Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему




Скачать 268.81 Kb.
НазваниеРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
страница1/2
Дата27.11.2012
Размер268.81 Kb.
ТипРеферат
  1   2
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему:

«Концепция информационной безопасности, анализ безопасности информационных систем»


Выполнил студент группы Б9-04

Николавнин И.А.

Принял доц. каф. 41 Журин С.И.


Москва - 2009

Содержание

  1. Концепция информационной безопасности…………………………………………………3

1.1.Основные концептуальные положения системы защиты информации…………………...3

1.2. Концептуальная модель информационной безопасности……………………………........7

1.3. Угроза конфиденциальной информации……………………………………………………8

1.4.Действия, приводящие к неправомерному овладению конфиденциальной информацией……………………………………………………………………………..............10

  1. Анализ безопасности информационных систем…………………………………………...13

2.1.Этапы анализа………………………………………………………………………………..14

2.2. Итоги анализа………………………………………………………………………………..18

Список источников………………………………………………………………………………20





  1. Концепция информационной безопасности


В литературе дается такое определение информации: информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Известно, что информация может иметь различную форму, включая данные, заложенные в компьютерах, кальки, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и др. Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей. С точки зрения потребителя качество используемой информации позволяет получать дополнительный экономический или моральный эффект. С точки зрения обладателя - сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства, и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации. Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, можно выделить и компоненты безопасности - такие, как персонал, материальные и финансовые средства и информацию.

    1. . Основные концептуальные положения системы защиты информации

Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

  • весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;

  • значительное число фирм, специализирующихся на решении вопросов защиты информации;

  • достаточно четко очерченная система взглядов на эту проблему;

  • наличие значительного практического опыта и др.

И, тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса. Опыт также показывает, что:

  • обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;

  • безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;

  • никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.

С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

  • непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;

  • плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);

  • целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;

  • конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

  • активной. Защищать информацию необходимо с достаточной степенью настойчивости;

  • надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;

  • универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;

  • комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.

Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.

Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

  • охватывать весь технологический комплекс информационной деятельности;

  • быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;

  • быть открытой для изменения и дополнения мер обеспечения безопасности информации;

  • быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;

  • быть простой для технического обслуживания и удобной для эксплуатации пользователями;

  • быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;

  • быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также определенные требования:

  • четкость определения полномочий и прав пользователей на доступ к определенным видам информации;

  • предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

  • сведение к минимуму числа общих для нескольких пользователей средств защиты;

  • учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

  • обеспечение оценки степени конфиденциальной информации;

  • обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:

  • правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;

  • организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;

  • аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;

  • информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;

  • программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;

  • математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;

  • лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;

  • нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.


1.2. Концептуальная модель информационной безопасности

Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций", правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.

Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.

Можно предложить следующие компоненты модели информационной безопасности на первом уровне декомпозиции.

Такими компонентами концептуальной модели безопасности информации могут быть следующие:

  • объекты угроз;

  • угрозы;

  • источники угроз;

  • цели угроз со стороны злоумышленников;

  • источники информации;

  • способы неправомерного овладения конфиденциальной информацией (способы доступа);

  • направления защиты информации;

  • способы защиты информации;

  • средства защиты информации.

Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанными программно-аппаратными средствами.

В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.

1.3. Угрозы конфиденциальной информации

Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются:

  • ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

  • модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

  • разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально- значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифицированы по следующим кластерам :

по величине принесенного ущерба:

  • предельный, после которого фирма может стать банкротом;

  • значительный, но не приводящий к банкротству;

  • незначительный, который фирма за какое-то время может компенсировать и др.;

по вероятности возникновения:

  • весьма вероятная угроза;

  • вероятная угроза;

  • маловероятная угроза;

по причинам появления:

  • стихийные бедствия;

  • преднамеренные действия;

по характеру нанесенного ущерба:

  • материальный;

  • моральный;

по характеру воздействия:

  • активные;

  • пассивные;

по отношению к объекту:

  • внутренние;

  • внешние.

Источниками внешних угроз являются:

  • недобросовестные конкуренты;

  • преступные группировки и формирования;

  • отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

  • администрация предприятия;

  • персонал;

  • технические средства обеспечения производственной и трудовой деятельности.



Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

  • 82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;

  • 17% угроз совершается извне - внешние угрозы;

  • 1% угроз совершается случайными лицами.

Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.

  1   2

Похожие:

Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРабочая программа По дисциплине Проблемы правового обеспечения информационной безопасности в телекоммуникационных системах
По дисциплине Проблемы правового обеспечения информационной безопасности в телекоммуникационных системах
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРабочая программа По дисциплине Проблемы правового обеспечения информационной безопасности в телекоммуникационных системах
По дисциплине Проблемы правового обеспечения информационной безопасности в телекоммуникационных системах
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconВ разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной
Обсуждаются вопросы безопасности компьютерных сетей и межсетевого взаимодействия. Приведен краткий обзор стандартов информационной...
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconКонцептуальные вопросы построения интеллектуальных и адаптивных систем информационной безопасности
Дной из основных задач, стоящих перед Российской Федерацией, является решение проблемы обеспечения информационной безопасности. Это...
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconМетодические рекомендации по проведению в 2011 2012 годах работ по информационной безопасности для регионального уровня единой государственной информационной системы в сфере здравоохранения
Настоящим документом определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных...
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРеформаторская деятельность Петра Первого в контексте обеспечения военной и информационной безопасности Российского государства
Яковец Е. Н., профессор кафедры информационной безопасности Московского университета мвд россии, доктор юридических наук, доцент,...
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРеферат по дисциплине: «Управление персоналом» на тему: «Организация рабочих мест»
Рабочее место мастера цеха переработки молока «Экспериментальной базы «Криничная»
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРеферат по “Безопасности в чс” на тему: “ Организация защиты населения с использованием убежищ го ”
Действия населения в очаге бактериологического поражения при пользовании убежищами. 9
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconДоктрина информационной безопасности российской федерации
Формирования государственной политики в области обеспечения информационной безопасности Российской Федерации
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРеферат на тему
Логистические информационные системы. Иерархия использования логистической информационной системы. Функции логистической информационной...
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница