Антиплагиат (1209210), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

20Организационные меры, регламентирующие функционированиеинформационной системы и системы защиты информации, содержатзадокументированные правила и принципы, строго определяющие процессработы информационной системы и обработки в ней информации различныхвидов. В состав организационных мероприятий зачастую включены действия поотбору персонала, обладающего достаточной квалификацией и знаниями дляразработки, подготовки, администрирования и эксплуатации информационнойсистемы и системы защиты информации.Перечень мероприятий, направленных на обеспечение безопасности системобщего пользования изложен в приказе ФСБ России No416 и ФСТЭК РоссииNo484 от 31 августа 2010 года «Об утверждении требований о защитеинформации, содержащихся в информационных системах общего пользования» 20определяет следующие действия при формировании системы безопасностиинформации:– обозначить границы, в которых будет реализовываться управлениеинформационной безопасностью объекта (контролируемая зона);– определить актуальные угрозы безопасности информации, на их основеразработать модель угроз;– определить класс защищаемой информационной системы и, всоответствии с моделью угроз, разработать систему защиты информации;– в соответствии с разработанным проектом системы защиты информацииопределить состав организационных и технических мер, применениекоторых необходимо для реализации разработанной политики безопасности;– 24 произвести тестирование установленных средств защиты 24 информации, с9формированием заключений о готовности их к вводу в эксплуатацию;– в соответствии с технической и эксплуатационной документациейпроизводится ввод в эксплуатацию и эксплуатация используемых средствзащиты информации;– обучение правилам работы с применяемыми средствами защитыинформации сотрудников оператора, чьи должностные обязанностивключают в себя обработку защищаемой информации;– ведение аудита использованных средств защиты информации, а так жедокументации к ним;– контроль соблюдения разработанной политики безопасности,документирование событий нарушения безопасности и методов ихустранения.При планировании системы защиты информации необходим системныйподход, с учетом всех специфик работы организации.

Существует рядтребований, которым должна отвечать система защиты информации, для своеймаксимальной эффективности. Процесс защиты информации винформационной системе должен быть:– централизованным. Процесс управления системой защиты информации винформационной системе всегда имеет централизованный характер,несмотря на то, что структура системы защиты соответствует структуреобъекта защиты;– плановым. Для реализации взаимодействия всех подразделенийорганизации для служб и отделов, участвующих в обработке защищаемойинформации, разрабатываются планы защиты информации, в соответствии скомпетенциями структурного подразделения и с учетом общей целиорганизации;– конкретным и целенаправленным.

Обеспечивается защита толькоконкретных информационных ресурсов, защита которых определена какобязательная или утрата которых может нанести ущерб организации;– активным. В систему информационной безопасности следует включить10системы прогнозирования, экспертные системы, которые позволяют нетолько обнаружить и устранить утечки информации, но и предвидеть ипредотвратить их;– универсальным и надежным. Вне зависимости от вида информации,способа ее выражения, языка, на котором информация представлена всистеме, а так же носителя, на котором закреплена информация,применяемые методы и средства защиты должны обеспечиватьблокирование возможных каналов её утечки;– нестандартным.

Разработанная система защиты должна включатьразнообразный набор мер и средств защиты, не типичный для другихинформационных систем, разработанный с учетом специфики организации;– открытым. Разработка системы защиты информации предполагаетвозможность масштабирования информационной системы, изменения идополнения мер обеспечения информационной безопасности;– экономически эффективным. При планировании системы информационнойбезопасности необходимо учитывать, что экономические затраты насоздание и функционирование системы защиты не должны превышатьразмеры возможного ущерба 50 от утечки защищаемой информации.Для построения системы защиты информации в организацииразрабатывается и реализуется политика информационной безопасности.Комплекс разработанных и задокументированных правил, определяющихположений, методов, зарекомендовавших себя на практике, которыморганизация следует в своей работе, называется политикой информационнойбезопасности (ИБ).

Политика ИБ регламентирует, каким образом в пределахинформационной системы организации управлять информацией, размещать изащищать её, в том числе данные, подлежащие защите.При формировании Политики защиты информации следует независиморазрабатывать такие направления по защите как:– методы обеспечения безопасности объектов информационной системы;– методы защиты программ, процедур и процессов обрабатывающих11информацию;– методы защиты информации при ее передаче по проводным,акустическим, инфракрасным, радиоканалам и другим каналам связи;– методы и способы подавления ПЭМИН;– методы и способы администрирования разработанной системы защиты.Значительная часть направлений по защите реализуется с помощьютехнических мер защиты информации.

Технические меры состоят в применениипрограммных и аппаратных средств, обеспечивающих контроль доступа,наблюдение за утечками информации за пределы информационной системы, атак же в использовании программ защиты от вирусов, от электромагнитныхизлучений, программ межсетевого экранирования и им подобных1.2 Технические и программные методы защиты информацииПрименение программных и технических средств и методов защитыинформации лежит в основе системы защиты информации. Реализация функцийпрограммно-технических средств защиты информации происходит всоответствии с разработанной политикой информационной безопасности,задокументированной в организационно-распорядительных документах.Применение программных методов обеспечения защиты информацииисключает возможность несанкционированного использования информации, атак же реализует алгоритмы для разграничения доступа. Программные средствазащиты информации позволяют выполнять логические и интеллектуальныефункции защиты.

Данные средства зачастую включены в состав ПОавтоматизированной системы, однако могут применяться и в составе средствконтролирующих защищенность информационной системы. Универсальность,относительная простота использования, а так же возможность внесенияизменений и доработки делает программные средства защиты наиболеераспространенным способом защиты информации. Распространенность делаетих и самым уязвимым элементом защиты автоматизированной системы. На12сегодняшний день разнообразные средства защиты уже включены в некоторыеОС, СУБД и прикладные программы.Смысл применения технических средств защиты заключается в реализацииспециализированных технических решений, способных обеспечить контроль изащиту информации.

Аппаратными средствами защиты называютразнообразные электромеханические и электронные устройства, каким-либообразом интегрированные непосредственно в блоки автоматизированнойсистемы, либо сконструированные как автономные устройства,взаимодействующие с информационной системой. Основной задачейприменения данных средств является защита технических устройствинформационной системы, применяемых для обработки защищаемойинформации, и элементов их структуры (процессоров, дисковых накопителей,периферийных устройств). Защита осуществляется применением методовуправления доступом (регистрация, аутентификация, присвоение прав доступасубъектам системы и их мониторинг и др.).Технические средства защиты информации применяются и используются сучетом специфики защищаемой информационной системы. Набор техническихсредств защиты небольших сетей и крупных сетей отличаются.

Списокнаиболее распространенных программно-технических средств защиты включаетв себя:– средства анализа протоколов;– средства анализа системы защиты;– межсетевые экраны;– криптографические средства;– средства аутентификации;– системы предотвращения хищения оборудования и исключениявозможности взлома корпуса оборудования;– средства защиты от несанкционированного доступа (НСД).Использование в разной мере данных средств обеспечивает безопасностьинформации, подлежащей защите в информационной системе. Рассмотрим13основные характеристики некоторых из них.Средства анализа протоколов применяются в информационной системе,когда возникает потребность в сборе информации, ее статистическом анализе идекодировании, с использованием сетевых протоколов различных уровней.

Характеристики

Список файлов ВКР