Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Классификация систем и информационных систем




Классификация – система распределения объектов (предметов, явлений, процессов, понятий) по классам в соответствии с определённым признаком. Под объектом понимается любой предмет, процесс, явление материального или нематериального свойства. Задача классификации – создать некие удобные образы, позволяющие, например, при выборе систем ограничиться определённым классом или типом.

Информационные системы могут значительно различаться по типам объектов, характером и объёмом решаемых задач, и рядом других признаков.

Общепринятой классификации ИС до сих пор не существует, поэтому их можно классифицировать по разным признакам, что вызвало существование нескольких различных классификаций ИС.

Согласно общепринятой классификации ИС подразделяются:

– по масштабам применения – настольные и офисные;

– по признаку структурированности задач – структурированные (формализуемые), неструктурированные (неформализуемые), частично структурированные. Частично структурированные делятся на: ИС репортинга и ИС разработки альтернативных решений (модельные, экспертные);

– по функциональному признаку – экономические (производственные, маркетинговые (анализа рынка, рекламные, снабженческие и т.п.), финансовые (бухгалтерские, статистические и т.п.), кадровые); правовые (используемые в деятельности органов внутренних дел, прокуратуры, суда и др.);

– по характеру обработки информации – системы обработки данных, системы управления, система поддержки принятия решений;

– по оперативности обработки данных – пакетной обработки и оперативного (операционного) уровня;

– по степени автоматизации – ручные, автоматические, автоматизированные;

– по характеру использования информации – на информационно-поисковые, информационно-справочные, информационно-решающие, управляющие, советующие и т.п.;

– по характеру использования вычислительных ресурсов – на локальные и распределённые;

– по уровню функционирования – на государственные и территориальные (региональные);

– по концепции построения – файловые, автоматизированные банки данных, банки знаний, хранилища данных;

– по режиму работы – на пакетные, диалоговые и смешанные.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ

Основные понятия и определения информационной безопасности и защиты информации

Информационная безопасность — это состояние защищенности информационной среды.

Защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, т.е. процесс, направленный на достижение этого состояния.

Информационная безопасность организации — состояние защищенности информационной среды организации, обеспечивающее ее формирование, использование и развитие.

Информационная безопасность — защита конфиденциальности, целостности и доступности информации.

a) конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.

b) целостность: неизменность информации в процессе ее передачи или хранения.

c) доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации при применении информационных технологий (IT security) — состояние защищенности информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы — состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность ее ресурсов.

Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.

Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т.д., а также обслуживающий персонал.

Рассматриваются следующие аспекты информационной безопасности:

1) конфиденциальность (confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;

2) целостность (integrity) — избежание несанкционированной модификации информации;

3) доступность (availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа;

4) неотказуемость или апеллируемость (non-repudiation) — невозможность отказа от авторства;

5) подотчетность (accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;

6) достоверность (reliability) — свойство соответствия предусмотренному поведению или результату;

7) аутентичность или подлинность (authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Разработано большое число формализованных математических моделей, описывающих процесс защиты информации.

Для формализованного описания используются следующие термины:

Ресурс (Asset). В широком смысле это все, что представляет ценность с точки зрения организации и является объектом защиты. В узком смысле ресурс — часть информационной системы. Обычно рассматриваться следующие классы ресурсов:

· оборудование (физические ресурсы);

· информационные ресурсы (базы данных, файлы, все виды документации);

· программное обеспечение (системное, прикладное, утилиты, другие вспомогательные программы);

· сервис и поддерживающая инфраструктура (обслуживание СВТ, энергоснабжение, обеспечение климатических параметров и т.п.).

Угроза (Threat) — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности.

Уязвимость (Vulnerability) — слабость в системе защиты, которая делает возможной реализацию угрозы.

Анализ рисков — процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер.

Полный анализ рисков (Full)— анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ (более высокие, чем базовый уровень защищенности). Это предполагает следующее:

· определение ценности ресурсов;

· оценку угроз и уязвимостей;

· выбор адекватных контрмер, оценку их эффективности.

Риск нарушения ИБ (Security Risk ) — возможность реализации угрозы.

Оценка рисков (Risk Assessment) — идентификация рисков, выбор параметров для их описания и получение оценок по этим параметрам.

Управление рисками (Risk Management) — процесс определения контрмер в соответствии с оценкой рисков.

Система управления ИБ (Information Security Management System) — комплекс мер, направленных на обеспечение режима ИБ на всех стадиях жизненного цикла ИС.

Класс рисков — множество угроз ИБ, выделенных по определенному признаку (например, относящихся к определенной подсистеме или типу ресурса).

Различают угрозы безопасности и уязвимости:

· угрозы безопасности — потенциальные источники нежелательных событий, которые могут нанести ущерб ресурсам, и оценка их параметров

· уязвимости — слабые места в защите, которые способствуют реализации угроз.

Существуют различные классификации угроз информационной безопасности, ниже приводится одна из возможных:

· форс-мажорные обстоятельства;

· недостатки организационных мер;

· ошибки человека;

· технические неисправности;

· преднамеренные действия.

Перечислим возможные виды угроз, такие как:

• использование чужого идентификатора сотрудниками организации (маскарад);

• использование чужого идентификатора поставщиком услуг (маскарад);

• использование чужого идентификатора посторонними (маскарад);

• несанкционированный к приложению;

• внедрение вредоносного программного обеспечения;

• несанкционированное использование системных ресурсов;

• использование телекоммуникаций для несанкционированного доступа сотрудниками организации;

• использование телекоммуникаций для несанкционированного доступа поставщиком услуг;

• использование телекоммуникаций для несанкционированного доступа посторонними;

• ошибки при маршрутизации;

• неисправность сервера;

• неисправность сетевого сервера;

• неисправность запоминающих устройств;

• неисправность печатающих устройств;

• неисправность сетевых распределяющих компонент;

• неисправность сетевых шлюзов;

• неисправность средств сетевого управления или управляющих серверов;

• неисправность сетевых интерфейсов;

• неисправность сетевых сервисов;

• неисправность электропитания;

• неисправность кондиционеров;

• сбои системного и сетевого ПО;

• сбои прикладного ПО;

• ошибки пользователей;

• пожар;

• затопление;

• природные катаклизмы;

• нехватка персонала;

• кражи со стороны сотрудников;

• кражи со стороны посторонних;

• преднамеренные несанкционированные действия сотрудников;

• преднамеренные несанкционированные действия посторонних;

• терроризм.

Меры информационной безопасности можно разделить на три группы в соответствии с тем, направлены ли они на предупреждение, обнаружение или ликвидацию последствий нападений.

Проблемы обеспечения информационной безопасности являются комплексными и включают необходимость сочетания законодательных, организационных и программно-технических мер.

На законодательном уровне должна быть создана нормативно-правовая база, адекватная существующей практике применения информационно-коммуникационных технологий.

На управленческом (организационном) уровне важно, чтобы руководство каждой организации осознало необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов. Главное, что должен сделать управленческий уровень, это выработать политику безопасности.

Ключевые механизмы безопасности программно-технического уровня:

• идентификация и аутентификация;

• управление доступом;

• протоколирование и аудит;

• криптография;

• экранирование.

Политика безопасности - совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Важным аспектом защиты информации в компании является защита персональных данных.

Персональные данные (или личные данные) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...