Автор работы: Пользователь скрыл имя, 19 Марта 2012 в 22:04, реферат
Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем
ВВЕДЕНИЕ 3
ОСНОВНЫЕ ПОНЯТИЯ 3
НЕДОСТАТКИ СУЩЕСТВУЮЩИХ СТАНДАРТОВ И РЕКОМЕНДАЦИЙ 4
НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ УГРОЗЫ 5
УПРАВЛЕНЧЕСКИЕ МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 7
ПОЛИТИКА БЕЗОПАСНОСТИ 7
ПОЛИТИКА БЕЗОПАСНОСТИ ГИПОТЕТИЧЕСКОЙ ОРГАНИЗАЦИИ 10
Область применения. 10
Позиция организации. 10
Распределение ролей и обязанностей. 10
Законопослушность. 11
УПРАВЛЕНЧЕСКИЕ МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Главная цель мер, предпринимаемых на управленческом уровне, - формирование программы работ в области информационной безопасности и обеспечение ее выполнения. В задачу управления входит выделение необходимых ресурсов и контроль состояния дел. Основой программы является многоуровневая политика безопасности, отражающая подход организации к защите своих информационных активов.
Использование информационных систем связано с определенной совокупностью рисков. Когда риск неприемлемо велик, необходимо предпринять защитные меры. Периодическая переоценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
ПОЛИТИКА БЕЗОПАСНОСТИ
В реальной жизни термин "политика безопасности" трактуется гораздо шире, чем в "Оранжевой книге". Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
С практической точки зрения политику безопасности целесообразно разделить на три уровня. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:
- формирование или
пересмотр комплексной
- формулировка целей,
которые преследует
- обеспечение базы
для соблюдения законов и
- формулировка управленческих
решений по тем вопросам
Для политики уровня руководства
организации цели в области информационной
безопасности формулируются в терминах
целостности, доступности и
На верхний уровень
выносится управление защитными
ресурсами и координация
Политика верхнего уровня
должна четко очерчивать сферу своего
влияния. Возможно, это будут все
компьютерные системы организации
или даже больше, если политика регламентирует
некоторые аспекты
В политике должны быть
определены обязанности должностных
лиц по выработке программы
Политика верхнего уровня
имеет дело с тремя аспектами
законопослушности и
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к передовым, но еще недостаточно проверенным технологиям: доступ к Internet (как сочетать свободу получения информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.
Политика обеспечения информационной безопасности на среднем уровне должна освещать следующие темы:
- Область применения.
Следует специфицировать, где,
когда, как, по отношению к
кому и чему применяется
- Позиция организации.
Продолжая пример с
- Роли и обязанности.
В "политический" документ необходимо
включить информацию о
- Законопослушность.
Политика должна содержать
- Точки контакта. Должно
быть известно, куда следует обращаться
за разъяснениями, помощью и
дополнительной информацией.
Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ при следовании политике безопасности нижнего уровня:
- кто имеет право доступа к объектам, поддерживаемым сервисом?
- при каких условиях можно читать и модифицировать данные?
- как организован удаленный доступ к сервису?
При формулировке целей
политика нижнего уровня может исходить
из соображений целостности, доступности
и конфиденциальности, но она не
должна на них останавливаться. Ее цели
должны быть конкретнее. Например, если
речь идет о системе расчета заработной
платы, можно поставить цель, чтобы
только работникам отдела кадров и
бухгалтерии позволялось
Из целей выводятся
правила безопасности, описывающие,
кто, что и при каких условиях
может делать. Чем детальнее правила,
чем более формально они
ПОЛИТИКА БЕЗОПАСНОСТИ ГИПОТЕТИЧЕСКОЙ ОРГАНИЗАЦИИ
Чтобы сделать изложение более конкретным, рассмотрим политику обеспечения информационной безопасности гипотетической локальной сети, которой владеет организация.
Область применения.
В сферу действия политики обеспечения информационной безопасности попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации.
Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:
- обеспечение уровня безопасности, соответствующего требованиям нормативных документов;
- исследование экономической
целесообразности в выборе
- обеспечение безопасности
в каждой функциональной
- обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
- обеспечение анализа регистрационной информации;
- предоставление пользователям
достаточной информации для
- выработка планов
восстановления после аварий
и иных критических ситуаций
для всех функциональных
- обеспечение соответствия
с имеющимися законами и
Распределение ролей и обязанностей.
Перечисленные ниже группы людей отвечают за реализацию сформулированных ранее целей.
- руководитель организации
отвечает за выработку
- руководители подразделений
отвечают за доведение
- администраторы сети
обеспечивают непрерывное
- пользователи обязаны
работать с локальной сетью
в соответствии с политикой
безопасности, подчиняться распоряжениям
лиц, отвечающих за отдельные
аспекты безопасности, ставить в
известность руководство обо
всех подозрительных ситуациях.
Законопослушность.
Нарушение политики обеспечения информационной безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Поскольку наиболее уязвимым звеном любой информационной системы является человек, особое значение приобретает воспитание законопослушности сотрудников по отношению к законам и правилам информационной безопасности. Случаи нарушения этих законов и правил со стороны персонала должны рассматриваться руководством для принятия мер вплоть до увольнения.
ЗАКЛЮЧЕНИЕ
Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.
Для решения проблемы
обеспечения информационной безопасности
необходимо применение законодательных,
организационных и программно-
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
Гайкович В., Першин А., Безопасность электронных банковских систем. - Москва, "Единая Европа", 1994.
Галатенко В., Информационная безопасность, "Открытые системы", N 4,5,6, 1995.
Федеральный Закон "Об информации, информатизации и защите информации". - "Российская газета", 22 февраля, 1995.
Указ Президента Российской Федерации от 3 апреля 1995 г. N 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации".
1
12