WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаІнформатика, Компютерні науки → Поняття безпеки електронної інформації - Реферат

Поняття безпеки електронної інформації - Реферат


Реферат на тему:
Поняття безпеки електронної інформації.
Поняття безпеки електронної системи.
Під безпекою електронної системи розуміють її здатність протидіяти спробам нанести збитки власникам та користувачам систем при появі різноманітних збуджуючих (навмисних і ненавмисних) впливів на неї. Природа впливів може бути різноманітною: спроба проникнення зловмисника, помилки персоналу, стихійні лиха (ураган, пожежа), вихід з ладу окремих ресурсів., як правило, розрізняють внутрішню і зовнішню безпеку. Внутрішня безпека враховує захист від стихійного лиха, від проникнення зловмисника, отримання доступу до носіїв інформації чи виходу системи з ладу. Предметом внутрішньої безпеки є забезпечення надійної і коректної роботи системи, цілісності її програм і даних.
На сьогодні склалися два підходи до забезпечення безпеки електронних систем:
" Фрагментарний підхід, при якому проводиться протидія строго визначеним загрозам при певних умовах (спеціалізовані антивірусні засоби, автономні засоби шифрування, тощо);
" Комплексний підхід, який передбачає створення середовища обробки інформації, яке об'єднує різноманітні (правові, організаційні, програмно-технічні) заходи для протидії загрозам.
Комплексний підхід, як правило, використовується для захисту великих систем. Хоча часто і типові програмні засоби містять вбудовані засоби захисту інформації, але цього не цілком достатньо. В цьому випадку необхідно забезпечити виконання наступних заходів:
" організаційні заходи по контролю за персоналом, який має високий рівень повноважень на дії в системі (за програмістами, адміністраторами баз даних мережі і т.д.);
" організаційні та технічні заходи по резервуванню критично важливої інформації;
" організаційні заходи по відновленню працездатності системи у випадку виникнення нештатних ситуацій;
" організаційні та технічні заходи по управлінню доступом в приміщеннях, в яких знаходиться обчислювальна техніка;
" організаційні та технічні заходи по фізичному захисту приміщень, в яких знаходиться обчислювальна техніка і носії даних, від стихійних лих, масових безпорядків і т.д.
Міжнародні стандарти безпеки інформаційно-обчислювальних систем.
В 1985 році Національним центром комп'ютерної безпеки Міністерства оборони США була опублікована, так звана "Оранжева книга" ("Критерії оцінки достовірності обчислювальних систем Міністерства оборони"). В ній були приведені основні положення, по яких американське відомство оборони визначало ступінь захищеності інформаційно-обчислювальних систем. В ній у систематизованому вигляді наводились основні поняття, рекомендації і класифікація по видах загроз безпеці інформаційних систем і методи захисту від них. В подальшому книга перетворилась в збірку науково-обгрунтованих норм і правил, що описують системний підхід для забезпечення безпеки інформаційних систем і їх елементів, і стала настільною книгою для спеціалістів в галузі захисту інформації. Запропонована в "Оранжевій книзі" методологія по суті стала загальноприйнятою і в тій чи іншій мірі увійшла в національні стандарти.
Системний підхід згідно з "Оранжевою книгою" вимагає:
" прийняття принципових рішень в галузі безпеки на основі поточного стану інформаційної системи;
" прогнозування можливих загроз і аналізу пов'язаного з ними ризику для інформаційної системи;
" планування заходів по запобіганню виникнення критичних ситуацій;
" планування заходів по виходу з критичних ситуацій на випадок, коли вони виникнуть.
Одне з основних понять, введених в "Оранжевій книзі", це політика безпеки. Політика безпеки - це сукупність норм, правил і методик, на основі яких в подальшому будується діяльність інформаційної системи в галузі обробки, зберігання і розподілення критичної інформації. При цьому під інформаційною системою підрозумівається не тільки апаратно-програмний комплекс, але і обслуговуючий персонал.
Поняття політика безпеки.
Політика безпеки формується на основі аналізу поточного стану і перспективи розвитку інформаційної системи, можливих загроз і визначає:
" мету, задачі і пріоритети системи безпеки;
" галузь дії окремих підсистем;
" гарантований мінімальний рівень захисту;
" обов'язки персоналу по забезпеченню захисту;
" санкції за порушення захисту.
Якщо виконання політики безпеки проводиться не в повній мірі або непослідовно, тоді імовірність порушення захисту інформації різко зростає. Під захистом інформації розуміють комплекс заходів, який забезпечує:
" збереження конфіденційності інформації - запобігання ознайомлення з інформацією невповноважених осіб;
" збереження інформації - запобігання пошкодження чи знищення інформації внаслідок свідомих дій зловмисника, помилок персоналу, стихійного лиха;
" прозорість, тобто наявність системи безпеки не повинна створювати перешкод для нормальної роботи системи.
Аналіз ризику безпеки інформаційно-обчислювальних систем.
Визначення політики безпеки неможливе без аналізу ризику. Аналіз ризику підвищує рівень поінформованості про слабкі та сильні сторони захисту, створює базу для підготовки і прийняття рішень, оптимізує розмір затрат на захист, оскільки більша частина ресурсів спрямовується на блокування загроз, що можуть принести найбільшу шкоду. Аналіз ризику складається з наступних основних етапів:
1. Опис складу системи: апаратних засобів, програмного забезпечення, даних, документації, персоналу.
2. Визначення слабких місць - виясняються слабкі місця по кожному елементу системи з оцінкою можливих джерел загроз.
3. Оцінка імовірності реалізації загроз.
4. Оцінка очікуваних розмірів втрат - цей етап складний, оскільки не завжди можлива кількісна оцінка даного показника.
5. Аналіз можливих методів і засобів захисту.
6. Оцінка виграшу від прийнятих заходів. Якщо очікувані втрати більші допустимого рівня, необхідно посилити заходи безпеки.
Аналіз ризику завершається прийняттям політики безпеки і складанням плану захисту з наступними розділами:
1. Поточний стан. Опис статусу системи безпеки в момент підготовки плану.
2. Рекомендації. Вибір основних засобів захисту, що реалізують політику безпеки.
3. Відповідальність. Список відповідальних працівників і зон відповідальності.
4. Розклад. Визначення порядку роботи механізмів захисту, в тому числі і засобів контролю.
5. Перегляд положень плану, які повинні
Loading...

 
 

Цікаве