Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Реферат

По теме: Безопасность информационных технологий

Выполнила:

студентка 1 курса

группы Э-1305

Глушко Ксения

Проверила:

Кузьмина Л.Е



Оглавление

Основные причины обострения проблемы обеспечения безопасности информационных технологий

Меры противодействия угрозам безопасности. Классификация мер обеспечения безопасности компьютерных систем

Основные принципы построения систем защиты автоматизированной системы

Модели управления доступом

Управление механизмами защиты

Организационные меры защиты информации в АС

Заключение

• Список используемой литературы
• Введение

Информационные технологии (ИТ, от англ. information technology, IT) -- это класс областей деятельности, относящихся к технологиям управления и обработкой огромного потока информации с применением вычислительной техники.

Стремительное развитие средств вычислительной техники открыло перед человечеством небывалые возможности по автоматизации умственного труда и привело к созданию большого числа разного рода автоматизированных информационных и управляющих систем, к возникновению принципиально новых, так называемых, информационных технологий. Неправомерное искажение или фальсификация, уничтожение или разглашение определенной части информации наносят серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам). Жизненно важные интересы этих субъектов, как правило, заключаются в том, чтобы определенная часть информации, касающаяся их безопасности, экономических, политических и других сторон деятельности, конфиденциальная коммерческая и персональная информация, была бы постоянно легко доступна и в то же время надежно защищена от неправомерного ее использования: нежелательного разглашения, фальсификации, незаконного тиражирования или уничтожения. Таким образом, возникает необходимость в безопасности информационных технологий.

Термин "безопасность информационных технологий" часто понимается по-разному, причем чаще всего имеется в виду какой-то один аспект этой проблемы. Можно привести несколько примеров: для производителя источников бесперебойного питания серьезную угрозу для вычислительной системы представляет нестабильность энергосети, а с позиции разработчика антивирусных программ - риск уничтожения бесценных данных.

Так или иначе, все пользователи нуждаются в безопасности тех самых информационных технологий, которые они используют.



Основные причины обострения проблемы обеспечения безопасности информационных технологий

Актуальность проблемы защиты информационных технологий в современных условиях определяется следующими основными факторами:

* обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование

* расширением сферы использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, высокими темпами увеличения парка средств вычислительной техники и связи

* повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических областях деятельности

* вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей, наличием интенсивного обмена информацией между участниками этого процесса

* концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях

* количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам

* отношением к информации, как к товару, переходом к рыночным отношениям в области предоставления информационных услуг с присущей им конкуренцией и промышленным шпионажем

* многообразием видов угроз и возникновением новых возможных каналов несанкционированного доступа к информации

* ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими нежелательных программно-математических воздействий на системы обработки информации

* увеличением потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (возрастанием уязвимости различных затрагиваемых субъектов)

* развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).

Еще одним весомым аргументом в пользу усиления внимания к вопросам безопасности вычислительных систем является бурное развитие и широкое распространение так называемых компьютерных вирусов, способных скрытно существовать в системе и совершать потенциально любые несанкционированные действия.

Особую опасность для компьютерных систем представляют злоумышленники, специалисты - профессионалы в области вычислительной техники и программирования, досконально знающие все достоинства и слабые места вычислительных систем и располагающие подробнейшей документацией и самыми совершенными инструментальными и технологическими средствами для анализа и взлома механизмов защиты.



Меры противодействия угрозам безопасности. Классификация мер обеспечения безопасности компьютерных систем

По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические и технические (аппаратурные и программные).

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

К морально-этическим мерам противодействия относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.

Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они включают:

· мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;

· мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);

· мероприятия, осуществляемые при подборе и подготовке персонала системы;

· организацию охраны и надежного пропускного режима;

· организацию учета, хранения, использования и уничтожения документов и носителей с информацией;

· распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

· организацию явного и скрытого контроля за работой пользователей;

· мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).



Основные принципы построения систем защиты автоматизированной системы

Защита информации в АС должна основываться на следующих основных принципах:

· системности;

· комплексности;

· непрерывности защиты;

· разумной достаточности;

· гибкости управления и применения;

· открытости алгоритмов и механизмов защиты;

· простоты применения защитных мер и средств.

Принцип системности

Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС.

При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников).

Принцип комплексности

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.

Принцип непрерывности защиты

Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Разумная достаточность

Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Гибкость системы защиты

Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

Принцип простоты применения средств защиты

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).



Модели управления доступом

Успех в достижении высокой степени безопасности АС зависит от тщательности разработки и реализации управления имеющимися в системе механизмами безопасности. Как показывает практика, наилучшие результаты в создании безопасных систем достигаются в том случае, когда разработчики системы учитывают требования безопасности уже на этапе формулирования целей разработки и самых общих принципов построения системы. При этом разработчики должны четко понимать суть требований безопасности.

В таком случае, разрабатываемая система может быть небезопасной в силу одной из двух причин :

· есть ошибки в реализации механизмов защиты или механизмов управления ими;

· ошибочно, недостаточно полно, или неверно понято само определение того, что значит в отношении системы выражение "быть безопасной".

Для устранения первой причины необходимо применение современных технологий создания программного обеспечения в сочетании с принципами разработки, специфичными для выполнений требований безопасности.

Для устранения второй причины необходимо как можно точнее сформулировать понятие "быть безопасной" в отношении разрабатываемой системы.

Известно, что при разработке современных автоматизированных систем используется один из двух методов:

1. Нисходящий метод (метод "сверху-вниз"): сначала составляется общее описание системы; выделяются компоненты системы; поэтапно увеличивается степень детализации компонентов системы (выделение компонентов в компонентах и т.д.) - до момента окончания разработки.

2. Восходящий метод (метод "снизу-вверх"): сначала формулируются задачи системы; затем разрабатывается некоторый набор элементарных функций; на базе элементарных функций разрабатываются более крупные компоненты системы - и так поэтапно разработка ведется до момента объединения отдельных компонентов в единую систему.

Наибольшее распространение получил компромиссный вариант, при котором разработка системы в целом ведется нисходящим методом, а разработка отдельных компонентов системы (в основном элементарных) - восходящим.

Управление механизмами защиты

Конкуренция в области разработки средств защиты компьютерных систем неизбежно приводит к унификации перечня общих требований к таким средствам. Одним из пунктов в таком унифицированном списке практически всегда можно встретить требование наличия средств управления всеми имеющимися защитными механизмами. К сожалению, кроме того, что средства управления в системе должны быть, в лучшем случае, для вычислительных сетей, можно встретить лишь уточнение о необходимости обеспечения централизованного удаленного контроля и управления защитными механизмами. Разработчики систем защиты основное внимание уделяют реализации самих защитных механизмов, а не средств управления ими. Такое положение дел свидетельствует о незнании или непонимании и недооценке проектировщиками и разработчиками большого числа психологических и технических препятствий, возникающих при внедрении разработанных систем защиты. Успешно преодолеть эти препятствия можно только, обеспечив необходимую гибкость управления средствами защиты.

Недостаточное внимание к проблемам и пожеланиям заказчиков, к обеспечению удобства работы администраторов безопасности по управлению средствами защиты на всех этапах жизненного цикла компьютерных систем часто является основной причиной отказа от использования конкретных средств защиты.

Опыт внедрения и сопровождения систем разграничения доступа в различных организациях позволяет указать на ряд типовых проблем, возникающих при установке, вводе в строй и эксплуатации средств разграничения доступа к ресурсам компьютерных систем, а также предложить подходы к решению этих проблем.

В настоящее время в большинстве случаев установка средств защиты производится на уже реально функционирующие АС заказчика. Защищаемая АС используется для решения важных прикладных задач, часто в непрерывном технологическом цикле, и ее владельцы и пользователи крайне негативно относятся к любому, даже кратковременному, перерыву в ее функционировании для установки и настройки средств защиты или частичной потере работоспособности АС вследствие некорректной работы средств защиты.

Внедрение средств защиты осложняется еще и тем, что правильно настроить данные средства с первого раза обычно не представляется возможным. Это, как правило, связано с отсутствием у заказчика полного детального списка всех подлежащих защите аппаратных, программных и информационных ресурсов системы и готового непротиворечивого перечня прав и полномочий каждого пользователя АС по доступу к ресурсам системы.

Поэтому, этап внедрения средств защиты информации обязательно в той или иной мере включает действия по первоначальному выявлению, итеративному уточнению и соответствующему изменению настроек средств защиты. Эти действия должны проходить для владельцев и пользователей системы как можно менее болезненно.

Очевидно, что те же самые действия неоднократно придется повторять администратору безопасности и на этапе эксплуатации системы каждый раз при изменениях состава технических средств, программного обеспечения, персонала и пользователей и т.д. Такие изменения происходят довольно часто, поэтому средства управления системы защиты должны обеспечивать удобство осуществления необходимых при этом изменений настроек системы защиты. Такова "диалектика" применения средств защиты. Если система защиты не учитывает этой диалектики, не обладает достаточной гибкостью и не обеспечивает удобство перенастройки, то такая система очень быстро становится не помощником, а обузой для всех, в том числе и для администраторов безопасности, и обречена на отторжение.

Для поддержки и упрощения действий по настройке средств защиты в системе защиты необходимо предусмотреть следующие возможности :

· выборочное подключение имеющихся защитных механизмов, что обеспечивает возможность реализации режима постепенного поэтапного усиления степени защищенности АС.

· так называемый "мягкий" режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются (то есть не запрещаются системой защиты). Этот режим позволяет выявлять некорректности настроек средств защиты (и затем производить соответствующие их корректировки) без нарушения работоспособности АС и существующей технологии обработки информации;

· возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах (при работе как в "мягком", так и обычном режимах).

С увеличением масштаба защищаемой АС усиливаются требования к организации удаленного управления средствами защиты. Поэтому те решения, которые приемлемы для одного автономного компьютера или небольшой сети из 10-15 рабочих станций, совершенно не устраивают обслуживающий персонал (в том числе и администраторов безопасности) больших сетей, объединяющих несколько сотен рабочих станций.

Для решения проблем управления средствами защиты в больших сетях в системе необходимо предусмотреть следующие возможности :

· должны поддерживаться возможности управления механизмами защиты как централизованно (удаленно, с рабочего места администратора безопасности сети), так и децентрализовано (непосредственно с конкретной рабочей станции). Причем любые изменения настроек защитных механизмов, произведенные централизованно, должны автоматически распространяться на все рабочие станции, которых они касаются (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных). Аналогично, часть изменений, произведенных децентрализовано, должна быть автоматически отражена в центральной базе данных защиты и при необходимости также разослана на все другие станции, которых они касаются. Например, при смене своего пароля пользователем, осуществленной на одной из рабочих станций, новое значение пароля этого пользователя должно быть отражено в центральной базе данных защиты сети, а также разослано на все рабочие станции, на которых данному пользователю разрешено работать;

· управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции, то есть независимо от того, включена она в данный момент времени и работает ли на ней какой-то пользователь или нет. После включения неактивной станции все изменения настроек, касающиеся ее механизмов защиты, должны быть автоматически перенесены на нее.

· в крупных АС процедура замены версий программ средств защиты (равно как и любых других программ) требует от обслуживающего персонала больших трудозатрат и связана с необходимостью обхода всех рабочих станций для получения к ним непосредственного доступа. Проведение таких замен может быть вызвано как необходимостью устранения обнаруженных ошибок в программах, так и потребностью совершенствования и развития системы (установкой новых улучшенных версий программ);

· для больших АС особую важность приобретает оперативный контроль за состоянием рабочих станций и работой пользователей в сети. Поэтому система защиты в свой состав должна включать подсистему оперативного контроля состояния рабочих станций сети и слежения за работой пользователей.

Увеличение количества рабочих станций и использование новых программных средств, включающих большое количество разнообразных программ (например MS Windows), приводит к существенному увеличению объема системных журналов регистрации событий, накапливаемых системой защиты. Объем зарегистрированной информации становится настолько велик, что администратор уже физически не может полностью проанализировать все системные журналы за приемлемое время.

Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены следующие возможности:

· подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.). Естественно такая подсистема должна опираться на системный механизм обеспечения единого времени событий;

· возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного количества последних дней. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться.

· в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности. Например, заменять все многократно повторяющиеся в журнале события, связанные с выполнением командного файла autoexec.bat, одним обобщенным. Аналогично можно одним событием заменять многократно повторяющуюся последовательность запуска программ системы MS-Windows и т.п.;

· желательно также иметь в системе средства автоматической подготовки отчетных документов установленной формы о работе станций сети и имевших место нарушениях. Такие средства позволили бы существенно снять рутинную нагрузку с администрации безопасности.



Организационные меры защиты информации в АС

Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.



Организационная структура, основные функции службы компьютерной безопасности

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в АС может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба защиты (служба компьютерной безопасности).

Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее функционирования.

Основные функции службы заключаются в следующем:

· формирование требований к системе защиты в процессе создания АС;

· участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

· планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

· распределение между пользователями необходимых реквизитов защиты;

· наблюдение за функционированием системы защиты и ее элементов;

· организация проверок надежности функционирования системы защиты;

· обучение пользователей и персонала АС правилам безопасной обработки информации;

· контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

Организационно-правовой статус службы защиты определяется следующим образом:

· численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;

· служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

· штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием АС;

· сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

· руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;

· службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

Естественно, все эти задачи не под силу одному человеку, особенно если организация (компания, банк и др.) довольно велика. Более того, службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. Обычно выделяют четыре группы сотрудников (по возрастанию иерархии):

· Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема АС имеет своего сотрудника группы безопасности.

· Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (если в этом возникает необходимость) и за хранением резервных копий.

· Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.

· Руководитель (начальник) группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль за выполнением плана восстановления и общее руководство административными группами в подсистемах АС (при децентрализованном управлении).

Существуют различные варианты детально разработанного штатного расписания такой группы, включающие перечень функциональных обязанностей, необходимых знаний и навыков, распределение времени и усилий. При организации защиты существование такой группы и детально разработанные обязанности ее сотрудников совершенно необходимы.

Основные организационные и организационно-технические мероприятия по созданию и поддержанию функционирования комплексной системы защиты

Они включают:

· разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

· мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

· периодически проводимые (через определенное время) мероприятия;

· постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия

К разовым мероприятиям относят:

· общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты АС;

· мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

· мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

· проведение спецпроверок всех применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

· разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

· внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов АС и действиям в случае возникновения кризисных ситуаций;

· оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;

· определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

· мероприятия по созданию системы защиты АС и созданию инфраструктуры;

· мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в АС; выявление наиболее вероятных угроз для данной АС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

· организацию надежного пропускного режима;

· определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

· организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

· определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

· создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;

Периодически проводимые мероприятия

К периодически проводимым мероприятиям относят:

· распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

· анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

· мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

· периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

· мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости

К мероприятиям, проводимым по необходимости, относят:

· мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

· мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

· мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

Постоянно проводимые мероприятия

Постоянно проводимые мероприятия включают:

· мероприятия по обеспечению достаточного уровня физической защиты всех компонентов АС (противопожарная охрана, охрана помещений, пропускной режим и т.д.)

· мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;

· явный и скрытый контроль за работой персонала системы;

· контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;

· постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.



Заключение

Естественно, в ситуации угрозы информационным технологиям возникает потребность в защите вычислительных систем и информации от несанкционированного доступа, кражи, уничтожения и других преступных и нежелательных действий.

Наблюдается большая разнородность целей и задач защиты - от обеспечения государственной безопасности до защиты интересов отдельных организаций, предприятий и частных лиц, дифференциация самой информации по степени ее уязвимости.

Что же необходимо защищать и от чего надо защищаться?

Защищать необходимо всех субъектов информационных отношений от возможного материального или морального ущерба, который могут нанести им случайные или преднамеренные воздействия на компьютерную систему и информацию.

Защищаться необходимо от таких нежелательных воздействий, как ошибки в действиях обслуживающего персонала и пользователей системы, ошибки в программном обеспечении, преднамеренные действия злоумышленников, сбои и отказы оборудования, стихийные бедствия и аварии. Естественно на основе разумного анализа риска.

Предотвращать необходимо не только несанкционированный доступ к информации с целью ее раскрытия или нарушения ее целостности, но и попытки проникновения с целью нарушения работоспособности этих систем. Защищать необходимо все компоненты систем: оборудование, программы, данные и персонал.

Все усилия по обеспечению внутренней безопасности систем должны фокусироваться на создании надежных и удобных механизмов принуждения всех ее законных пользователей и обслуживающего персонала к безусловному соблюдению требований политики безопасности, то есть установленной в организации дисциплины прямого или косвенного доступа к ресурсам и информации.

Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является выявление, анализ и классификация возможных путей реализации угроз безопасности, то есть возможных каналов несанкционированного доступа к системе с целью нарушения ее работоспособности или доступа к критической информации, а также оценка реальности реализации угроз безопасности и наносимого при этом ущерба.



Список используемой литературы

1. Гайкович В.Ю., Ершов Д.В.- Основы безопасности информационных технологий.,2010

2. Исаев Г.Н.- Информационные технологии: учебное пособие.,2012

3. Провалов В.С.- Информационные технологии управления: учебное пособие.,2008

4. Г.А. Титоренко-Информационные системы и технологии управления: учебник.,2012

Размещено на Allbest.ru