3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Что такое безопасность информационных систем

Основные понятия в области информационной безопасности

Формирование системы информационной безопасности

Наибольший эффект при обеспечении защиты информации достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм – систему информационной безопасности . Функционирование механизма защиты должно постоянно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.

С позиции системного подхода, к системе информационной безопасности предъявляются определенные требования, включающие:

  • Адекватность угрозам. Предполагается тщательный анализ угроз как реальных, так и потенциальных. По результатам такого анализа формируются требования к системе информационной безопасности конкретного объекта в конкретной обстановке (завышение требований приводит к неоправданным расходам, занижение – к резкому возрастанию вероятности реализации угроз).
  • Непрерывность. Обеспечение защиты информации конкретного объекта – это непрерывный процесс, заключающийся в развитии системы информационной безопасности, постоянном контроле, выявлении её узких и слабых мест и потенциально возможных каналов утечки информации.
  • Плановость. Данное требование подразумевает разработку детального плана защиты информации для каждой службы в сфере ее компетенции с учетом общей цели предприятия.
  • Централизованность. В рамках определенной структуры должен быть организован процесс единого (централизованного) управления по обеспечению защиты информации.
  • Целенаправленность. При реализации защитных мер, направленных на обеспечение безопасности информации, действия должны быть сосредоточены на защите конкретного объекта и обеспечивать достижение поставленной цели.
  • Надежность. Методы защиты должны гарантировано блокировать возможные каналы утечки информации, независимо от формы ее представления, языка выражения и вида физического носителя, на котором она хранится.
  • Универсальность. Методы защиты должны обеспечивать возможность перекрытия канала утечки информации, независимо от его вида и места появления.
  • Комплексность. Система информационной безопасности включает в себя все виды, формы и средства защиты информации в полном объеме. Недопустимо применять отдельные формы или технические средства. Необходимо использовать все имеющиеся средства защиты на всех этапах технологического цикла обработки информации и передачи ее по каналам связи.

Построение системы информационной безопасности подразумевает выполнение ряда мероприятий правового и организационно-технического характера. Каждое предприятие (компания) определяет свою политику информационной безопасности, включающую цели и принципы по защите информации компании. Согласно данной политике разрабатываются документы по вопросам обеспечения информационной безопасности с учетом требований нормативных правовых актов, разрабатываются и внедряются технические решения и средства защиты информации от утечки защищаемой информации и от несанкционированного или случайного воздействия на нее.

Мероприятия системы защиты информации технического характера

Инженерно-технический элемент системы защиты информации предназначен для активного и пассивного противодействия средствам технической разведки и формирования контролируемой зоны с помощью комплексов технических средств. При защите информационных систем этот элемент имеет большое значение и включает в себя:

  • организацию физической защиты от проникновения посторонних лиц на территорию, в здания и помещения, а так же к линиям связи;
  • средства защиты технических каналов утечки информации, возникающих при работе компьютерного оборудования, средств связи, модемов, факсов и других устройств, участвующих в передаче сообщений по каналам связи;
  • средства защиты помещений от визуальных способов технической разведки;
  • средства наблюдения (в т.ч. видеонаблюдения), оповещения, сигнализации, информирования, идентификации нарушений работы технических средств и изменений параметров сетей связи;
  • средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств и т.п.);
  • технические средства контроля, предотвращающие вынос персоналом с места работы специально маркированных предметов, дискет, любых внешних носителей информации и т.п.;
  • резервирование технических средств, дублирование носителей информации.

Один из важных элементов системы защиты информации – это обеспечение бесперебойного питания всех электронных устройств системы. Многие ошибочно полагают, что только полное прекращение подачи электроэнергии на носители может негативно повлиять на рабочее состояние компьютера и другого электронного оборудования. Наибольший же вред оборудованию наносят невидимые невооруженным глазом помехи и перепады напряжения в электросети. Высокочувствительное электронное оборудование, к которому относятся компьютеры, коммутаторы и маршрутизаторы, моментально реагирует на малейшее изменение напряжения в электросети.

Кроме того, необходимо помнить, что злоумышленник может организовать съём информации, обрабатываемой в информационной среде объекта (предприятия, организации), посредством силовой электрической сети 127/220/380 В. Для уменьшения уровня побочных электромагнитных излучений применяют специальные средства защиты информации :

  • экранирование помещений;
  • дополнительное заземление объектов защиты;
  • развязку цепей электропитания с помощью сетевых помехоподавляющих фильтров;
  • электромагнитную развязку между информационными цепями контролируемой зоны и внешними линиями связи.
Читать еще:  Что такое Допамин

Некоторые аспекты безопасности структурированных кабельных систем

Под структурированной кабельной системой ( СКС ) обычно подразумевают специально спроектированную систему кабельной проводки внутри здания для организации коммуникационной сети, обеспечивающей передачу речи и данных.

Кабельные системы – неотъемлемая часть всего комплекса средств, обеспечивающих деятельность любого предприятия. Поэтому и решение проблем безопасности неизбежно затрагивает процесс функционирования СКС . Важным аспектом безопасности всей СКС является, так называемый, человеческий фактор .

Зачастую именно неквалифицированные или ошибочные действия персонала становятся причиной возникновения неполадок в кабельной системе, что может привести к сбою в сети и потере ее работоспособности. Как правило, подобное происходит в следующих случаях:

  • Неправильное ведение технической документации в процессе эксплуатации СКС или полное её отсутствие.

За время службы СКС ее конфигурация претерпевает множество изменений. Если каждое такое действие не документировать, впоследствии информация о соединениях будет утеряна и устранение неполадок в случае их возникновения займет много времени и приведет к неоправданным затратам.

Ошибки, допускаемые техническим персоналом при проведении коммутаций, могут вызвать критический сбой в работе сети или нарушить режим безопасности доступа к конфиденциальной информации. При применении двухрядных панелей в кроссовых (серверных) комнатах коммутация осуществляется с помощью коммутационных шнуров, подключаемых к портам на лицевой поверхности панелей. Если не нанести специальную маркировку на кроссовые панели, существует опасность ошибки при коммутации, и поиск неисправностей в данном случае отнимет много времени.

При формировании системы безопасности необходимо помнить, что кроссовая комната с точки зрения доступа к информации – одно из самых незащищенных мест СКС . В случае использования системы коммутационных шнуров для коммутации линий связи на коммутационных панелях злоумышленник может мгновенно изменить порядок соединений либо подключить в разрыв устройство съема/записи информации, т. е. легко разорвать соединение любого пользователя с сетью передачи данных и речи или перехватить и записать весь информационный обмен, оставаясь при этом незамеченным.

Безопасность функционирования информационных систем

Курс повышения квалификации за 340 рублей!

Эмоциональное выгорание педагогов. Профилактика и способы преодоления

Международные дистанционные олимпиады «Эрудит III»

Доступно для всех учеников
1-11 классов и дошкольников

Рекордно низкий оргвзнос

по разным предметам школьной программы (отдельные задания для дошкольников)

Идёт приём заявок

Описание презентации по отдельным слайдам:

«Безопасность функционирования информационных систем»

Безопасность функционирования ИС (БФИС) – быстро развивающаяся область науки и техники, охватывающая методы и средства обеспечения безопасности информации при её сборе, обработке, хранении и передаче в автоматизированных электронно-вычислительных системах и сетях. Методы и средства обеспечения безопасности делятся на: правовые, организационные, технические, программно-аппаратные, криптографические.

Специализация: разработка, внедрение и обслуживание средств защиты информации. Разработка: политики информационной безопасности, защищённых ИС, систем управления безопасным функционированием ИС. Внедрение комплексных систем защиты информации: организационных методов защиты информации, криптографических систем информационной безопасности, программно-аппаратных средств защиты информации, технических и инженерных средств обеспечения информационной безопасности. Эксплуатация: администрирование систем/подсистем защиты информации, мониторинг состояния защищённости ИС, управление информационной безопасностью, обеспечение восстановления работоспособности ИС и систем защиты информации.

Вид деятельности «БФИС» — организация и проведение работ по обеспечению защиты ИС в организациях различной отраслевой направленности: Участие в разработке и эксплуатации компонентов систем/подсистем безопасности ИС. Устранение отказов и восстановление работоспособности ИС. Выполнение работы по администрированию подсистем безопасности ИС. Установка и адаптация компонентов подсистем безопасности ИС. Организация мероприятий по охране труда и технике безопасности в процессе эксплуатации ИС и средств защиты информации в них. Ведение технической документации, связанной с эксплуатацией средств технической защиты и контроля информации в ИС.

Вид деятельности «БФИС» — знания:

Актуальность проблемы безопасного функционирования ИС: В век информационных технологий главной ценностью становится информация. Достоверность и доступность являются важными её критериями. Поэтому так важно заботиться о её конфиденциальности и защите. На сегодняшний день ИС играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование ИС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их безопасным функционированием и, следовательно, защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах, имеет место тенденция увеличения числа информационных атак.

Читать еще:  Как удалить gmail

Уязвимости — ахиллесова пята ИС. Практически любая ИС может выступать в качестве объекта информационной атаки – совокупности действий злоумышленника, направленных на нарушение свойств информации — конфиденциальности, целостности или доступности. Примерами уязвимостей могут являться: некорректная конфигурация сетевых служб ИС, наличие ПО без установленных модулей обновления, использование нестойких к угадыванию паролей, отсутствие необходимых средств защиты информации и др.

Уязвимости являются основной причиной возникновения информационных атак. Наличие слабых мест в ИС может быть обусловлено самыми различными факторами, начиная с простой халатности сотрудников, и заканчивая преднамеренными действиями злоумышленников. Последствия, к которым могут привести информационные атаки, могут быть совершенно разного масштаба. Так, например, одно и тоже последствие атаки может сводиться к искажению системного файла на сервере для системного администратора, в то время как для руководителя компании — приостановкой одного из важнейших бизнес-процессов предприятия.

В настоящее время успешная работа предприятий, использующих те или иные ИС, зависит от того, насколько безопасно они функционируют, хорошо ли они защищены от возможных угроз безопасности. Это позволяет утверждать, что проблема безопасного функционирования ИС является сегодня одной из наиболее актуальных.

Добавляйте авторские материалы и получите призы от Инфоурок

Еженедельный призовой фонд 100 000 Р

  • Новикова Надежда Владимировна
  • Написать
  • 1900
  • 06.05.2017

Номер материала: ДБ-444343

Международные дистанционные олимпиады «Эрудит III»

Доступно для всех учеников
1-11 классов и дошкольников

Рекордно низкий оргвзнос

по разным предметам школьной программы (отдельные задания для дошкольников)

Идёт приём заявок

  • 06.05.2017
  • 1017
  • 06.05.2017
  • 265
  • 06.05.2017
  • 247
  • 06.05.2017
  • 360
  • 06.05.2017
  • 448

Не нашли то что искали?

Вам будут интересны эти курсы:

Все материалы, размещенные на сайте, созданы авторами сайта либо размещены пользователями сайта и представлены на сайте исключительно для ознакомления. Авторские права на материалы принадлежат их законным авторам. Частичное или полное копирование материалов сайта без письменного разрешения администрации сайта запрещено! Мнение редакции может не совпадать с точкой зрения авторов.

Ответственность за разрешение любых спорных моментов, касающихся самих материалов и их содержания, берут на себя пользователи, разместившие материал на сайте. Однако редакция сайта готова оказать всяческую поддержку в решении любых вопросов связанных с работой и содержанием сайта. Если Вы заметили, что на данном сайте незаконно используются материалы, сообщите об этом администрации сайта через форму обратной связи.

Безопасность информационных систем

Безопасность информационной системы — свойство, заключающееся в способности системы обеспечить конфиденциальность и целостность информации, то есть защиту информации от несанкционированного доступа, обращенного на ее раскрытие, изменение или разрушение.

Информационную безопасность часто указывают среди основных информационных проблем XXI века. Действительно, вопросы хищения информации, ее сознательного искажения и уничтожения часто приводят к трагическим для пострадавшей стороны последствиям, ведущим к разорению и банкротству фирм, к человеческим жертвам, наконец. Достаточно в качестве примера привести мировую трагедию, приведшую к жертвам нескольких тысяч людей — атаку террористов на Всемирный торговый центр в Нью-Йорке и Министерство обороны США в Вашингтоне. Подобный террористический акт был бы невозможен, если бы террористы не вывели предварительно из строя компьютерную систему управления безопасностью страны, то есть не разрушили бы систему информационного обеспечения безопасности. А тысячи коммерческих компьютерных преступлений, приводящих к потерям сотен миллионов долларов, а моральные потери, связанные с хищением конфиденциальной информации. Перечень бед от нарушения безопасности информации можно было бы продолжать бесконечно (если раньше для успешного совершения революции или переворота важно было захватить почту и телеграф, то теперь необходимо парализовать системы компьютерных телекоммуникаций).

Достаточно сказать, что:

  • ? суммарный ущерб от нарушения безопасности информации в период с 1997 по 2000 год только в США составил 626 млн долларов;
  • ? мировой годовой ущерб от несанкционированного доступа к информации, составляющий сейчас около 0,5 млрд долларов, ежегодно увеличивается в 1,5 раза;
  • ? ущерб, нанесенный распространявшимся по электронной почте самым «эффективным» вирусом «I love you» в 1999 году, превысил 10 млрд долларов.
Читать еще:  Как быстро переводить с английского на русский

Вопросам информационной безопасности сейчас уделяется огромное внимание, существуют тысячи публикаций по этой тематике, посвященные различным аспектам и прикладным вопросам защиты информации, на международном и государственном уровнях принято множество законов по обеспечению безопасности информации.

В законе Российской Федерации «Об информации, информатизации и защите информации», например, подчеркивается, что «. информационные ресурсы являются объектами собственности граждан, организаций, общественных объединений, государства», и защищать информационные ресурсы, естественно, следует, как защищают личную, коммерческую и государственную собственность.

Например, информационным ресурсам в сетях общего и корпоративного пользования могут грозить:

  • ? приведение сети в неработоспособное состояние в результате злонамеренных или неосторожных действий, например, путем перегрузки сети бесполезной информацией;
  • ? несанкционированный доступ к конфиденциальным данным как извне, так и изнутри сети, их корыстное использование и разглашение;
  • ? целенаправленное искажение, фальсификация или подмена данных при несанкционированном доступе;
  • ? подмена и искажение информации, предоставленной для свободного доступа (например web-страниц);
  • ? приводящее к невозможности использования информационных ресурсов вирусное их заражение по каналам сети Интернет, электронной почты или посредством инфицированных внешних носителей (сменных дисков, дискет, CD и DVD-дисков) и т. д.

Все угрозы информационным системам можно объединить в обобщающие их три группы.

  • 1. Угроза раскрытия — возможность того, что информация станет известной тому, кому не следовало бы ее знать.
  • 2. Угроза целостности — умышленное несанкционированное изменение (модификация или удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.
  • 3. Угроза отказа в обслуживании — опасность появления блокировки доступа к некоторому ресурсу вычислительной системы.

Средства обеспечения информационной безопасности в зависимости от способа из реализации можно разделить на следующие классы методов:

  • ? организационные методы подразумевают в виду рациональное конфигурирование, организацию и администрирование системы. В первую очередь это касается сетевых информационных систем, операционных систем, полномочий сетевого администратора, набора обязательных инструкций, определяющих порядок доступа и работы в сети;
  • ? технологические методы, включающие в себя технологии выполнения сетевого администрирования, мониторинга и аудита безопасности информационных ресурсов, ведения электронных журналов регистрации пользователей, фильтрации и антивирусной обработки поступающей информации;
  • ? аппаратные методы, реализующие физическую защиту системы от несанкционированного доступа, аппаратные функции идентификации периферийных терминалов системы и пользователей, режимы подключения сетевых компонентов и т. д.;
  • ? программные методы — это самые распространенные методы защиты информации (например, программы идентификации пользователей, парольной защиты и проверки полномочий, брандмауэры, криптопротоколы и т. д.). Без использования программной составляющей практически невыполнимы никакие, в том числе и первые три группы методов (то есть в чистом виде организационные, технологические и аппаратные методы защиты, как правило, реализованы быть не могут — все они содержат программный компонент). При этом следует иметь в виду, вопреки распространенному иному мнению, что стоимость реализации многих программных системных решений по защи-

те информации существенно превосходит по затратам аппаратные, технологические и тем более организационные решения (конечно, если использовать лицензионные, а не «пиратские» программы).

Наибольшее внимание со стороны разработчиков и потребителей в настоящее время вызывают следующие направления защиты информации и соответствующие им программно-технические средства защиты:

  • ? от несанкционированного доступа информационных ресурсов автономно работающих и сетевых компьютеров. Наиболее остро проблема стоит для серверов и пользователей Интернета и интранет-сетей. Эта функция реализуется многочисленными программными, программно-аппаратными и аппаратными средствами;
  • ? секретной, конфиденциальной и личной информации от чтения посторонними лицами и целенаправленного ее искажения. Эта функция обеспечивается как средствами защиты от несанкционированного доступа, так и с помощью криптографических средств, традиционно выделяемых в отдельный класс;
  • ? информационных систем от многочисленных компьютерных вирусов, способных не только разрушить информацию, но иногда и повредить технические компоненты системы (такие, как Flash BIOS).

Активно развиваются также средства защиты от утечки информации по цепям питания, каналам электромагнитного излучения компьютера или монитора (применяется экранирование помещений, использование генераторов шумовых излучений, специальный подбор мониторов и комплектующих компьютера, обладающих наименьшим излучением), средства защиты от электронных «жучков», устанавливаемых непосредственно в комплектующие компьютера, и т. д.

Источники:

http://www.intuit.ru/studies/courses/16655/1300/lecture/25504?page=4
http://infourok.ru/bezopasnost-funkcionirovaniya-informacionnih-sistem-1866370.html
http://studwood.ru/1932081/informatika/bezopasnost_informatsionnyh_sistem

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector
×
×