Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему




Скачать 268.81 Kb.
НазваниеРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
страница2/2
Дата27.11.2012
Размер268.81 Kb.
ТипРеферат
1   2
1.4. Действия, приводящие к неправомерному овладению конфиденциальной информацией

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации:

  • владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;

  • источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;

  • промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации .

Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).

Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.

С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией. Указываются следующие условия:

  • разглашение (излишняя болтливость сотрудников) - 32%;

  • несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;

  • отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;

  • традиционный обмен производственным опытом - 12%;

  • бесконтрольное использование информационных систем - 10%;

  • наличие предпосылок возникновения среди сотрудников конфликтных ситуаций - 8%;

а также отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа кадров по сплочению коллектива.

Среди форм и методов недобросовестной конкуренции находят наибольшее распространение:

  • экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%),

  • парализации деятельности фирмы (31%),

  • компрометации фирмы (11%),

  • шантаж руководителей фирмы (10%);

  • физическое подавление:

  • ограбления и разбойные нападения на офисы, склады, грузы (73%),

  • угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%),

  • убийства и захват заложников (5%);

информационное воздействие:

  • подкуп сотрудников (43%),

  • копирование информации (24%),

  • проникновение в базы данных (18%),

  • продажа конфиденциальных документов (10%),

  • подслушивание телефонных переговоров и переговоров в помещениях (5%),

а также ограничение доступа к информации, дезинформация;

Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия.

  1. Анализ безопасности информационных систем

Анализ информационной безопасности (ИБ) – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям. Целью анализа может быть как комплексный анализ системы защиты информации компании-заказчика, так и анализ информационной безопасности отдельных узлов сети (серверов, сетей передачи данных, систем хранения данных и др.), критичных для работы компании-заказчика. Анализ безопасности отдельных узлов позволяет за счет снижения времени и стоимости анализа обеспечить безопасность критичных для бизнеса объектов за минимальное время. Основными целями анализа информационной безопасности являются:

  • независимая оценка текущего состояния системы безопасности;

  • идентификация, оценка опасности и ликвидация уязвимостей;

  • технико-экономическое обоснование внедряемых механизмов безопасности;

  • обеспечение соответствия требованиям действующего законодательства и международным стандартам;

  • минимизация ущерба от инцидентов безопасности.

Анализ безопасности информационных систем позволяет:

  • получить полную и объективную оценку степени защищенности информационной системы;

  • выявить и описать имеющиеся проблемы;

  • выработать и обосновать требования к системе безопасности в рамках заданных критериев;

  • оценить уровень затрат на создание или модернизацию системы ИБ;

  • разработать эффективную программу создания или модернизации системы обеспечения информационной безопасности предприятия-заказчика до заданного уровня;

  • обеспечить предсказуемость результатов действий по обеспечению информационной безопасности и внедрить прозрачную плановую систему затрат.

2.1. Этапы Анализа

Проведение комплексного анализа безопасности корпоративной информационной системы заказчика включает четыре основных этапа:

  • Проведение экспресс-обследования.

Этап предназначен для оценки сроков и стоимости основных этапов анализа, уточнения задач поставленных перед анализаторами.

Как правило, экспресс-обследование проводится на основании отдельного соглашения с заказчиком, а его результаты позволяют заключить уточненный договор на проведение остальных этапов полного анализа.

В том случае, если для проведения анализа необходим доступ к конфиденциальной информации, то перед проведением обследования разрабатывается и утверждается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

  • Постановка задач и уточнение состава работ.

На данном этапе:

  • Уточняются цели и задачи анализа;

  • Формируется рабочая группа и проводятся все необходимые организационные мероприятия. В состав рабочей группы должны входить как специалисты компании-анализатора, так и сотрудники компании-заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его промежуточных и конечных результатов. Анализаторы отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования;

  • Подготавливается, согласовывается и утверждается техническое задание (ТЗ) на проведение анализа, а так же план-график проведения работ. В техническом задании на анализ фиксируется состав и содержание работ по Анализу и требования к разрабатываемым документам.

  • Сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на анализ.

В ходе этапа производится:

  • Анализ работы всех программных и аппаратных решений, обеспечивающих безопасную и непрерывную работу ИТ-инфрастуктуры предприятия, включая анализ:

  • средств обеспечения сетевой безопасности - межсетевых экранов, прокси-серверов, средств организации VLAN, средств организации защищенного межсетевого взаимодействия (Site-to-Site VPN), средств организации защищенного удаленного доступа к корпоративным ресурсам (Remote Access VPN) и т.д.;

  • средств антивирусной защиты рабочих станций, серверов, электронной почты, доступа в интернет;

  • средств шифрования данных;

  • средств обеспечения резервного копирования данных и программного обеспечения;

  • средств бесперебойного питания оборудования;

  • средств контроля за распространением и использованием конфиденциальной информации;

  • Анализ мер по защите аппаратного обеспечения (сетевого оборудования, серверов, рабочих станций, систем хранения), включая:

  • анализ наличия и соответствия конфигураций штатных механизмов информационной безопасности рекомендациям производителя и лучшей практике;

  • анализ мер по защите доступа;

  • обнаружение неиспользуемых сервисов и сервисов, содержащих известные уязвимости.

  • Сбор данных о взаимосвязях объектов анализа с другими элементами ИТ-инфраструктуры, документирование этапов бизнес-процессов и отклонений от них;

  • Документирование топологии и логической организации сетевой инфраструктуры, адекватности мер по контролю логических путей доступа, сегментирования сети;

  • Документирование топологии и логической организации системы защиты периметра, адекватности мер по контролю доступа из внешних и внутренних сетей;

  • Документирование топологии, логической организации и адекватности контроля доступа между сегментами документируемой сети;

  • Поиск и анализ работы элементов сети, сбои работы которых приведут к невозможности функционирования критичных для бизнеса сервисов;

  • Анализ работы точек удаленного доступа к информационным ресурсам сети и проверка адекватности защиты доступа;

  • Оценка соответствия конфигурации встроенных средств защиты документированным требованиям и оценка адекватности существующей конфигурации;

  • Оценка адекватности использования криптографической защиты информации и процедуры распределения ключей шифрования;

  • Оценка достаточности мер антивирусного контроля рабочих станций и серверов;

  • Проверка наличия резервных копий файлов конфигурации и образов дисков для критичных сетевых устройств и серверов;

  • Проверка наличия источников бесперебойного питания для критичных сетевых устройств и серверов и их соответствие требованиям по времени бесперебойной работы;

  • Анализ мер по защите оборудования, необходимого для поддержки функционирования ИТ-инфраструктуры, степени защиты имеющихся помещений, систем связи и СКС, включая:

  • Проверка актуальности программного обеспечения (операционных систем, систем управления базами данных, интеграции приложений и тд), включая наличие необходимых патчей;

  • Документирование этапов бизнес-процессов, систем документооборота, хранения данных и оказания услуг. Оценка достаточности программного обеспечения используемого на различных этапах;

  • Сбор информации о имеющихся навыках, знаниях и опыте работы персонала, непосредственно связанного с обслуживанием ИТ-инфраструктуры, предоставлением ИТ-услуг;

  • Документирование комплекса мер по обеспечению информационной безопасности, включая:

  • возможности использования найденных уязвимых мест в сетевых устройствах и серверах для реализации атак;

  • процедуры оценки полноты анализируемых событий, адекватности защиты журналов анализа;

  • наличия процедур по обнаружению и фиксации инцидентов информационной безопасности и механизмов расследования таких инцидентов, включая процедуры анализа журналов событий и попыток несанкционированного доступа;

  • наличия процедуры документирование любых действий, связанных с модификацией прав доступа, изменениями параметров анализа;

  • периодичности контроля защищенности сетевых устройств и серверов;

  • наличия процедуры отслеживания новых уязвимостей в системном программном обеспечении и его обновления;

  • мер по ограничению доступа в серверные помещения;

  • адекватности времени восстановления в случае сбоев критичных устройств и серверов.

  • Проверка наличия зоны опытной эксплуатации новых решений, процедур тестирования и ввода в промышленную эксплуатацию новых программных и аппаратн6ых решений;

  • Проверка наличия организационных мер в области информационной безопасности, включая:

  • наличие, полноту и актуальность организационно-регламентных и нормативно-технических документов;

  • существование ролей доступа персонала к критически-важной информации, сетевым устройствам и серверам. Соответствие этих ролей минимальному набору прав, требуемых для выполнения производственных задач;

  • соответствие механизма и стойкости процедуры аутентификации, оценка адекватности парольной политики и протоколирования деятельности пользователей;

  • наличие нормативных документов, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам и списков, персонала, имеющих доступ к этим устройствам;

  • наличие ответственного за обеспечение информационной безопасности;

  • наличие мер по поддержанию уровня знаний сотрудников в области информационной безопасности, планов обучения сотрудников, ответственных за поддержание системы ИБ;

  • осведомленность пользователей локальной сети, о требованиях по обеспечению информационной безопасности;

  • корректности процедур управления изменениями и установки обновлений;

  • порядка предоставления доступа к внутренним ресурсам информационных систем.

Сбор данных может осуществляться путем:

  • интервьюирования персонала заказчика с использованием заранее подготовленных опросных листов;

  • анализа предоставленных документов;

  • осмотра и инвентаризации инфраструктуры с использованием специализированного программного инструментария и шаблонов отчетов;

  • сбора и анализа конфигураций средств защиты информации;

  • анализа сценариев осуществления атак и использования списков проверки;

  • анализ организационно-распорядительной документации по обеспечению режима информационной безопасности;

  • инструментального обследования путем применения специальных средств анализа защищенности.

Интервьюирование персонала предназначено как для документирования бизнес-процедур, так и для выявления существующих проблем, связанных с использованием программного и аппаратного обеспечения. К интервьюированию обязательно привлекаются:

  • сотрудники, непосредственно использующие ПО для решения своих задач;

  • специалисты, связанные с предоставлением IT-услуг.

В ходе интервьюирования необходимо учитывать, что видение одной и той же проблемы может существенно различаться с точки зрения, например, пользователя и системного администратора.

Результатом этапа является комплект документов, содержащих полную информацию по всем аспектам функционирования системы информационной безопасности.

  • Анализ собранных данных, оценка рисков и подготовка отчета.

На данном этапе производится:

  • сопоставление и анализ собранных данных;

  • анализ рисков;

  • формирование выводов и рекомендаций;

  • подготовка и оформление отчета об анализе.

Проводящийся в ходе данного этапа анализ рисков позволяет:

  • сформировать перечень наиболее опасных уязвимых мест и угроз;

  • составить модель потенциального злоумышленника;

  • оценить степень критичности угроз нарушения информационной безопасности и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий;

  • разработать рекомендации, выполнение которых позволит минимизировать существующие угрозы.

В ходе данного этапа может быть принято решение о сборе дополнительных данных.

2.2 Итог анализа

На основании информации, полученной в ходе обследования информационной инфраструктуры заказчика и результатов анализа рисков, разрабатываются рекомендации по совершенствованию системы защиты информации, применение которых позволит минимизировать риски

Итогом анализа является документация, содержащая:

  • детализированные данные о текущем состоянии системы информационной безопасности предприятия, включая:

  • Описание и оценку текущего уровня защищенности информационной системы;

  • Анализ конфигурации серверов и сети в целом, найденных уязвимостей;

  • Анализ рисков, связанных с возможностью реализации внутренних и внешних угроз в отношении ресурсов информационной системы.

  • рекомендации по улучшению качества работы и повышению эффективности функционирования системы информационной безопасности, включая рекомендации по:

  • изменению конфигурации существующих средств защиты, сетевых устройств и серверов;

  • активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;

  • использованию дополнительных средств защиты;

  • разработке политики информационной безопасности, включая разработку необходимых организационно-распорядительных и нормативно-технических документов и системы информирования сотрудников о правилах работы в локальной сети;

  • переработке ролей и списков доступа.



Список источников

  1. Плешковец Е.В. Анализ информационных угроз, М.: Ампер, 2005 -230с

  2. Комплексный аудит информационной безопасности - http://azon-it.ru

  3. Проблемы анализа безопасности информационных систем - http://kiev-security.org.ua

  4. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации, М.: Горяч.Линия-Телеком, 2004 -280с

  5. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах, М.: Горяч.Линия-Телеком, 2005 -147с
1   2

Похожие:

Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРабочая программа По дисциплине Проблемы правового обеспечения информационной безопасности в телекоммуникационных системах
По дисциплине Проблемы правового обеспечения информационной безопасности в телекоммуникационных системах
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРабочая программа По дисциплине Проблемы правового обеспечения информационной безопасности в телекоммуникационных системах
По дисциплине Проблемы правового обеспечения информационной безопасности в телекоммуникационных системах
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconВ разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной
Обсуждаются вопросы безопасности компьютерных сетей и межсетевого взаимодействия. Приведен краткий обзор стандартов информационной...
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconКонцептуальные вопросы построения интеллектуальных и адаптивных систем информационной безопасности
Дной из основных задач, стоящих перед Российской Федерацией, является решение проблемы обеспечения информационной безопасности. Это...
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconМетодические рекомендации по проведению в 2011 2012 годах работ по информационной безопасности для регионального уровня единой государственной информационной системы в сфере здравоохранения
Настоящим документом определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных...
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРеформаторская деятельность Петра Первого в контексте обеспечения военной и информационной безопасности Российского государства
Яковец Е. Н., профессор кафедры информационной безопасности Московского университета мвд россии, доктор юридических наук, доцент,...
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРеферат по дисциплине: «Управление персоналом» на тему: «Организация рабочих мест»
Рабочее место мастера цеха переработки молока «Экспериментальной базы «Криничная»
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРеферат по “Безопасности в чс” на тему: “ Организация защиты населения с использованием убежищ го ”
Действия населения в очаге бактериологического поражения при пользовании убежищами. 9
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconДоктрина информационной безопасности российской федерации
Формирования государственной политики в области обеспечения информационной безопасности Российской Федерации
Реферат по дисциплине «Организация обеспечения информационной безопасности» на тему iconРеферат на тему
Логистические информационные системы. Иерархия использования логистической информационной системы. Функции логистической информационной...
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница