Категории информационных ресурсов, подлежащих защите



В подсистемах АС ОРГАНИЗАЦИИ циркулирует информация различных уровней конфиденциальности (секретности) содержащая сведения ограниченного распространения (служебная коммерческая, банковская информация, персональные данные) и открытые сведения.

В документообороте АС ОРГАНИЗАЦИИ присутствуют:

· платежные поручения и другие расчетно-денежные документы;

· отчеты (финансовые, аналитические и др.);

· сведения о лицевых счетах;

· обобщенная информация и другие конфиденциальные (ограниченного распространения) документы.

· и т.д.

 

Защите подлежит вся информация, циркулирующая в АС ОРГАНИЗАЦИИ и содержащая:

· сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации (ОРГАНИЗАЦИЕЙ) в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации» правами;

· сведения, составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом «О банках и банковской деятельности»;

· сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом «Об информации информатизации и защите информации».

Категории пользователей АС ОРГАНИЗАЦИИ, режимы использования и уровни доступа к информации

В ОРГАНИЗАЦИИ имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам АС ОРГАНИЗАЦИИ:

· пользователи баз данных (конечные пользователи, сотрудники подразделений ОРГАНИЗАЦИИ);

· ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);

· администраторы серверов (файловых серверов, серверов приложений, серверов баз данных) и ЛВС;

· системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей;

· разработчики прикладного программного обеспечения;

· специалисты по обслуживанию технических средств вычислительной техники;

· администраторы информационной безопасности (специальных средств защиты) и др.

Уязвимость основных компонентов АС ОРГАНИЗАЦИИ

Наиболее доступными и уязвимыми компонентами АС ОРГАНИЗАЦИИ являются сетевые рабочие станции (АРМ сотрудников подразделений ОРГАНИЗАЦИИ). Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (НСД) в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С рабочих станций осуществляется управление процессами обработки информации (в том числе на серверах), запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На мониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Здесь злоумышленники, прежде всего, могут искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети) так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты.

Мосты, шлюзы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.


Дата добавления: 2018-02-15; просмотров: 340;