WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаІнформатика, Компютерні науки → Поняття безпеки електронної інформації - Реферат

Поняття безпеки електронної інформації - Реферат

періодично переглядатися.
Організація системи безпеки в організації.
Основним питанням початкового етапу впровадження системи безпеки є призначення відповідальних осіб за безпеку і розмежування сфер їх впливу., як правило, ще на етапі початкової постановки питань виясняється, що за цей аспект безпеки організації ніхто відповідати не хоче. Системні програмісти і адміністратори схильні відносити цю задачу до компетенції загальної служби безпеки, тоді, як остання вважає, що це питання знаходиться в компетенції спеціалістів покомп'ютерах.
При вирішенні питань розподілу відповідальності за безпеку комп'ютерної системи необхідно враховувати наступні положення:
" ніхто, крім керівництва, не може прийняти основоположні рішення в галузі політики комп'ютерної безпеки;
" ніхто, крім спеціалістів, не зможе забезпечити правильне функціонування системи безпеки;
" ніяка зовнішня організація чи група спеціалістів життєво не зацікавлена в економічній ефективності заходів безпеки.
Організаційні заходи безпеки інформаційних систем прямо чи опосередковано пов'язані з адміністративним управлінням і відносяться до рішень і дій, які застосовуються керівництвом для створення таких умов експлуатації, які зведуть до мінімуму слабкість захисту. Дії адміністрації можна регламентувати по наступних напрямках:
1. заходи фізичного захисту комп'ютерних систем;
2. регламентація технологічних процесів;
3. регламентація роботи з конфіденційною інформацією;
4. регламентація процедур резервування;
5. регламентація внесення змін;
6. регламентація роботи персоналу і користувачів;
7. підбір та підготовка кадрів;
8. заходи контролю і спостереження.
До галузі стратегічних рішень при створенні системи комп'ютерної безпеки повинна бути віднесена розробка загальних вимог до класифікації даних, що зберігаються і обробляються в системі.
На практиці найчастіше використовуються наступні категорії інформації.
Важлива інформація - незамінима та необхідна для діяльності інформація, процес відновлення якої після знищення неможливий або ж дуже трудомісткий і пов'язаний з великими затратами, а її помилкове застосування чи підробка призводить до великих втрат.
Корисна інформація - необхідна для діяльності інформація, яка може бути відновлена без великих втрат, при чому її модифікація чи знищення призводить до відносно невеликих втрат.
Конфіденційна інформація - інформація, доступ до якої для частини персоналу або сторонніх осіб небажаний, оскільки може спричинити матеріальні та моральні втрати.
Відкрита інформація - це інформація, доступ до якої відкритий для всіх.
Керівництво повинно приймати рішення про те, хто і яким чином буде визначати степінь конфіденційності і важливості інформації. На жаль, в нашій країні ще не повністю сформоване законодавство, щоб розглядати інформацію, як товар та регламентувати права інтелектуальної власності на ринку інтелектуального продукту, як це робиться в світовій практиці.
Класифікація загроз безпеки.
Під загрозою безпеки розуміють потенційні дії або події, які можуть прямо чи опосередковано принести втрати - привести до розладу, спотворення чи несанкціонованого використання ресурсів мережі, включаючи інформацію, що зберігається, передається або обробляється, а також програмні і апаратні засоби.
Не існує єдиної загальноприйнятої класифікації загроз, хоча існує багато її варіантів. Приведемо перелік тем подібних класифікацій:
" по цілі реалізації;
" по принципу дії на систему;
" по характеру впливу на систему;
" по причині появи помилки захисту;
" по способу дії атаки на об'єкт;
" по об'єкту атаки;
" по використовуваних засобах атаки;
" по стану об'єкту атаки.
Загрози прийнято ділити на випадкові (або ненавмисні) і навмисні. Джерелом перших можуть бути помилки в програмному забезпеченні, виходи з ладу апаратних засобів, неправильні дії користувачів або адміністрації локальної обчислювальної мережі і, так далі. Навмисні загрози, на відміну від випадкових, прагнуть нанести шкоду користувачам (абонентам) локальної обчислювальної мережі і, в свою чергу, діляться на активні і пасивні. Пасивні загрози, як правило, спрямовані на несанкціоноване використання інформаційних ресурсів локальної обчислювальної мережі, не впливаючи при цьому на її функціонування. Пасивною загрозою є, наприклад, спроба отримання інформації, що циркулює в каналах передачі даної локальної обчислювальної мережі, шляхом підслуховування. Активні загрози прагнуть порушити нормальне функціонування локальної обчислювальної мережі шляхом цілеспрямованого впливу на її апаратні, програмні і інформаційні ресурси. До активних загроз відносяться, наприклад, порушення або радіоелектронне заглушення ліній зв'язку локальної обчислювальної мережі, вивід з ладу ЕОМ або її операційної системи, спотворення відомостей в користувацьких базах даних або системної інформації локальної обчислювальної мережі і т.д. Джерелами активних загроз можуть бути безпосередні дії зловмисників, програмні віруси і, так далі.
Основні види загроз безпеки інформації.
До основних загроз безпеки інформації відносяться:
" розкриття конфіденційної інформації:
" компрометація інформації;
" несанкціоноване використання ресурсів локальної обчислювальної мережі;
" помилкове використання її ресурсів;
" несанкціонований обмін інформацією;
" відмова від інформації;
" відмова в обслуговуванні.
Засобами реалізації загрози розкриття конфіденційної інформації може бути несанкціонований доступ до баз даних, прослуховування каналів локальної обчислювальної мережі і, так далі. В кожному випадку, отримання інформації, що є власністю деякої особи (чи групи), наносить її власникам суттєву шкоду.
Компрометація інформації, як правило, здійснюється шляхом внесення несанкціонованих змін в бази даних, в результаті чого її користувач змушений або відмовитись від неї або витратити додаткові зусилля для виявлення змін і відновлення істинних відомостей. У випадку використання скомпрометованої інформації користувач може прийняти невірні рішення з усіма наслідками, що звідси випливають.
Несанкціоноване використання ресурсів локальної обчислювальної мережі, з однієї сторони, є засобом розкриття або компрометації інформації, а з іншої - має самостійне значення, оскільки, навіть не торкаючись користувацької або системної
Loading...

 
 

Цікаве