Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Назначение систем защиты информации

Содержание

Введение

Системы защиты информации

Назначение систем защиты информации

Структура систем защиты информации

Сущность систем защиты информации

Заключение

Список литературы

 


 

Введение

 

Человек - существо социальное, он постоянно нуждается в обмене информацией с другими людьми. Современный мир невозможно представить без информационных технологий. Уже трудно найти человека, у которого дома нет компьютера. В любом банке, в любом офисе стоят в ряд компьютеры, хранящие важную информацию. Но эту информацию необходимо защищать. Так как без неё невозможно нормальное функционирование общества, она является очень ценным товаром. А любой товар должен быть под надёжной защитой. И тут нужны усилия не отдельных людей, а крупномасштабной организации, целой системы. Проблема обеспечения защиты информации - одна из самых актуальных в наши дни.

Главная цель данной работы - формулирование понятия "Система защиты информации".

Для этого необходимо выполнить две задачи: определить основные цели системы защиты информации, а также изучить, как она устроена, из каких элементов состоит.

Структура данного реферата построена на основе задач, поэтому он включает в себя (не считая введения, заключения, списка источников и т.д.) следующие пункты:

· "Назначение систем защиты информации", где будут определены основные цели этих систем;

·   "Структура систем защиты информации", где будет изучено их устройство;

·   "Сущность систем защиты информации", в котором содержится обобщение предыдущих пунктов и формулирование определения понятия "Системы защиты информации".

Стоит также заметить, что тема "Системы защиты информации" хорошо изучена в литературе, противоречий в найденном материале не возникало. Данная работа основана на учебниках по СЗИ или защите информации в целом различных авторов, а также статья кандидата исторических наук А.И. Алексенцева по этой теме. Учебник Герасименко В.А. и Малюка А.А. и пособие Морозовой Е.В. содержат очень много конкретных целей и задач систем защиты информации, в связи с чем они были использованы для написания пункта "Назначение СЗИ". Также при помощи статьи А.И. Алексенцева и учебника Н.В. Гришиной была раскрыта тема важности надёжности СЗИ, были выдвинуты основные цели для достижения этого. Пособие А.А. Гладких и В.Е. Дементьева содержит много информации о структуре СЗИ, и активно используется для написания соответствующего пункта. Также в этой литературе есть определения понятия "Система защиты информации", что поможет сформулировать собственное определение.


Системы защиты информации

Назначение систем защиты информации

 

Итак, информацию надо защищать - надо обеспечивать её безопасность.

Безопасность информации - это свойство или состояние передаваемой, накапливаемой, обрабатываемой и хранимой информации, характеризующее ее степень защищенности от дестабилизирующего воздействия внешней среды и внутренних угроз, то есть ее конфиденциальность, сигнальная скрытность и целостность - устойчивость к разрушающим, имитирующим и искажающим воздействиям и помехам.

Для обеспечения информационной безопасности какого-либо объекта необходимо создать Систему обеспечения информационной безопасности данного объекта (СОИБ).

В книге А.А. Гладких и В.Е. Дементьева "Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов, обучающихся по специальностям" параграф 4.2. так и называется - "Система защиты информации". Начинается этот параграф так:

"Для защиты информации создается система защиты информации, состоящая из совокупности органов и (или) исполнителей, используемой ими техники защиты, организованная и функционирующая по правилам, установленным правовыми, распорядительными и нормативными документами в области защиты информации"

Т.е., как бы банально это ни звучало, назначение системы защиты информации - защита информации. Но нужно более подробное описание назначения, нужно выделить больше целей.

Под защитой информации понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

Задача системы защиты информации состоит в выявлении, устранении или нейтрализации негативных источников, причин и условий воздействия на информацию. Эти источники составляют угрозу безопасности информации.

Система защиты информации должна обеспечить информационную безопасность, которая является глобальной проблемой безопасного развития мировой цивилизации, государств, сообществ людей, отдельного человека, существования природы.

Само понятие информационная безопасность употребляется в разных значениях. Под этим словом может подразумеваться деятельность, направленная на обеспечение защищённого состояния объекта. Но "Информационная безопасность" - это также само состояние (качество) определённого объекта.

Достичь такой безопасности, такого состояния информационной защищенности от возможного действия угроз можно при помощи системы мер, направленных:

· На предупреждение угроз. Предупреждение угроз - это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

·   На выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

·   На обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;

·   На локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

·   На ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

Предупреждение возможных угроз и противоправных действий может быть обеспечено различными мерами и средствами. Это может быть просто создание климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации, а может быть создание глубокой, эшелонированной системы защиты различными средствами: физическими, аппаратными, программными и криптографическими.

Предупреждение угроз возможно и путем получения информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний.

В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.

Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции.

Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. Такими действиями могут быть обнаружение фактов хищения или мошенничества, разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов.

Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, при помощи акустического канала утечки информации по вентиляционным системам можно пресечь подслушивание конфиденциальных переговоров. Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и т.п.

Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:

· Предотвращение разглашения и утечки конфиденциальной информации;

·   Воспрещение несанкционированного доступа к источникам конфиденциальной информации;

·   Сохранение целостности, полноты и доступности информации;

·   Соблюдение конфиденциальности информации;

·   Обеспечение авторских прав.

Учитывая вышесказанное, защита информации - совокупность мер, средств и методов, направленных на обеспечение информационной безопасности государства, общества и личности во всех областях их жизненно важных интересов.

Защищаемая информация включает сведения, являющиеся государственной, коммерческой, служебной и иной охраняемой законом тайной. Каждый вид защищаемой информации имеет свои особенности в области регламентации, организации и осуществления этой защиты.

Таким образом, защита информации - есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации и ее носителям.

Защищаемая информация, являющаяся государственной или коммерческой тайной, как и любой другой вид информации, необходима для управленческой, научно-производственной и иной деятельности. В настоящее время перед защитой информации ставятся более широкие задачи. Это обусловлено рядом обстоятельств, и в первую очередь тем, что все более широкое распространение в накоплении и обработке защищаемой информации получают ЭВМ, в которых может происходить не только утечка информации, но и ее разрушение, искажение, подделка, блокирование и иные вмешательства в информацию и информационные системы.

Следовательно, под защитой информации следует также понимать обеспечение безопасности информации и средств информации, в которых накапливается, обрабатывается и хранится защищаемая информация.

Таким образом, защита информации - это деятельность по:

· Обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;

·   Предотвращению утечки и утраты информации;

·   Сохранению полноты, достоверности, целостности защищаемой информации, ее массивов и программ обработки;

·   Сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами.

Можно выделить больше конкретных целей и задач. Принято выделять три основных типа таких задач:

· Задачи анализа - определение характеристик изучаемого объекта и целей его функционирования, а также целей организации систем защиты объекта и состава средств и затрат.

·   Задачи синтеза - проектирование архитектуры и технологических схем функционирования объекта и системы.

·   Задачи управления - поиск управляющих воздействий на параметры объекта и системы с целью поддержания их в требуемом состоянии.

Как правило, выделяют следующие задачи анализа:

· Определение целей функционирования предприятия (объекта) и основных направлений его деятельности

·   Анализ условий расположения и внешней среды объекта

·   Определение степени конфиденциальности деятельности объекта

·   Определение важности объекта (с точки зрения масштабов потерь от дезорганизации деятельности)

·   Анализ структуры предприятия с целью выявления защищаемых объектов и элементов

·   Определение источников и характера угроз безопасности объекта

·   Анализ объема обрабатываемой информации и выделение той её части, которая нуждается в защите

·   Определение целей, функций и задач СЗИ

·   Анализ условий, в которых будет осуществляться защита информации

·   Определение состава требований к организации защиты объекта и информационных ресурсов

·   Определение состава средств защиты и рубежей (зон) их размещения

·   Определение состава мероприятий по защите информации

·   Анализ организационной структуры объекта

·   Определение организационной структуры СЗИ (состав подразделений, квалификационный состав и численность сотрудников, состав руководителей, собственно модель организационной структуры)

Задачи синтеза тоже многочисленны:

· Оценка качества оргструктуры функционирующей СЗИ

·   Оценка достаточности всех компонентов ресурсообеспечения системы защиты

·   Обеспечение наблюдения за внешней средой функционирования основных средств, входящих в состав системы

·   Отладка технологии функционирования основных средств, входящих в состав системы

·   Оценка качества выполнения подразделениями, входящими в состав системы защиты своих функций и обеспечение их взаимодействия с подразделениями, входящими в организационную структуру объекта

·   Разработка и обеспечение соблюдения правил реагирования на нарушение установленных требований по защите

·   Разработка и обеспечение соблюдения правил регистрации данных, относящихся к защите

·   Разработка и обеспечение надёжной реализации принятых мер по передаче, обработке, хранению и уничтожению защищаемой информации и носителей

·   Разработка и обеспечение надежной реализации принятых мер по разграничению и контролю доступа на территорию, в здания, помещения объекта, к средствам связи и автоматизированной обработки информации

·   Разработка и обеспечение надёжной реализации мер по защите систем обеспечения функционирования объекта

·   Разработка и обеспечение реализации системы профилактических мероприятий, направленных на предупреждение несанкционированных действий со стороны персонала объекта и персонала, обеспечивающего функционирование СЗИ

Важно также выполнение следующих задач управления:

· Определение основных направлений совершенствования объекта и их содержательного наполнения

·   Разработка вариантов реорганизации СЗИ с учётом реорганизации объекта

· Разработка плана мероприятий по реорганизации СЗИ с определением сроков, объёмов работ и ответственных исполнителей

·   Определение состава ресурсообеспечения для проведения реорганизации СЗИ

·   Разработка предложений, касающихся схемы контроля за ходом выполнения плана реорганизации

·   Разработка предложений по изменению (в случае необходимости) схемы оперативного управления процессами защиты в режиме чрезвычайной ситуации (ЧС) на объекте

·   Разработка мероприятий по внедрению принятых по реорганизации СЗИ решений

·   Координация деятельности подразделений СЗИ на стадии реорганизации

·   Распределение задач, связанных с реализацией принятых по реорганизации решений, между подразделениями и исполнителями.

·   Информационное обеспечение процесса реализации СЗИ

Следует подробнее описать цели, которые ставятся именно при создании СЗИ. Политика информационной безопасности должна описывать следующие этапы создания:

· Определение информационных и технических ресурсов, подлежащих защите;

·   Выявление полного множества потенциально возможных угроз и каналов утечки информации;

·   Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

·   Определение требований к системе защиты;

· Осуществление выбора средств защиты информации и их характеристик;

·   Внедрение и организация использования выбранных мер, способов и средств защиты;

·   Осуществление контроля целостности и управление системой защиты.

Разработка системы ЗИ производится подразделением по технической защите информации или ответственным за это направление во взаимодействии с разработчиками и ответственными за эксплуатацию объектов ТСОИ. Для проведения работ по созданию системы ЗИ могут привлекаться на договорной основе специализированные предприятия, у которых есть соответствующие лицензии.

Список конкретных целей при создании системы достаточно обширный. Сам процесс создания такой системы можно разделить на 3 этапа.

На Первом этапе разрабатывается техническое задание на создание СЗИ:

· Вводится запрет на обработку секретной (служебной) информации на всех объектах ТСОИ до принятия необходимых мер защиты;

·   Назначаются ответственные за организацию и проведение работ по созданию системы защиты информации;

·   Определяются подразделения или отдельные специалисты, непосредственно участвующие в проведении указанных работ, сроки введения в эксплуатацию системы ЗИ;

·   Проводится анализ возможных технических каналов утечки секретной информации;

·   Разрабатывается перечень защищаемых объектов ТСОИ;

·   Проводится категорирование ОТСС, а также ВП;

·   Определяется класс защищенности автоматизированных систем, участвующих в обработке секретных (служебных) данных;

·   Определяется КЗ;

·   Оцениваются возможности средств ИТР и других источников угроз;

·   Обосновывается необходимость привлечения специализированных предприятий для создания системы защиты информации;

·   Разрабатывается техническое задание (ТЗ) на создание СЗИ.

Разработка технических проектов на установку и монтаж ТСОИ производится проектными организациями, имеющими лицензию ФСТЭК.

На Втором этапе:

· Разрабатывается перечень организационных и технических мероприятий по защите объектов ТСОИ в соответствии с требованиями ТЗ;

·   Определяется состав серийно выпускаемых в защищенном исполнении ТСОИ, сертифицированных средств защиты информации, а также состав технических средств, подвергаемых специальным исследованиям и проверке; разрабатываются технические паспорта на объекты ТСОИ и инструкции по обеспечению безопасности информации на этапе эксплуатации технических средств.

На Третьем этапе осуществляются:

· Проведение специальных исследований и специальной проверки импортных ОТСС, а также импортных ВТСС, установленных в выделенных помещениях;

·       

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...