ОСНОВНЫЕ МЕТОДЫ И ПРИЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Таким образом обеспечение информационной безопасности есть совокупность деятельности по недопущению вреда свойствам объекта безопасности обусловливаемым информацией и информационной инфраструктурой и субъектов а также средств этой деятельности. Деятельность по обеспечению информационной безопасности комплекс планируемых и проводимых в целях защиты информационных ресурсов мероприятий направленных на ликвидацию угроз информационной безопасности и минимизацию возможного ущерба который может быть нанесен объекту безопасности вследствие их...

2015-01-19

19.21 KB

141 чел.


Поделитесь работой в социальных сетях

Если эта работа Вам не подошла внизу страницы есть список похожих работ. Так же Вы можете воспользоваться кнопкой поиск


ОСНОВНЫЕ МЕТОДЫ И ПРИЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Защита информационных ресурсов предприятия включает деятельность руководства, должностных лиц и структурных подразделений предприятия по принятию правовых, организационных и технических мер, направленных на:

- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

- соблюдение конфиденциальности информации ограниченного доступа;

- реализацию права на доступ к информации.

Таким образом, обеспечение информационной безопасности есть совокупность деятельности по недопущению вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой, и субъектов, а также средств этой деятельности.

Деятельность по обеспечению информационной безопасности — комплекс планируемых и проводимых в целях защиты информационных ресурсов мероприятий, направленных на ликвидацию угроз информационной безопасности и минимизацию возможного ущерба, который может быть нанесен объекту безопасности вследствие их реализации.

Под субъектами обеспечения информационной безопасности понимаются государственные органы, предприятия, должностные лица, структурные подразделения, принимающие непосредственное участие в организации и проведении мероприятий по обеспечению информационной безопасности.

Средства осуществления деятельности по обеспечению информационной безопасности — это системы, объекты, способы, методы и механизмы, предназначенные для непосредственного решения задач обеспечения информационной безопасности.

Объём (реализация) понятия «информационная безопасность»

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

  1.  Законодательная, нормативно-правовая и научная база.
  2.  Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.
  3.  Организационно-технические и режимные меры и методы (Политика информационной безопасности).
  4.  Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

  •  выявить требования защиты информации, специфические для данного объекта защиты;
  •  учесть требования национального и международного Законодательства;
  •  использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
  •  определить подразделения, ответственные за реализацию и поддержку СОИБ;
  •  распределить между подразделениями области ответственности в осуществлении требований СОИБ;
  •  на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;
  •  реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;
  •  реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
  •  используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

Нормативные документы в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

  •  Международные договоры РФ;
    •  Конституция РФ;
    •  Законы федерального уровня (включая федеральные конституционные законы, кодексы);
    •  Указы Президента РФ;
    •  Постановления правительства РФ;
    •  Нормативные правовые акты федеральных министерств и ведомств;
    •  Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

  1.  Методические документы государственных органов России:
    •  Доктрина информационной безопасности РФ;
    •  Руководящие документы ФСТЭК (Гостехкомиссии России);
    •  Приказы Федеральной службы безопасности;
  2.  Стандарты информационной безопасности, из которых выделяют:
    •  Международные стандарты;
    •  Государственные (национальные) стандарты РФ;
    •  Рекомендации по стандартизации;
    •  Методические указания.

Органы (подразделения), обеспечивающие информационную безопасность

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

  •  Комитет Государственной думы по безопасности;
  •  Совет безопасности России;
  •  Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
  •  Федеральная служба безопасности Российской Федерации (ФСБ России);
  •  Служба внешней разведки Российской Федерации (СВР России);
  •  Министерство обороны Российской Федерации (Минобороны России);
  •  Министерство внутренних дел Российской Федерации (МВД России);
  •  Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

  •  Служба экономической безопасности;
  •  Служба безопасности персонала (Режимный отдел);
  •  Отдел кадров;
  •  Служба информационной безопасности.

Организационно-технические и режимные меры и методы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности, рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy)  — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

  •  Защита объектов информационной системы;
  •  Защита процессов, процедур и программ обработки информации;
  •  Защита каналов связи;
  •  Подавление побочных электромагнитных излучений;
  •  Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

  1.  Определение информационных и технических ресурсов, подлежащих защите;
  2.  Выявление полного множества потенциально возможных угроз и каналов утечки информации;
  3.  Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
  4.  Определение требований к системе защиты;
  5.  Осуществление выбора средств защиты информации и их характеристик;
  6.  Внедрение и организация использования выбранных мер, способов и средств защиты;
  7.  Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Программно-технические способы и средства обеспечения информационной безопасности

В литературе предлагается следующая классификация средств защиты информации:

  1.  Средства защиты от несанкционированного доступа (НСД):
    •  Средства авторизации;
    •  Мандатное управление доступом;
    •  Избирательное управление доступом;
    •  Управление доступом на основе ролей;
    •  Журналирование (так же называется Аудит).
  2.  Системы анализа и моделирования информационных потоков (CASE-системы).
  3.  Системы мониторинга сетей:
    •  Системы обнаружения и предотвращения вторжений (IDS/IPS).
    •  Системы предотвращения утечек конфиденциальной информации (DLP-системы).
  4.  Анализаторы протоколов.
  5.  Антивирусные средства.
  6.  Межсетевые экраны.
  7.  Криптографические средства:
    •  Шифрование;
    •  Цифровая подпись.
  8.  Системы резервного копирования.
  9.  Системы бесперебойного питания:
    •  Источники бесперебойного питания;
    •  Резервирование нагрузки;
    •  Генераторы напряжения.
  10.  Системы аутентификации:
    •  Пароль;
    •  Ключ доступа (физический или электронный);
    •  Сертификат;
    •  Биометрия.
  11.  Средства предотвращения взлома корпусов и краж оборудования.
  12.  Средства контроля доступа в помещения.
  13.  Инструментальные средства анализа систем защиты:
    •  Мониторинговый программный продукт.



 

Другие похожие работы, которые могут вас заинтересовать.
11326. РЕАЛИЗАЦИЯ ГОСУДАРСТВЕННОЙ ПОЛИТИКИ В СФЕРЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (НА ПРИМЕРЕ ЦЕНТРАЛЬНОГО ВОЕННОГО ОКРУГА) 1.19 MB
  Развитие технологий в современном мире не только позволяет человечеству решать множество проблем его прогрессивной эволюции, но одновременно с этим порождает новые вызовы и угрозы в области виртуального кибернетического пространства, которое в большинстве случаев исследователи называют информационным.
7545. Основные принципы информационной безопасности 37.77 KB
  Безопасность системы обеспечивается комплексом технологических и административных мер применяемых в отношении аппаратных средств программ данных и служб с целью обеспечения доступности целостности и конфиденциальности связанных с компьютерами ресурсов; сюда же относятся и процедуры проверки выполнения системой определенных функций в строгом соответствии с их запланированным порядком работы. Систему обеспечения безопасности системы можно разбить на следующие подсистемы: компьютерную безопасность; безопасность данных; безопасное...
7780. Обеспечение информационной безопасности 50.64 KB
  При рассмотрении жизни общества на исторически длительных интервалах времени (сотни и более лет) с позиций Общей теории управления можно выделить шесть уровней обобщенных средств управления обществом. Уровни средств управления связаны непосредственно с воздействием на общество, в том числе и при помощи войн
17946. Основы информационной безопасности 34.86 KB
  В современном мире информация становится стратегическим ресурсом одним из основных богатств экономически развитого государства. Одной из них стала необходимость защиты информации. Требования и показатели защищенности автоматизированных средств обработки информации Защита информации от несанкционированного доступа НСД является составной частью общей проблемы обеспечения безопасности информации.
14588. Методы и приемы обучения 17.78 KB
  Методы обучения – это способы организации учебного материала и взаимосвязанной деятельности учителя и учащихся в процессе обучения. Скаткин метод – это путь которым учитель ведет ученика от незнания к знанию от неумения к умению путь развития его умственных сил. Слово это древнейший способ общения. Поэтому данный способ обучения подразделяется на устный и печатнословесный.
6928. ОРГАНИЗАЦИЯ ОБЕСПЕЧЕНИЯ ПОЖАРНОЙ БЕЗОПАСНОСТИ 42.45 KB
  Метод проведения: лекция УЧЕБНЫЕ ЦЕЛИ ознакомить слушателей с основными законодательными актами РФ в области пожарной безопасности; ознакомить слушателей с видами пожарной охраны целями и порядком их создания; довести до слушателей права и обязанности граждан и организаций в области пожарной безопасности. Законодательство Российской Федерации в области обеспечения пожарной безопасности. Система обеспечения пожарной безопасности.
19460. Разработка программного обеспечения информационной системы «Дом детского творчества» 1.08 MB
  Программное обеспечение – это программа, которая управляет работой компьютера или выполняет какие либо расчеты или действия. Это могут быть внутренние команды, управляющие оборудованием или программа, выполняющая какие либо действия в ответ на вводимые с клавиатуры команды. Программное обеспечение ПК может быть с открытым исходным кодом или являться собственностью компании разработчика.
566. Средства обеспечения безопасности деятельности человека 5.17 KB
  Средства обеспечения безопасности деятельности человека Радикальным способом обеспечения безопасности деятельности является защита расстоянием то есть разделение зон опасности и зон пребывания человека. Разделять опасные зоны и зоны пребывания человека можно не только в пространстве но и во времени реализуя чередование периодов действия опасностей и периодов наблюдения за состоянием технических систем. Для обеспечения безопасности человека в других случаях используют: совершенствование источников опасности с целью максимального снижения...
5148. Система обеспечения безопасности движения поездов 67.23 KB
  Система обеспечения безопасности движения поездов. Нормативное правовое и техническое регулирование в области обеспечения безопасности движения поездов. Комплексная система безопасности движения поездов.
12994. Экономические аспекты обеспечения безопасности в Европе 966.74 KB
  Система европейской коллективной безопасности и ее экономические аспекты. Предпосылки создания единой системы по обеспечению безопасности в Европе. Система коллективной безопасности в Европе.
© "REFLEADER" http://refleader.ru/
Все права на сайт и размещенные работы
защищены законом об авторском праве.