Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция»




НазваниеУчебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция»
страница5/34
Дата публикации21.02.2014
Размер4.11 Mb.
ТипУчебник
zadocs.ru > Информатика > Учебник
1   2   3   4   5   6   7   8   9   ...   34
^

1.2. Основные термины и определения информационной безопасности


Концентрация больших объемов обобщенной и систематизированной информации на промышленных объектах и в учреждениях (в том числе и в МВД) привели к увеличению вероятности утечки секретных и конфиденциальных сведений, а значит и к необходимости принятия мер по обеспечению безопасности информации.

Анализ состояния дел в области информационной безопасности показывает, что к настоящему времени в ведущих странах мира сложилась достаточно четко очерченная система концептуальных взглядов на проблемы обеспечения информационной безопасности.

И, тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, но имеют достаточно устойчивую тенденцию к росту.

Понимая это, большинство руководителей предприятий и организаций принимают меры по «охране и обороне» важной для них информации. Однако практика показывает, что эти действия не всегда носят системный характер, направлены на ликвидацию только отдельных угроз, оставляя бреши в обороне.

Представляется, что одной из причин такого положения дел является не знание или не умелое использование основных принципов и практических подходов к решению проблем информационной безопасности. Материалы учебника направлены как раз на оказание помощи руководителям подразделений, организаций и представителям соответствующих служб в организации систем информационной безопасности. При этом основное внимание уделено одному из главных аспектов общей проблемы информационной безопасности – обеспечению безопасности информации при ее обработке, хранении и передаче.

Материалы данного раздела включают ряд основополагающих положений, без которых сложно рассчитывать на успех в решении проблем информационной безопасности. Это, прежде всего, терминологический аппарат данной предметной области, основные принципы и требования к системе информационной безопасности, последовательность и содержание действий на каждом из этапов построения системы информационной безопасности, а также некоторые современные взгляды на разрешение сложных проблем информационной безопасности.

Для того чтобы освоить методологические основы обеспечения информационной безопасности, прежде всего, необходимо владеть понятийным аппаратом данной предметной области. Раскрытие некоторых ключевых терминов не самоцель, а попытка на этой основе сформировать начальные представления о целях и задачах защиты информации.

^ Под безопасностью информации понимается такое ее состояние, при котором исключается возможность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имеющими на это права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники.

^ Под защитой информации понимается совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.

Конфиденциальность – содержание критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций), в секрете.

Целостность - свойство, при выполнении которого информация сохраняет заранее определенные вид и качество.

Доступность - такое состояние информации, когда она находится в виде и месте, необходимом пользователю, и в то время, когда она ему необходима.

Объект - совокупность зданий или помещений с размещенными в них техническими средствами обработки, передачи и хранения информации, объединенная едиными информационными потоками.

^ Охраняемая зона объекта - ограниченная территория, имеющая обозначенный периметр, на которой принимаются меры по предотвращению проникновения на объект нарушителей, способных причинить ущерб информационным ресурсам.

^ Рубежи защиты - созданные на объекте при помощи организационных и технических мер различные процедуры, препятствующие несанкционированному доступу к информации.

^ Главным критерием в выборе средств защиты интеллектуальной собственности следует считать ее ценность (реальную или потенциальную).

Ценность интеллектуальной собственности позволяет установить возможный ущерб от овладения информацией конкурентами, приносимым доходом, а также компенсацией возможных затрат на ее защиту. Для конкурентов же эта ценность должна компенсировать риск, связанный с ее получением (добыванием).

Для того чтобы обеспечить эффективную защиту интеллектуальной собственности, кроме оценки ценности необходимо провести анализ ее уязвимость.

Уязвимость дает возможность выявить характерные особенности и недостатки объекта защиты, которые могут облегчить проникновение злоумышленника к охраняемым сведениям. Главный результат этой работы - выявление источников информации и возможных каналов ее утечки.

^ Целью защиты информации является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.

^ Основными задачами системы информационной безопасности являются:

  • своевременное выявление и устранение угроз безопасности и ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба его интересам;

  • создание механизма и условий оперативного реагирования на угрозы безопасности и проявлению негативных тенденций в функционировании предприятия;

  • эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;

  • создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение целей организации.

^ Мероприятия по защите информации должны исключать:

  • выход излучений электромагнитного и акустического полей, а также наводок в сетях питания, кабельных линиях, заземлении, радио- и телефонных сетях за пределы контролируемой зоны;

  • доступ в помещение, где осуществляется обработка информации, а также визуально-оптические возможности съема информации;

  • работу специальных устройств ведения разведки, которые могут находиться в строительных конструкциях помещений и предметах их интерьера, а также внутри самого помещения или непосредственно в средствах обработки и передачи информации;

  • перехват информации из каналов передачи данных;

  • несанкционированный доступ к информационным ресурсам;

  • воздействие излучений, приводящих к разрушению информации.

Приведенная совокупность определений достаточна для формирования общего, пока еще абстрактного взгляда на построение системы информационной безопасности. Для уменьшения степени абстракции и формирования более детального замысла необходимо знание основных принципов организации системы информационной безопасности.

Анализ состояния дел в области информационной безопасности показывает, что в ведущих странах сложилась достаточно четко очерченная система концептуальных взглядов на проблемы информационной безопасности.

И, тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, а имеют достаточно устойчивую тенденцию к росту.

Это свидетельствует о том, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация обеспечения безопасности информационной системы.

Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов.

Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности. Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, потенциально возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение информационной безопасности не может быть одноразовым актом.

Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.

Комплексный характер защиты информации проистекает, прежде всего, из характера действий злоумышленников, стремящихся любой совокупностью средств добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.

Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм – систему информационной безопасности. Только в этом случае появляются системные свойства не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования.

Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа к ней.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.

Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты.

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.

Защита информации должна быть:

  • централизованной; необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;

  • плановой; планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;

  • конкретной и целенаправленной; защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;

  • активной; защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;

  • надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;

  • нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;

  • открытой для изменения и дополнения мер обеспечения безопасности информации;

  • экономически эффективной; затраты на систему защиты не должны превышать размеры возможного ущерба.

Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут не бесполезны создателям систем информационной безопасности:

  • средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;

  • каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;

  • возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;

  • независимость системы защиты от субъектов защиты;

  • разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;

  • отсутствие на предприятии излишней информации о существовании механизмов защиты.

^ Все перечисленные позиции должны лечь в основу формирования системы защиты информации.

При обеспечении информационной безопасности существует два аспекта:

  • формальный, связанный с определением критериев, которым должны соответствовать защищаемые информационные технологии;

  • практический, характеризующий порядок определения конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии.

Критерии, которым должны соответствовать защищаемые информационные технологии, являются объектом стандартизации более пятнадцати лет. В настоящее время разработан проект международного стандарта «Общие критерии оценки безопасности информационных технологий».

Первой удачной попыткой стандартизации практических аспектов безопасности стал британский стандарт BS 7799 «^ Практические правила управления информационной безопасностью», изданный в 1995 году, в котором обобщен опыт обеспечения режима информационной безопасности в информационных системах разного профиля. Впоследствии было опубликовано несколько аналогичных документов: стандарты различных организаций и ведомств, например, германский стандарт BSI. Содержание этих документов в основном относится к этапу анализа рисков, на котором определяются угрозы безопасности и уязвимости информационных ресурсов, уточняются требования к режиму ИБ.

Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности, можно говорить о единой концепции ИБ.

Изложенные основные концептуальные положения являются основой механизма выработки детальных предложений по формированию политики и построению системы информационной безопасности.
1   2   3   4   5   6   7   8   9   ...   34

Похожие:

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconРабочая программа для студентов фпспо калининградского юридического...
Адвокатура: Рабочая программа для студентов факультета подготовки специалистов на платной основе Калининградского юридического института...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconПрограмма «практика курсантов и слушателей» по специальности 030501....
Практика курсантов и слушателей: рабочая программа по специальности 030501. 65 Юриспруденция Красноярск: Сибирский юридический институт...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconУчебник написан в соответствии с программой подготовки психологов...
Учебник предназначен для преподавателей, аспирантов и студентов факультетов психологии и высших педагогических учебных заведений

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconУчебник написан в соответствии с программой подготовки психологов...
Учебник предназначен для преподавателей, аспирантов и студентов факультетов психологии и высших педагогических учебных заведений

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconУчебник написан в соответствии с программой подготовки психологов...
Учебник предназначен для преподавателей, аспирантов и студентов факультетов психологии и высших педагогических учебных заведений

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconМолодежный «Медиа-форум»
Санкт-Петербургском государственном университете технологии и дизайна пройдет Форум молодежных сми и молодых журналистов Северо-Запада...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconГосударственное образовательное учреждение высшего профессионального...
Отечественная история: рабочая учебная программа для курсантов очного обучения и студентов очной и заочной форм обучения внебюджетного...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconРабочая программа подготовлена
Рабочая учебная программа прохождения практики по профилю специальности для студентов 4 курса Бел юи мвд россии, обучающихся по специальности...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconВыполнение и защита выпускных квалификационных (дипломных) работ...
Методическое пособие предназначено для студентов всех форм обучения по специальности «Юриспруденция». Пособие описывает механизм...

Учебник написан и структурирован с учетом профиля подготовки специалистов в Санкт-Петербургском университете мвд РФ по специальности 02. 11. 00 «Юриспруденция» iconПрограмма и методические указания для студентов специальности 030501 «Юриспруденция»
...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
zadocs.ru
Главная страница

Разработка сайта — Веб студия Адаманов