Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

УРОВНИ ЗАЩИТЫ ИНФОРМАЦИИ (ЗАКОНОДАТЕЛЬНЫЙ, АДМИНИСТРАТИВНЫЙ, ПРОЦЕДУРНЫЙ, ПРОГРАММНО-ТЕХНИЧЕСКИЙ).

Читайте также:
  1. C. Движение информации и ее трансформация от исходной в командную
  2. E. Порядок защиты курсовой работы.
  3. Flash –носители информации
  4. I. Изучите блок теоретической информации: учебник стр. 89-105, конспект лекций № 12-13.
  5. II. Порядок выполнения, рецензирования и защиты курсовой работы
  6. II. Техника защиты.
  7. Internet, его функции. Web-броузеры. Поиск информации в Internet.
  8. Quot;Естественные" психологические защиты
  9. quot;Интегративные" психологические защиты
  10. Quot;Интегративные" психологические защиты

 

ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ.

 

Информационная безопасность (ИБ) – это защищенность информации, информационных ресурсов и инфраструктуры от случайных или преднамеренных воздействий, способных нанести ущерб владельцу или пользователю.

Защита информации (ЗИ) – это комплекс организационно-технических мероприятий, направленных на обеспечение информационной безопасности (ИБ).

На практике под этим понимается поддержание целостности, доступности и конфиденциальности вводимой, обрабатываемой, хранимой и передаваемой информации.

Целостность – защита от несанкционированного изменения информации и ресурсов;

Доступность – защита от несанкционированного блокирования доступа к информации и ресурсам;

Конфиденциальность – защита от несанкционированного получения информации.

 

 

УРОВНИ ЗАЩИТЫ ИНФОРМАЦИИ (ЗАКОНОДАТЕЛЬНЫЙ, АДМИНИСТРАТИВНЫЙ, ПРОЦЕДУРНЫЙ, ПРОГРАММНО-ТЕХНИЧЕСКИЙ).

 

В зависимости от того, какие меры принимаются для обеспечения информационной безопасности, выделяют следующие уровни защиты информации:

· законодательный;

· административный;

· процедурный;

· программно-технический.

 

 

Законодательный уровень

 

К данному уровню относят весь комплекс мер, направленных на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям информационной безопасности.

 

Основным на законодательном уровне является обеспечение того, чтобы процесс разработки согласовывался с развитием информационных технологий.

Необходимо, чтобы законы не слишком сильно отставали от жизни.

 

Одним из недостатков современного российского законодательства является слабая позитивная направленность (поощрительных информационно-правовых норм значительно меньше, чем карательных).

 

Ещё одна задача, которая должна решаться на законодательном уровне ЗИ, – это приведение российских стандартов в соответствие с международным уровнем информационной безопасности

 

 

Административный уровень

 

Меры административного уровня принимаются руководством конкретной организации.

Основной из таких мер является создание политики безопасности.

Политика безопасности – это совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

 

Политика безопасности определяет стратегию организации в области информационной безопасности и строится на основе анализа рисков, которые признаются реальными для информационной системы организации.

 

После анализа рисков и определения стратегии защиты информации составляется программа по реализации обеспечения информационной безопасности.

 

Под данную программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

 

Особенности политики безопасности организации зависят от особенностей данной организации, поэтому при её составлении необходимо опираться не только на основные принципы разработки политики безопасности, но и на готовые шаблоны для наиболее важных разновидностей организаций.

 

 

Процедурный уровень

 

К процедурному уровню относятся меры безопасности, реализуемые людьми.

 

Можно выделить следующие группы процедурных мер:

· управление персоналом;

· физическая защита информации;

· поддержание работоспособности оборудования;

· реагирование на нарушения режима безопасности;

· планирование восстановительных работ.

 

Для каждой группы в каждой организации должен существовать набор регламентов, определяющих действия персонала.

Исполнение этих регламентов следует отработать на практике.

 

 

Программно-технический уровень

 

Данный уровень представляет собой комплекс программно-технических мероприятий, направленных на обеспечение информационной безопасности.

 

Примеры подобных мероприятий:

· идентификация и проверка подлинности пользователей (см. вопрос 14);

· управление доступом;

· протоколирование и аудит;

· криптография;

· экранирование;

· обеспечение высокой доступности (то есть, принятие всевозможных мер для того, чтобы запрашиваемая пользователями была доступна, чтобы всякого рода проблемы с оборудованием не препятствовали этому).

 

Протоколирование – сбор и накопление информации о событиях, происходящих в информационной системе (кто и когда пытался входить в систему, чем завершилась попытка входа, какая информация как и кем изменялась и т.д.).

 

Аудит – это анализ накопленной информации, проводимый практически в реальном времени, или периодически.

 

Протоколирование и аудит проводятся с целью обеспечения возможности восстановления последовательности событий, обнаружения попыток нарушения информационной безопасности и предоставления информации для выявления и анализа проблем.

 

Криптография – наука о том, как обеспечить секретность сообщения.

Криптоанализ – это наука о том, как вскрыть зашифрованное сообщение, не зная ключа.

 

В процессе экранирования могут осуществляться следующие типы защиты информации:

· блокировка нежелательного трафика (трафик в данном случае – это информация, передаваемая по компьютерной сети);

· направление входящего трафика (то есть, пришедшей из сети информации) только к надежным внутренним системам;

· скрытие уязвимых систем, которые нельзя обезопасить от атак из Интернета другим способом;

· протоколирование трафика;

· обеспечение более надежной аутентификации, чем та, которую представляют стандартные приложения (об аутентификации см. вопрос 14).

 

 




Дата добавления: 2014-12-15; просмотров: 1309 | Поможем написать вашу работу | Нарушение авторских прав




lektsii.net - Лекции.Нет - 2014-2024 год. (0.009 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав