Вы можете сделать то, чего не могу сделать я. Я могу сделать то, чего не можете сделать вы. Вместе мы можем творить великие дела. © Мать Тереза 977 - | 764 - или читать все...
Обратная связь Пожаловаться на материал

Классификация угроз информационной безопасности


⇐ ПредыдущаяСтр 12 из 13Следующая ⇒

Угроза инф-ой безопасности – действие, событие, которое может привести к разрушению, искажению или несанкционированному использованию инф ресурса. Угрозы инф-ой безопасности бывают: случайные и неслучайные (умышленные).К случайным: ошибки обслуживающего персонала и пользователей, потеря инфы, обусловленная неправильным хранением, случайное уничтожение или изменение данных, случайное ознакомление с конфиденциальной инфой, сбой оборудования и электропитания, сбои в системах передачи данных, некорректная работа прогр-го обеспеч-я, случайное заражение сис-мы вирусами.

Для предотвращения случ-х угроз, связанных с работой персонала, необходимо применять след. меры:

1. грамотное обучение персонала работе с оборудованием и программным обеспечением;

2. исп-е эргономичного оборудования;

3. обучение персонала и пользователей правилам работы с внешними сетями электр-ой почты.

Умышленные угрозы– нанесение ущерба КИС. Бывают: активные  и пассивные. Пассивные – направлены на несанкционированное использование инф-х ресурсов, не оказывая при этом влияние на их функционирование (подсматривание, подслушивание, перехват инф-х сообщений).

Активные – имеют целью нарушение нормального процесса функц-я информ-го ресурса по средствам целенаправленного воздействия на аппаратные программные информационные средства.

Все угрозы инф. безопасности объединяют в 3 группы:

1. угроза раскрытия (конфиденциальная инф-я становится доступной лицам, для которых она не предназначена. Имеет место тогда, когда совершается несанкционированный доступ к информационному ресурсу);

2. угроза нарушения целостности (включает в себя все умышленное изменение, модификацию, удаление всего или части инф-го ресурса);

3. угроза отказа в обслуживании (возникает в том случае, когда блокируется доступ к определенному ресурсу вычислительной системы).

Злоумышленник может преследовать цели:

1. получить инф-ю для использования в корыстных целях;

2. получение необходимой инфы для победы в конкурентной борьбе;

3. для внесения в него изменений с целью навредить конкуренту или сопернику;

4. нанести ущерб конкуренту путем уничтожения материальных ценностей (носителей информации)

5. нанести ущерб репутации конкурента;

6. заявить о себе и заставить выполнить свои задачи/цели.

Методы и средства защиты информации

Методы и средства защиты информации представляют собой совокупность 3 групп мероприятий:

1. правовые

2. организационные;

3. инженерно-технические.

Правовые –совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых обязательны в системе защиты информации. Мероприятия правового характера – международные и государственные акты и законы, посвященные защите информации, а так же документы самого предприятия (коллективный договор, трудовой договор, должностные инструкции, правила внутреннего распорядка).

Организационные меры –регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка, несанкционированный доступ к конфиденциальной информации становится невозможным или затруднительным. Подразделяется:

1. приказы

2. рекомендации

3. инструкции.

Правила работы с Интернет, создание паролей и т.д.

Инженерно-технические меры в свою очередь подразделяются на:

1. инженерные меры защиты связаны с защитой зданий и помещений от несанкционированного доступа: проходные, камеры слежения, замки.

2. программные: антивирусная защита, сетевые экраны, средства архивирования и восстановления данных;

3. аппаратные: электронные устройства, ключи, чипы, предотвращающие доступ к носителям информации или компьютерам.

 

**. Понятие концепции безопасности предприятия

Безопасность информационного ресурса кис достигается разработкой и поддержанием концепции информационной безопасности предприятия, которое является неотъемлемой частью единой политики защитных мероприятий предприятия. 

Разработка концепции безопасности рекомендуется проводить в 2 этапа:

На 1 этапе должна быть четко определена целевая установка защиты, т.е. какие конкретно информационные, программные, вычислительные ресурсы необходимо защищать. На этом этапе объекты защиты дифференцируются по значимости, по степени реальности угроз, по значению р-са для деятельности предприятия.

На 2 этапе проводится анализ преступных действий, которые потенциально могут быть совершены в отношении защищаемых объектов. Важно определить степень опасности таких преступлений как экономический шпионаж, хищение носителей информации, уничтожение информационных и программных ресурсов, саботаж сотрудников, случайное уничтожение информации.

 Разработка концепции безопасности состоит из разработки мероприятий по 3 направлениям:

1. мероприятия правового характера;

2. мероприятия организационного характера;

3. инженерно-технические мероприятия;

Содержание концепции безопасности примерно следующее:

1. идентификация, проверка подлинности и контроль доступа пользователей на защищаемый объект;

2. разделение полномочий пользователей имеющих доступ к вычислительным ресурсам;

3. регистрация и учет работы пользователей;

4. регистрация попыток нарушения полномочий пользователя;

5.  криптографическая защита информации;

6. применение электронно-цифровой подписи при передаче инфы по каналам связи;

7. обеспечение мер антивирусной защиты и защиты информации при работе с Интернет;

8. контроль целостности программ, информационных ресурсов;

9. с-ма архивир-я и воспроизведения инфы;

10. регламент работы службы безопасности;

11. организационные мероприятия по обеспечению безопасности, технические средства обеспечения безопасности.

Модели жизненного цикла КИС

Сегодня проектирование информационных систем постепенно переходит от исследовательского процесса с непредсказуемыми последствиями к высокотехнологичному производству, нацеленному на гарантированный результат. Сохраняя классическую структуру жизненного цикла информационной системы, современная технология проектирования имеет две особенности:
а) новое, более технологичное наполнение отдельных этапов проектир-я;
б) новые м-ды управл-я процессом проектир-я.. Жизненный цикл включает в себя:

1. Предпроектную стадию

1.1. Осознание потребности в автоматизации;
1.2. Определение целей, задач и стратегии автоматизации;
1.3. Составление технического задания на проектирование;

2. Стадию проектирования

2.1. Проектирование архитектуры системы;
2.2. Проектирование функциональной модели;
2.3. Проектирование информационной (концептуальной) модели;
2.4. Проектирование алгоритмической модели;
2.5. Составление технического задания (спецификации) на разработку;
2.6. (Исполнение “пилотного” проекта);

3. Стадию разработки

3.1. Разработка базы данных;
3.2. Разработка (установка) технических средств;
3.3. Разработка сетевых приложений;
3.4. Разработка пользовательских приложений;
3.5. Разработка документации;

4. Стадию внедрения

4.1. Верификация (тестирование) системы;
4.2. Корректировка системы;
4.3. Обучение персонала;
4.4. Опытная эксплуатация;
4.5. Акт о внедрении;

5. Стадию эксплуатации;

6. Стадию модернизации.

Дата добавления: 2018-02-18; просмотров: 363; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая45678910111213Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.013)