Если вы хотите кого-то изменить, сначала полюбите его. © Мартин Лютер Кинг-Младший 1183 - | 773 - или читать все...
Обратная связь Пожаловаться на материал

Дайте определение политики безопасности


⇐ ПредыдущаяСтр 12 из 23Следующая ⇒

Политика безопасности это стратегия организации в области информационной безопасности

Политика безопасности набор норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности.

Политика безопасности реализуется посредством административно-организационных мер, инженерно-технических и программно-аппаратных средств и определяет архитектуру системы защиты информации.

Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых.программных и технических средств.

Несанкционированный доступ (НСД). Перечислите основные и вспомогательные способы несанкционированного доступа. Перечислите основные каналы несанкционированного доступа.

Причины несанкционированного доступа к информации

§ ошибки конфигурации (прав доступа, файрволов, ограничений на массовость запросов к базам данных)

§ слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников)

§ ошибки в программном обеспечении

§ злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации)

§ Прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС

§ Использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации

.

Дискреционный (избирательный) метод контроля доступа

управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Также называется дискреционным управлением доступом, контролируемым управлением доступомили разграничительным управлением доступом.

Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект "Пользователь «№ 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются.

Для каждой пары (субъект — объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту)[1].

Возможны несколько подходов к построению дискреционного управления доступом:

§ Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту.

§ Система имеет одного выделенного субъекта — суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.

§ Субъект с определенным правом доступа может передать это право любому другому субъекту

Мандатный (обязательный) метод контроля доступа

разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности. Также иногда переводится как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования.

В приведенном примере субъект «Пользователь № 2», имеющий допуск уровня «не секретно», не может получить доступ к объекту, имеющего метку «для служебного пользования». В то же время, субъект "Пользователь «№ 1» с допуском уровня «секретно», право доступа к объекту с меткой «для служебного пользования» имеет.

Ролевой метод контроля доступа.

Перечислите шесть основных групп программно-аппаратных средства обеспечения информационной безопасности

· средства, обеспечивающие разграничение доступа к информации в автоматизированных системах;

· средства, обеспечивающие защиту информации при передаче ее по каналам связи;

· средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем;

· средства, обеспечивающие защиту от воздействия программ-вирусов;

· средства, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.

С чего начинается информационная безопасность компьютерных сетей предприятия? Теория говорит об ана­лизе рисков, выработке политики и организации системы безопасности. И это правильно. Но прежде чем обратиться к теории, надо навести элементарный порядок и наладить дисциплину в информационных служ­бах предприятия.

Вы должны уметь четко ответить на вопросы:

Сколько компьютеров (коммуникационного, вспомогательного оборудования) установлено на вашем предпри­ятии?

Сколько их сейчас, в данный момент, а не сколько их было вчера или месяц назад; сколько их на рабочих местах, сколько в ремонте, сколько в резерве.

Вы сумеете узнать каждый компьютер "в лицо"? Обнаружите ли вы "маскарад" оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены, так что кажущееся рабочей ло­шадкой оборудование на самом деле является троянским конем?

Какие задачи и с какой целью решаются на каждом компьютере? Уверены ли вы в необходимости каждой единицы контролируемого вами оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты и ждущего, чтобы на него обратил внимание какой-нибудь хакер из числа молодых и дерзких сотрудников? Ведь если от оборудования нет пользы, с точки зрения информационной безопаснос­ти от него можно ожидать только вреда. А вот еще несколько вопросов по оборудованию. Каков порядок ремонта и технической профилактики компьютеров?

Как проверяется оборудование, возвращаемое из ремонта, перед установкой на штатное рабочее место? Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу ново­го оборудования?

Список вопросов можно продолжить... Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.

Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, единодушно отмечают следующую особенность - реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы организации сменяется на резкое неприятие. Как прави­ло, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информа­ционной безопасности:

• появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации;

• необходимость дополнительных материальных затрат как на проведение таких работ, так и на расшире­ние штата специалистов, занимающихся проблемой информационной безопасности.

Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:

• принятие только организационных мер обеспечения безопасности информации в корпоративной сети (КС);

• использование только дополнительных технических средств защиты информации (ТСЗИ).

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призван­ные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей техничес­кой поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выпол­няются.

Во втором случае, приобретаются и устанавливаются дополнительные ТСЗИ. Применение ТСЗИ без соответ­ствующей организационной поддержки также неэффективно в связи с тем, что без установленных правил обработки информации в КС применение любых ТСЗИ только усиливает существующий беспорядок. Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в сетях ЭВМ. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования ме­ханизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизиро­ванной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

К организационным мерам относятся:

• разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

• мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (по необходимости);

• периодически проводимые (через определенное время) мероприятия;

• постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия

К разовым мероприятиям относят:

• общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты КС;

• мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных цен­тров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т. п. );

• мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программ­ных средств, документирование и т. п. );

• проведение спецпроверок всех применяемых в КС средств вычислительной техники и проведения ме­роприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наво­док;

• разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной бе­зопасности;

• внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользова­телей системы и т. п. ) по вопросам обеспечения безопасности программно-информационных ресурсов КС и действиям в случае возникновения кризисных ситуаций;

• оформление юридических документов (в форме договоров, приказов и распоряжений руководства орга­низации) по вопросам регламентации отношений с пользователями (клиентами), работающими в авто­матизированной системе, между участниками информационного обмена и третьей стороной (арбитра­жем, третейским судом) о правилах разрешения споров, связанных с применением электронной подпи­си;

• определение порядка назначения, изменения, утверждения и предоставления конкретным должност­ным лицам необходимых полномочий по доступу к ресурсам системы;

• мероприятия по созданию системы защиты КС и созданию инфраструктуры;

• мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используе­мых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз дан­ных содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уров­ням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адек­ватных требований по основным направлениям защиты);

• организацию надежного пропускного режима;

• определение порядка учета, выдачи, использования и хранения съемных магнитных носителей инфор­мации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.;

• организацию учета, хранения, использования и уничтожения документов и носителей с закрытой ин­формацией;

• определение порядка проектирования, разработки, отладки, модификации, приобретения, специссле­дования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на ра­бочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

• создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подраз­делений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасно­сти программно-информационных ресурсов автоматизированной системы обработки информации;

• определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в кри­тических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и дей­ствиях персонала, стихийных бедствий.

Дата добавления: 2019-07-15; просмотров: 762; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая78910111213141516Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.05)