АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Обеспечение безопасности информационных систем

Читайте также:
  1. B. Взаимодействие с бензодиазепиновыми рецепторами, вызывающее активацию ГАМК – ергической системы
  2. C. Обладать незначительной системной биодоступностью
  3. CRM системы и их возможности
  4. D) по 20 бальной системе
  5. I ступень – объектив- центрическая система из 4-10 линз для непосредственного рассмотрения объекта и формирования промежуточного изображения, расположенного перед окуляром.
  6. II. Обеспечение учебниками
  7. II. Общие требования безопасности
  8. II. Освоение техники микроскопии с иммерсионной системой.
  9. II. Світовий освітній простір і система освіти в Україні.
  10. III. Блок законов по радиационной безопасности населения.
  11. III. Физиология специфических сенсорных систем
  12. IV. Настільні видавничі системи.

Обеспечение безопасности ИС предполагает защиту всех компонентов ИС - аппаратных средств, программного обеспечения, данных и персонала.

Существует два подхода к проблеме обеспечения безопасности ИС: фрагментарный и комплексный.

Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. Достоинством такого подхода является высокая избирательность к конкретной угрозе, однако даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Комплексный подход ориентирован на создание защищенной среды обработки информации в ИС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Достоинство - гарантия определенного уровня безопасности ИС. Недостатки: ограничения на свободу действий пользователей, большая чувствительность к ошибкам установки и настройки средств защиты, сложность управления. Этот подход нашел свое отражение в различных стандартах.

Комплексный подход основан на разработанной для конкретной ИС политике безопасности. Политика безопасности представляет собой набор норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в ИС.

По способам осуществления все меры обеспечения безопасности подразделяют на:

•правовые (законодательные);

•морально-этические;

•административные (организационные);

•физические;

•аппаратно-программные.

К правовым мерам защиты информации относят действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственности за их нарушения.

Второй рубеж защиты образуют морально-этические меры. Этический момент в соблюдении требований защиты имеет весьма большое значение. Очень важно, чтобы люди, имеющие доступ к информации, работали в здоровом морально-этическом климате. Нормы поведения большей частью не являются обязательными, как законодательно утвержденные, но их несоблюдение обычно ведет к падению престижа человека или организации. Морально-этические нормы бывают как неписанными, так и оформленными в некий свод правил или предписаний. Например, “Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США” рассматривает как неэтичные действия, которые умышленно или неумышленно:

•нарушают нормальную работу компьютерных систем;

•вызывают неоправданные затраты ресурсов (машинного времени, памяти, каналов связи);

•нарушаю целостность информации;

•нарушают интересы других законных пользователей и.т.п.

Административные меры защиты относятся к мерам организационного характера. Они регламентируют:

• процессы функционирования ИС;

• использование ресурсов ИС;

• деятельность персонала;

• порядок взаимодействия пользователей с системой. Административные меры включают:

•разработку правил обработки информации в ИС,

•учет при проектировании и оборудовании влияния стихии, пожаров, охрану помещений,

•проверку новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, создание условий, при которых персоналу было бы невыгодно допускать злоупотребления,

•организацию пропускного режима,

•организацию делопроизводства,

•распределение паролей, полномочий,

•организацию скрытого контроля за работой персонала и др.

Административно-организационные меры защиты могут показаться скучными и рутинными по сравнению с морально-этическими и лишенными конкретности по сравнению с аппаратно-программными, однако они представляют собой базу для всех других уровней защиты.

Четвертым рубежом являются технические средства защиты, которые можно разделить на физические и программно-аппаратные меры защиты. К физическим мерам защиты относятся разного рода механические, электро- и электронно-механические устройства или сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновении и доступа потенциальных нарушителей.

Наконец, к аппаратно-программным средствам защиты относятся различные электронные устройства и специальные программы, которые реализуют следующие способы защиты:

•идентификацию (распознавание) и аутентификацию(проверку подлинности) субъектов (пользователей, процессов);

•разграничение доступа к ресурсам;

•контроль целостности данных;

•регистрацию и анализ событий, происходящих в ИС;

•резервирование ресурсов и компонентов.

При проектировании эффективной системы защиты следует учитывать ряд принципов:

•экономическая эффективность;

•минимум привилегий;

•простота;

•отключаемость защиты - при нормальном функционировании защита не должна отключаться; •открытость для специалистов по системе защиты - они должны четко представлять принципы ее функционирования и адекватно реагировать в затруднительных ситуациях;

•всеобщий контроль - любые исключения резко снижают защищенность;

•независимость от субъектов защиты - лица, занимавшиеся разработкой системы, не должны быть в числе тех, кого эта система будет контролировать;

•отчетность и подконтрольность - система должна предоставлять доказательства корректности своей работы;

•ответственность - личная ответственность лиц, занимающихся обеспечением безопасности;

•изоляция и разделение на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других;

•полнота и согласованность - должна быть полностью специфицирована, протестирована и согласована;

•параметризация - более гибкая, если допускает изменение параметров со стороны администратора;

•принцип враждебного окружения - пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;

•привлечение человека - наиболее важные решения должны приниматься человеком;

•отсутствие излишней информации о существовании механизмов защиты.

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.)