можно считать такие деяния, как:

Хищение информации — совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение чужого имущества (информации) в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества (информации).

Копирование компьютерной информации — повторение и устойчивое запечатление информации на машинном или ином носителе.

Уничтожение информации внешнее воздействие на имущество (информацию), в результате которого оно прекращает свое физическое существование либо приводится в полную непригодность для использования по целевому назначению. Уничтоженное имущество (информация) не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота.

Уничтожение компьютерной информации стирание ее в памяти ЭВМ.

Повреждение информации — изменение свойств имущества (информации) при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования.

Модификация компьютерной информации внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных.

Блокирование компьютерной информации искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением.

Несанкционированное уничтожение, блокирование, модификация, копирование информации любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией.

Обман (отрицание подлинности, навязывание ложной информации) — умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество (информация) и таким образом добиться от него добровольной передачи имущества (информации), а также сообщение с этой целью заведомо ложных сведений.

Источники угроз. Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:

криминальные структуры;

потенциальные преступники и хакеры;

недобросовестные партнеры;

технический персонал поставщиков услуг;

представители надзорных организаций и аварийных служб;

представители силовых структур.

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

основной персонал (пользователи, программисты, разработчики);

представители службы защиты информации;

вспомогательный персонал (уборщики, охрана);

технический персонал (жизнеобеспечение, эксплуатация).

Технические средства, являющиеся источниками потенциальных угроз безопасности информации, также могут быть внешними:

средства связи, сети инженерных коммуникации (водоснабжения, канализации), транспорт,

и внутренними:

некачественные технические средства обработки информации; некачественные программные средства обработки информации; вспомогательные технические средства (охраны, сигнализации, телефонии); другие технические средства, применяемые в учреждении.

Наиболее распространенные угрозы в интегрированной информационной системе управления предприятием. Угроза нанесения вреда ЛВС и ИИСУП потенциально может исходить от любого лица, объекта или события. Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или случайными, как ошибки в вычислениях или непреднамеренное удаление файла. Угроза может быть также природным явлением, как наводнение, ураган, молния и т. п. Непосредственный вред от реализованной угрозы, называется воздействием угрозы.

Идентификация угроз предполагает рассмотрение воздействий и последствий от реализации угроз. Обычно воздействие угроз приводит к раскрытию, модификации, разрушению информации или отказу в информационном обслуживании. Более значительные долговременные последствия реализации угрозы приводят к потере бизнеса, нарушению тайны, гражданских прав, потере адекватности данных, потере человеческой жизни и иным долговременным эффектам. Знание возможных угроз, а также уязвимых мест защиты, необходимо, чтобы выбрать наиболее экономичные средства обеспечения безопасности.

Самыми частными и опасными, с точки зрения размеров ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других, обслуживающих информационные системы лиц. Иногда такие ошибки являются угрозами (неправильно преднамеренно введенные данные, ошибки в программе), а иногда это просто следствие человеческих слабостей, которыми однако могут воспользоваться злоумышленники таковы обычно ошибки администрирования, 65 % потерь следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью многих сотрудников. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками — максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

На втором месте по размерам ущерба стоят кражи и подлоги. Весьма опасны так называемые «обиженные» сотрудники нынешние и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику. С этой целью они могут: повредить оборудование; «встроить» логическую бомбу; ввести неверные данные; удалить данные или изменить их.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Угрозы, исходящие от окружающей среды, весьма разнообразны. В первую очередь следует выделить нарушение инфраструктуры аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т. п. На долю огня, воды и аналогичных «врагов», среди которых самый опасный — низкое качество электропитания, приходится 13 % потерь, которые обычно несут информационные системы.

Любопытно, что почти каждый Internet-сервер по несколько раз в день подвергается попыткам проникновения: иногда такие попытки оказываются удачными; часто из них связаны со шпионажем. Достаточно важен вопрос с программными вирусами. Они серьезно беспокоят обычно системных администраторов и операторов различного толка. Правда, необходимое соблюдение несложных правил сводит риск подобного заражения практически к нулю. Уязвимыми являются также слабые места ЛВС и ИИСУП. Например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим незамысловатый, к примеру, очевидный пароль. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск угроз ЛВС. Например, средство, которое может помочь пользователям выбрать надежный пароль и т. д. Ниже перечисляются наиболее распространенные технические угрозы и причины, в результате которых они реализуются:

Неавторизованный доступ к ЛВС или ИИСУП происходит в результате получения неавторизованным человеком доступа к ЛВС.

Несоответствующий доступ к ресурсам ЛВС случается в результате получения доступа к ресурсам ЛВС авторизованным или неавторизованным человеком неавторизованным способом.

Раскрытие данных наступает в результате получения доступа к информации или ее чтения человеком и возможного раскрытия им информации случайным или неавторизованным намеренным образом.

Неавторизованная модификация данных и программ возможна в результате модификации, удаления или разрушения человеком данных и программного обеспечения ЛВС неавторизованным или случайным образом.

Раскрытие трафика ЛВС произойдет в результате доступа к информации или ее чтения человеком и возможного ее разглашения случайным или неавторизованным намеренным образом тогда, когда информация передается через ЛВС.

Подмена трафика ЛВС это его использование неавторизованным способом, когда появляются сообщения, имеющие такой вид, будто они посланы законным заявленным отправителем, а на самом деле это не так.

Неработоспособность ЛВС — это следствие осуществления угроз, которые не позволяют ресурсам ЛВС быть своевременно доступными.

Угрозы при взаимодействии интегрированной информационной системы управления предприятием с Internet
1   2   3   4   5   6   7   8   9   10

Похожие:

Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48 iconМетодические указания к выполнению курсовой работы Методические указания к выполнению контрольной работы
Информатика: учебно-методический комплекс (блок контроля освоения дисциплины: методические указания к выполнению курсовой работы;...
Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48 iconМетодические указания по выполнению контрольной работы Требования к оформлению контрольной работы
Задания к контрольной работе по дисциплине «История костюма и моды» и методические указания к ее выполнению Екатеринбург, фгаоу впо...
Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48 iconМетодические указания к выполнению контрольной работы по дисциплине
Долгосрочная и краткосрочная финансовая политика. Методические указания к выполнению контрольной работы. Для студентов, обучающихся...
Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48 iconМетодические указания по выполнению контрольной работы по дисциплине «Демография»
Методические указания по выполнению контрольной работы по дисциплине «Демография» для студентов специальности 080504 Государственное...
Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48 iconМетодические указания по выполнению контрольной работы Для самостоятельной работы студентов II курса направления
Методические указания по выполнению контрольной работы обсуждены на заседании кафедры «Экономики труда и управления персоналом»
Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48 iconМетодические указания по выполнению кОнтрольной работы для студентов всех форм обучения
Методические указания по выполнению контрольной работы составлены на основании рабочей программы дисциплины «Исследование систем...
Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48 iconМетодические указания к выполнению контрольной работы для студентов заочной формы обучения Специальность 080111 Маркетинг Специализация «Управление брендами»
Методические указания к выполнению контрольной работы
Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48 iconМетодические указания по выполнению контрольной работы для студентов 6 курса (1 образования) и 5 курс (2 образование) специальности 060400 «Финансы и кредит»
Методические указания по выполнению контрольной работы одобрены на заседании Научно-методического совета взфэи
Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48 iconМетодические указания по выполнению контрольной работы для самостоятельной работы студентов, обучающихся по направлениям 080100. 62 «Экономика» (бакалавр), 080500.
Методические указания по выполнению контрольной работы обсуждены на заседании кафедры Философии и социологии, протокол №12 от 7 июня...
Методические указания по выполнению контрольной работы 40 > Методические указания по выполнению контрольной работы 40 Приложение Канал передачи информации 42 10. Методические указания для преподавателей по дисциплине 48 iconМетодические указания по выполнению контрольной работы №1, 2
Английский язык. Методические указания по выполнению контрольной работы №1, 2 и тексты для дополнительного чтения для самостоятельной...
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница