Студопедия КАТЕГОРИИ: АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Назначение систем защиты информацииСтр 1 из 3Следующая ⇒
Введение
Человек - существо социальное, он постоянно нуждается в обмене информацией с другими людьми. Современный мир невозможно представить без информационных технологий. Уже трудно найти человека, у которого дома нет компьютера. В любом банке, в любом офисе стоят в ряд компьютеры, хранящие важную информацию. Но эту информацию необходимо защищать. Так как без неё невозможно нормальное функционирование общества, она является очень ценным товаром. А любой товар должен быть под надёжной защитой. И тут нужны усилия не отдельных людей, а крупномасштабной организации, целой системы. Проблема обеспечения защиты информации - одна из самых актуальных в наши дни. Стоит также заметить, что тема "Системы защиты информации" хорошо изучена в литературе, противоречий в найденном материале не возникало. Данная работа основана на учебниках по СЗИ или защите информации в целом различных авторов, содержит много информации о структуре СЗИ, и активно используется для написания соответствующего пункта. Также в этой литературе есть определения понятия "Система защиты информации", что поможет сформулировать собственное определение. Главная цель данной работы –определить систему защиты информации. Для этого необходимо выполнить две задачи: ¾ определить основные цели системы защиты информации, ¾ изучить, как она устроена, из каких элементов состоит.
Системы защиты информации
Для обеспечения безопасности информации в личных компьютерах и особенно в офисных системах и компьютерных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации». Система защиты информации - это совокупность организационных (административных) и технологических мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы[1]. Исследования практики функционирования систем обработки данных и компьютерных сетей показали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях: • перехват электронных излучений; • принудительно электромагнитное облучение (подсветка) линий связи; • применение «подслушивающих» устройств; • дистанционное фотографирование; • перехват акустических волновых излучений; • хищение носителей информации и производственных отходов систем обработки данных; • считывание информации из массивов других пользователей; • чтение остаточной информации в аппаратных средствах; • копирование носителей информации и файлов с преодолением мер защиты; • модификация программного обеспечения путем исключения или добавления новых функций; • использование недостатков операционных систем и прикладных программных средств; • незаконное подключение к аппаратуре и линиям связи, в том числе в качестве активного ретранслятора; • злоумышленный вывод из строя механизмов защиты; • маскировка под зарегистрированного пользователя и присвоение себе его полномочий; • введение новых пользователей; • внедрение компьютерных вирусов. Кроме того, система защиты не должна допускать, чтобы: • злоумышленник мог снять с себя ответственность за формирование ложной или разрушающей информации; • были отказы от фактов получения информации, которая фактически была получена, но в другое время; • подтверждались сообщения о посылке кому-то информации, которая на самом деле не посылалась; • в передаваемой информации содержалась другая (вредоносная) информация; • в число пользователей попадали без регистрации новые лица, чтобы не удалялись и не модифицировались действующие лица; • отдельные пользователи незаконно расширяли свои полномочия по доступу к информации и процессам ее обработки; • создавались помехи обмену сообщениями между пользователями с целью нарушения и искажения передаваемой информации. Учитывая важность, масштабность и сложность решения проблемы сохранности и безопасности информации, рекомендуется разрабатывать архитектуру безопасности в несколько этапов: • анализ возможных угроз; • разработка системы защиты; • реализация системы защиты; • сопровождение системы защиты. Этап разработки системы защиты информации предусматривает использование различных комплексов мер и мероприятий организационно-административного, технического, программно-аппаратного, технологического, правового, морально-этического характера и др. Организационно-административные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам систем обработки данных, к регламентации деятельности персонала и др. Их цель - в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Наиболее типичные организационно-административные средства: • создание контрольно-пропускного режима на территории, где располагаются средства обработки информации; • изготовление и выдача специальных пропусков; • мероприятия по подбору персонала, связанного с обработкой данных; • допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц; • хранение магнитных и иных носителей информации, представляющих определенную тайну, а также регистрационных журналов в сейфах, не доступных для посторонних лиц; • организация защиты от установки прослушивающей аппаратуры в помещениях, связанных с обработкой информации; • организация учета использования и уничтожения документов (носителей) с конфиденциальной информацией; • разработка должностных инструкций и правил по работе с компьютерными средствами и информационными массивами; • разграничение доступа к информационным и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.
Назначение систем защиты информации
Главная цель создания системы защиты информации — ее надежность. Система ЗИ — это организованная совокупность объектов и субъектов ЗИ, используемых методов и средств защиты, а также осуществляемых защитных мероприятий. Но компоненты ЗИ, с одной стороны, являются составной частью системы, с другой — сами организуют систему, осуществляя защитные мероприятия. Поскольку система может быть определена как совокупность взаимосвязанных элементов, то назначение СЗИ состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически. Надежность защиты информации прямо пропорциональна системности, т. е. при несогласованности между собой отдельных составляющих риск «проколов» в технологии защиты увеличивается. Во-первых, необходимость комплексных решений состоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, например, виды защиты информации (правовая, организационная, инженерно-техническая). Во-вторых, необходимость комплексных решений обусловлена назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Но из ее сферы выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защиты. Например, система включает в себя какие-то объекты защиты, а все они включены или нет — это уже вне пределов системы. Поэтому качество, надежность защиты зависят не только от видов составляющих системы, но и от их полноты, которая обеспечивается при учете всех факторов и обстоятельств, влияющих на защиту. Именно полнота всех составляющих системы защиты, базирующаяся на анализе таких факторов и обстоятельств, является вторым назначением комплексности. При этом должны учитываться все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защиты мероприятия. В-третьих, только при комплексном подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите, и при любых обстоятельствах. Это означает, что должны защищаться все носители информации, во всех компонентах ее сбора, хранения, передачи и использования, во все время и при всех режимах функционирования систем обработки информации. В то же время комплексность не исключает, а, наоборот, предполагает дифференцированный подход к защите информации, в зависимости от состава ее носителей, видов тайны, к которым отнесена информация, степени ее конфиденциальности, средств хранения и обработки, форм и условии проявления уязвимости, каналов и методов несанкционированного доступа к информации. Таким образом, значимость комплексного подхода к защите информации состоит: -в интеграции локальных систем защиты; - в обеспечении полноты всех составляющих системы защиты; -в обеспечении всеохватности защиты информации. Исходя из этого, можно сформулировать следующее определение: «Комплексная система защиты информации — система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации».
|
||
Последнее изменение этой страницы: 2018-05-30; просмотров: 140. stydopedya.ru не претендует на авторское право материалов, которые вылажены, но предоставляет бесплатный доступ к ним. В случае нарушения авторского права или персональных данных напишите сюда... |