Митряев636329268818306215 (814199), страница 2
Текст из файла (страница 2)
Согласно этому документу, практикавнедрения информационных технологий без обеспечения информационнойбезопасности существенно повышает вероятность проявления информационныхугроз.В связи с тем, что информация является предметом собственности(государства, коллектива 24 или субъекта), то неизбежно возникает проблемаугрозы безопасности этой информации, заключающейся в 24 её неконтролируемомраспространении, хищении, несанкционированном уничтожении, искажении,передаче, копировании, блокировании доступа к информации. 24На момент написания этой работы огромная часть информационных систем,обрабатывающих конфиденциальную информацию, имеют некорректныенастройки технических 15 средств защиты информации, 15 использующихся всистеме защиты информации.
В 15 связи с этим злоумышленнику становитсязначительно проще реализовать угрозы безопасности информации.Объектом исследования данной работы является любая информационнаясистема, обрабатывающая, хранящая или передающая конфиденциальнуюинформацию, а предметом исследования – определение параметров настроектехнических средств 15 защиты информации. 255Глава 1. Комплексная система защиты информации 25Главное направление поиска новых путей защиты информации заключаетсяне просто в создании соответствующих механизмов, а представляет собойреализацию регулярного процесса, осуществляемого на всех этапах жизненногоцикла систем обработки информации при комплексном использовании всехимеющихся средств защиты.
При этом все средства, методы и мероприятия,используемые для 20 защиты информации, 59 наиболее рациональным образомобъединяются в единый целостный механизм — причем не только отзлоумышленников, но и от некомпетентных или недостаточно подготовленныхпользователей и персонала, а также нештатных ситуаций техническогохарактера.
20На основе теоретических исследований и практических работ в области ЗИсформулирован системно-концептуальный подход к защите информации. Подсистемностью как основной частью системно-концептуального походапонимается:системность целевая, т. е. защищенность информациирассматривается как основная часть общего понятия качестваинформации;системность пространственная, предлагающая взаимоувязанноерешение всех вопросов защиты на всех компонентах предприятия;системность временная, означающая непрерывность работ по ЗИ,осуществляемых в соответствии планам;системность организационная, означающая единство организациивсех работ по ЗИ и управления ими.
20Однако компоненты защиты информации являются составной частью 206системы, с 20 одной стороны, а с другой — сами организуют систему, осуществляязащитные мероприятия. Поскольку система может быть определена каксовокупность взаимосвязанных элементов, то назначение 20 система защитыинформации 33 состоит в том, чтобы объединить все составляющие защиты вединое целое, в котором каждый компонент, выполняя свою функцию,одновременно обеспечивает выполнение функций другими компонентами исвязан с ними логически и технологически. 20 Таким образом, подобный подходпредусматривает анализ и оптимизацию всей системы, а не отдельных еечастей, что позволяет обеспечить баланс характеристик, тогда как улучшениеодних параметров нередко приводит к ухудшению других. 47Обеспечение требуемого уровня защищённости должно достигаться сиспользованием мер, методов и средств безопасности. 12 Меры обеспечениябезопасности 28 ИС подразделяются на:Правовые; 45Организационные;Физические;Технические;Контролирующие;К правовым мерам защиты относятся действующие в стране законы, 45регламентирующие правила обращения с персональными данными,закрепляющие права и обязанности участников информационных отношений, а 44также устанавливающие ответственность за нарушение этих правил.
В 19основном носят упреждающий и профилактический характер.Организационные 41 меры защиты – это меры организационного характера,регламентирующие процессы функционирования 44 ИС, деятельностьобслуживающего персонала, а также порядок взаимодействия пользователей с 44ИС таким образом, чтобы в наибольшей степени затруднить 45 реализацию угроз7безопасности или снизить ущерб от их реализации.Физические меры защиты характеризуются применением различныхэлектронно-механических устройств или сооружений, с целью созданияфизических препятствий на возможных путях проникновения 71 потенциальныхнарушителей к защищаемой информации или системе защиты.Технические меры защиты основаны на применении разного рода 30электронных устройств и программного обеспечения, входящего в состав ИС ивыполняющих функции защиты информации.
С учётом всех требований, всостав СЗИ должны быть включены:Средства идентификации и аутентификации;Средства разграничения доступа 7 пользователей;Средства контроля целостности 7 ПО;Средства регистрации событий безопасности;Криптографические средства защиты.Успешное применение средств защиты предполагает, что выполнениетребований к защите обеспечено организационными мерами и используемымифизическими средствами защиты.Контроль эффективности СЗИ проводится периодически. Целью контроляявляется выявление сбоев, ненадлежащих режимов работы, прогнозированиеновых угроз безопасности информации.
Контроль, как правило, проводитсяадминистратором безопасности, однако зачастую для этого привлекаютсякомпетентные организации, владеющие лицензией на этот вид деятельности, атакже ФСТЭК и ФСБ России.Таким образом, необходимо постоянно уточнять требования к СЗИ дляподдержания актуального уровня защищённости (рисунок 1.1).8Рисунок 1.1. Уточнение требований к СЗИОдной из главных мер по обеспечению информационной безопасностиявляется поддержание актуального уровня защищённости информационной9системы. Это комплексный показатель, который характеризует выполнениетребований к СЗИ, нейтрализующих угрозы безопасности информационныхсистем.
Данные требования соответствуют мерам защиты, описанным вметодическом документе ФСТЭКа России «Меры защиты информации вгосударственных информационных системах». 2 Методический документдетализирует организационные и технические меры защиты информации (далее– меры защиты информации), принимаемые в государственныхинформационных системах (далее – информационные системы) в соответствиис Требованиями о защите информации, не составляющей государственнуютайну, содержащейся в государственных информационных системах,утвержденными приказом ФСТЭК России от 11 февраля 2013 г.
2 No 17, а такжеопределяет содержание мер защиты информации и правила их реализации. 2Меры защиты информации выбираются в ходе проектирования системызащиты информации информационной системы в соответствии с техническимзаданием на создание информационной системы или техническим заданием 2 насоздание 12 системы защиты информации.Выбор мер защиты информации 2 определяется в 22 зависимости от классазащищенности 22 информации, обрабатываемой в ИС, определяющего требуемыйуровень 2 защищённости обрабатываемой в ней информации, и угрозбезопасности информации, включенных в модель угроз безопасностиинформационной системы, а также 2 иных характеристик информационнойсистемы, применяемых информационных технологий и 2 особенностях 9 еефункционирования.10Глава 2.
Алгоритм определения параметров настройки СЗИ1. Определение класса защищённости информации, обрабатываемой винформационной системе в соответствии с Приложением No1 ПриказаФСТЭК No17 (рисунок 2.1).Рисунок 2.1 Определение класса защищённости информации, обрабатываемой вИСПо результатам проведённого анализа исходных данных ИС«Администрация» были выявлены следующие характеристики (таблица 2.1):Таблица 2.1 Характеристики информационной системыМасштаб информационной системы 17 ОбъектовыйУровень значимости информации 17 УЗ 3 17На основании полученных данных в соответствии с моделью угрозконфиденциальной информации информационной системы « 2 Администрация» и« Требования о защите информации, не составляющей государственную тайну, в 511 5государственных информационных системах», утверждённых приказом ФСТЭК 22от 11.02.2013 г.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
