|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Обеспечение безопасности информационных системОбеспечение безопасности ИС предполагает защиту всех компонентов ИС - аппаратных средств, программного обеспечения, данных и персонала. Существует два подхода к проблеме обеспечения безопасности ИС: фрагментарный и комплексный. Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. Достоинством такого подхода является высокая избирательность к конкретной угрозе, однако даже небольшое видоизменение угрозы ведет к потере эффективности защиты. Комплексный подход ориентирован на создание защищенной среды обработки информации в ИС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Достоинство - гарантия определенного уровня безопасности ИС. Недостатки: ограничения на свободу действий пользователей, большая чувствительность к ошибкам установки и настройки средств защиты, сложность управления. Этот подход нашел свое отражение в различных стандартах. Комплексный подход основан на разработанной для конкретной ИС политике безопасности. Политика безопасности представляет собой набор норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в ИС. По способам осуществления все меры обеспечения безопасности подразделяют на: •правовые (законодательные); •морально-этические; •административные (организационные); •физические; •аппаратно-программные. К правовым мерам защиты информации относят действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственности за их нарушения. Второй рубеж защиты образуют морально-этические меры. Этический момент в соблюдении требований защиты имеет весьма большое значение. Очень важно, чтобы люди, имеющие доступ к информации, работали в здоровом морально-этическом климате. Нормы поведения большей частью не являются обязательными, как законодательно утвержденные, но их несоблюдение обычно ведет к падению престижа человека или организации. Морально-этические нормы бывают как неписанными, так и оформленными в некий свод правил или предписаний. Например, “Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США” рассматривает как неэтичные действия, которые умышленно или неумышленно: •нарушают нормальную работу компьютерных систем; •вызывают неоправданные затраты ресурсов (машинного времени, памяти, каналов связи); •нарушаю целостность информации; •нарушают интересы других законных пользователей и.т.п. Административные меры защиты относятся к мерам организационного характера. Они регламентируют: • процессы функционирования ИС; • использование ресурсов ИС; • деятельность персонала; • порядок взаимодействия пользователей с системой. Административные меры включают: •разработку правил обработки информации в ИС, •учет при проектировании и оборудовании влияния стихии, пожаров, охрану помещений, •проверку новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, создание условий, при которых персоналу было бы невыгодно допускать злоупотребления, •организацию пропускного режима, •организацию делопроизводства, •распределение паролей, полномочий, •организацию скрытого контроля за работой персонала и др. Административно-организационные меры защиты могут показаться скучными и рутинными по сравнению с морально-этическими и лишенными конкретности по сравнению с аппаратно-программными, однако они представляют собой базу для всех других уровней защиты. Четвертым рубежом являются технические средства защиты, которые можно разделить на физические и программно-аппаратные меры защиты. К физическим мерам защиты относятся разного рода механические, электро- и электронно-механические устройства или сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновении и доступа потенциальных нарушителей. Наконец, к аппаратно-программным средствам защиты относятся различные электронные устройства и специальные программы, которые реализуют следующие способы защиты: •идентификацию (распознавание) и аутентификацию(проверку подлинности) субъектов (пользователей, процессов); •разграничение доступа к ресурсам; •контроль целостности данных; •регистрацию и анализ событий, происходящих в ИС; •резервирование ресурсов и компонентов. При проектировании эффективной системы защиты следует учитывать ряд принципов: •экономическая эффективность; •минимум привилегий; •простота; •отключаемость защиты - при нормальном функционировании защита не должна отключаться; •открытость для специалистов по системе защиты - они должны четко представлять принципы ее функционирования и адекватно реагировать в затруднительных ситуациях; •всеобщий контроль - любые исключения резко снижают защищенность; •независимость от субъектов защиты - лица, занимавшиеся разработкой системы, не должны быть в числе тех, кого эта система будет контролировать; •отчетность и подконтрольность - система должна предоставлять доказательства корректности своей работы; •ответственность - личная ответственность лиц, занимающихся обеспечением безопасности; •изоляция и разделение на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других; •полнота и согласованность - должна быть полностью специфицирована, протестирована и согласована; •параметризация - более гибкая, если допускает изменение параметров со стороны администратора; •принцип враждебного окружения - пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты; •привлечение человека - наиболее важные решения должны приниматься человеком; •отсутствие излишней информации о существовании механизмов защиты.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.) |