Автор работы: Пользователь скрыл имя, 12 Марта 2012 в 07:16, реферат
Целью работы является ознакомление с теоретическими основами политики информационной безопасности.
В ходе работы были рассмотрены понятие политики безопасности и основные модели типов политики безопасности.
В результате работы был написан реферат о политике информационной безопасности.
Введение
1 Понятие информационной безопасности
1.1 Административный уровень информационной безопасности
1.2 Политика безопасности
2 Модели политики безопасности
2.1 Модели основных типов политики безопасности
2.1.1 Дискреционная политика безопасности
2.1.2 Мандатная(полномочная) политика безопасности
2.1.3 Ролевое управление доступом
2.2 Программа безопасности
Заключение
Список использованных источников
Федеральное агентство по образованию ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ "ОМСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ" (ОмГТУ) Кафедра «Автоматизированные системы обработки информации и управления» | |
РЕФЕРАТ по дисциплине «Методы и средства защиты информации» ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
| |
| Принял: преподаватель С.Б. Огородников
подпись, дата Выполнил: студент гр. ИВТ – 446 В.В. Гордеев
подпись, дата |
Омск 2009 | |
Реферат
Реферат 15 с., 1 ч., 0 рис., 0 табл., 2 источ., 0 прил.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, МОДЕЛЬ ПОЛИТИКИ БЕЗОПАСНОСТИ, РИСК, ДОКУМЕНТ, НИЖНИЙ УРОВЕНЬ, ВЕРХНИЙ УРОВЕНЬ
Предметом исследования для реферата являлась рассмотрение политики информационной безопасности.
Целью работы является ознакомление с теоретическими основами политики информационной безопасности.
В ходе работы были рассмотрены понятие политики безопасности и основные модели типов политики безопасности.
В результате работы был написан реферат о политике информационной безопасности.
Введение
1 Понятие информационной безопасности
1.1 Административный уровень информационной безопасности
1.2 Политика безопасности
2 Модели политики безопасности
2.1 Модели основных типов политики безопасности
2.1.1 Дискреционная политика безопасности
2.1.2 Мандатная(полномочная) политика безопасности
2.1.3 Ролевое управление доступом
2.2 Программа безопасности
Заключение
Список использованных источников
На практике под информационной безопасностью (ИБ) систем понимается поддержание физической сохранности, целостности, доступности, конфиденциальности, достоверности и своевременности информации, а также гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных. Конфиденциальность данных предполагает их доступность только для тех лиц, которые имеют на это соответствующие полномочия. Целостность информации предполагает ее неизменность в процессе передачи от отправителя к получателю. Под доступностью можно понимать гарантию того, что злоумышленник не сумеет помешать работе законных пользователей. В частности, в задачу обеспечения доступности входит исключение возможности атак, вызывающих отказ в обслуживании.
Проблема обеспечения информационной безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, административных, организационных и программно-технических мер.
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
Главная цель мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
1 Понятие информационной безопасности
1.1 Административный уровень информационной безопасности
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Риск - это ситуация, когда угроза использует уязвимое место для нанесения вреда вашей системе. Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. То, насколько жесткой будет политика, зависит от:
уровня угроз, которым подвергается организация и видимость организации из внешнего мира (Угроза - это любое событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения информации, или отказа в обслуживании критическими сервисами. Наличие угрозы не означает, что она нанесет вред. Чтобы стать риском, угроза должна использовать уязвимое место в средствах обеспечения безопасности системы и система должна быть видима из внешнего мира. Видимость системы - это мера как интереса злоумышленников к этой системе, так и количества информации, доступной для общего пользования на этой системе);
уязвимости организации к последствиям потенциальных инцидентов с безопасностью (рассматривают два фактора, определяющих уязвимость организации: последствия инцидента с безопасностью и учет политических или организационных последствий).
Анализ рисков обычно производится при помощи матрицы профиля риска, представленной в таблице. Периодически необходима (пере)оценка рисков для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
Для организаций, деятельность которых регулируется законами, или которые обрабатывают информацию, от которой зависит жизнь людей, могут оказаться более приемлемыми формальные методы оценки риска.
Суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:
(пере)оценка (измерение) рисков;
выбор эффективных и экономичных средств (нейтрализация рисков).
По отношению к выявленным рискам возможны следующие действия:
ликвидация риска (например, за счет устранения причины);
уменьшение риска (например, за счет использования дополнительных защитных средств);
принятие риска (и выработка плана действия в соответствующих условиях);
переадресация риска (например, путем заключения страхового соглашения).
Процесс управления рисками можно разделить на следующие этапы:
1) Выбор анализируемых объектов и уровня их детализации.
2) Выбор методологии оценки рисков.
3) Идентификация активов.
4) Анализ угроз и их последствий, выявление уязвимых мест в защите.
5) Оценка рисков.
6) Выбор защитных мер.
7) Реализация и проверка выбранных мер.
8) Оценка остаточного риска.
Этапы 6) и 7) относятся к выбору защитных средств (нейтрализации рисков), остальные – к оценке рисков.
Этапы, предшествующие анализу угроз, можно считать подготовительными, т.к. они напрямую с рисками не связаны.
Первый шаг в анализе угроз – их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла. Целесообразно выявлять не только сами угрозы, но и источники их возникновения – это поможет в выборе дополнительных средств защиты. После идентификации угрозы важно оценить вероятность ее осуществления. Обычно используют трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).
Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты.
Выбирая подходящий способ защиты, целесообразно учитывать возможность экранирования одним механизмом обеспечения безопасности сразу нескольких прикладных сервисов (например, в Массачусетском технологическом институте защитили несколько тысяч компьютеров сервером аутентификации Kerberos).
Когда намеченные меры приняты, необходимо проверить их действенность, т.е. убедиться, что остаточные риски стали приемлемыми, иначе придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.
Чтобы гарантировать защиту всех информационных ценностей, и то, что текущая вычислительная Среда организации может быть быстро восстановлена после инцидента с безопасностью необходимо вести учет информационных ценностей в системе. Список должен включать в себя всю существующую аппаратную часть, программы, электронные документы, базы данных и каналы связи.
Для каждой информационной ценности должны быть описаны:
1) тип: оборудование, программа, данные;
2) использование в системе общего назначения или критическом приложении;
3) ответственный за данную информационную ценность;
4) ее физическое или логическое местоположение;
5) учетный номер, где это возможно.
Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения ИБ. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
1.2 Политика безопасности
Термин "политика безопасности" является не совсем точным переводом английского словосочетания "security policy". Здесь имеются в виду не отдельные правила или их наборы (это процедурный уровень), а стратегию организации в области ИБ. Под политикой безопасности понимают совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.
Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы на основе объектно-ориентированного подхода, с возможностью варьировать не только уровень детализации, но и видимые грани объектов.
На практике политику безопасности рассматривают на трех уровнях детализации.
К верхнему уровню можно отнести решения, затрагивающие организацию в целом, носящие общий характер и исходящие от руководства организации. Для политики верхнего уровня цели организации в области ИБ формулируются в терминах целостности, доступности и конфиденциальности.
Примерный список подобных решений может содержать:
решение сформировать или пересмотреть комплексную программу обеспечения ИБ, назначение ответственных за продвижение программы;
формулировка целей, которые преследует организация в области ИБ, определение общих направлений в достижении этих целей;
обеспечение базы для соблюдения законов и правил;
формулировка административных решений по вопросам реализации программы безопасности, рассматриваемые на уровне организации в целом.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.
В документ, характеризующий политику безопасности организации рекомендуется включать следующие разделы:
вводный (подтверждающий озабоченность высшего руководства проблемами ИБ);
организационный (содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области ИБ);
классификационный (описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты);
штатный (характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения ИБ, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.));
раздел вопросов физической защиты;
управляющий (описывающий подход к управлению ЭВМ и компьютерными сетями);
раздел правил разграничения доступа к производственной информации;
раздел порядка разработки и сопровождения систем;
раздел мер, направленных на обеспечение непрерывной работы организации;
юридический раздел (подтверждающий соответствие политики безопасности действующему законодательству).