Файл: Назначение и структура системы защиты информации в коммерческих предприятиях.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 30.06.2023

Просмотров: 43

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

- реализация системы защиты на основе результатов анализа риска;

- постоянный контроль за работой системы защиты и информационной системы как таковой.

На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

Для обеспечения непрерывной защиты информации в информационных системах целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.

Основные этапы построения системы защиты приведены на рисунке 5.

Рисунок 5 – Этапы создания системы защиты

Рассмотрим каждый из этапов подробнее.

А. Этап анализа возможных угроз АИС необходим для фиксирования на

определенный момент времени состояния АИС и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АИС от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации.

Б. На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.

В. Сущность этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации зафиксированных в плане защиты правил обработки информации. Содержание этого этапа зависит от способа реализации механизмов защиты в средствах защиты.

Г. Этап сопровождения заключается в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружить нарушения безопасности. В том случае, когда состав системы претерпел существенные изменения, требуется повторение описанной выше последовательности действий [16].

Можно выделить следующие 3 направления управления защиты информации в экономических информационных системах, которые представлены на рисунке 6.

Управление защитой компьютерной безопасностью

Правовое обеспечение защиты компьютерной безопасности

Инженерно-техническое обеспечение защиты компьютерной безопасности

Организационное обеспечение защиты компьютерной безопасности

Рисунок 6 – Управление защитой компьютерной безопасностью

  1. Правовое обеспечение защиты информации - действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений, а также устанавливающие ответственность за нарушения этих правил.
  2. Инженерно-техническая защита — это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.
  3. Организационные мероприятия и процедуры, решающиеся на всех этапах проектирования и эксплуатации информационных систем.

Создание базовой системы зашиты информации в информационной системе основывается на следующих принципах:

1. Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий;

2. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки;

3. Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования.

4. Обеспечение надежности системы защиты, т.е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

5. Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

6. «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей.

7. Экономическая целесообразность использования системы защиты. Стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации информационной системы без системы защиты, что отражено на рисунке 7.

Управление защитой информации

Предупреждение несанкционированных действий в отношении информации

Защита информационных ресурсов

Комплексная защита объектов

Обеспечение физической и логической целостности информации

Обеспечение локальной безопасности

Защита от дезинформации

Обеспечение качества хранения информации

Рисунок 7 – Управление защитой информации

К основным методам защиты информации относятся следующие методы, приведенные на рисунке 8.

Рисунок 8 – Методы и средства информационной безопасности экономического объекта

Рассмотрим каждый из методов подробнее.

А. Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации.

Б. Управление доступом - метод защиты информации путем регулирования использования всех ресурсов информационной системы.

В. Маскировка — метод защиты информации путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом, как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.


Г. Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Д. Принуждение - такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Е. Побуждение — такой метод защиты, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические.

3.3 Шифрование как основной метод защиты информации

Постоянное развитие и совершенствование информационных технологий дает возможность передавать и хранить все большие объемы информации. Это имеет и оборотную сторону, - информация становится все более уязвимой. 

Поэтому все большую важность приобретает проблема защиты информации от несанкционированного доступа при передаче и хранении. Сущность этой проблемы - постоянная борьба специалистов по защите информации со своими «оппонентами». 

Очевидная тенденция к переходу на цифровые методы передачи и хранения информации позволяет применять унифицированные методы и алгоритмы для защиты дискретной и непрерывной информации. 

Испытанный метод защиты информации от несанкционированного доступа - шифрование. Шифрованием называют процесс преобразования открытых данных в зашифрованные или зашифрованных данных в открытые по определенным правилам с применением ключей [12].

С помощью криптографических методов возможно:

- шифрование информации; 

- реализация электронной подписи; 

- распределение ключей шифрования; 

- защита от случайного или умышленного изменения информации. 

К алгоритмам шифрования предъявляются определенные требования:

1) высокий уровень защиты данных против дешифрования и возможной модификации; 

2) защищенность информации должна основываться только на знании ключа и не зависеть от того, известен алгоритм или нет; 


3) малое изменение исходного текста или ключа должно приводить к значительному изменению шифрованного текста; 

4) область значений ключа должна исключать возможность дешифрования данных путем перебора значений ключа; 

5) экономичность реализации алгоритма при достаточном быстродействии; 

6) стоимость дешифрования данных без знания ключа должна превышать стоимость данных.

Существует два основных типа криптографических алгоритма:

- симметричные, для которых ключ расшифрования совпадает с ключом зашифрования;

- асимметричные (алгоритмы с открытым ключом), использующие для зашифрования и расшифрования два разных ключа.

Симметричные алгоритмы делятся на две категории:

- потоковые шифры, в которых данные обрабатываются побитово;

- блочные шифры, в которых операции производятся над группами битов.

Для осуществления этих алгоритмов применяются специальные программы, которых в настоящее время на рынке информационных технологий достаточно много.

Входной информацией в данном вопросе является то, что требуется защитить от несанкционированного доступа путем шифрования.

Программы, использующие для этих целей, работают с файлами (шифрование, установка защит). Таком образом, входными данными являются файлы различного типа для шифрования и EXE- и COM-файлы для установки пароля и проверки по ключевой дискете.

В качестве постоянной информации используются таблицы перестановок и константы генератора псевдослучайных чисел при шифровании файлов.

Результатом выполнения алгоритма шифрования информации являются выходные данные. Это зашифрованные файлы и защищенные программы.

Как показывает практика, абсолютных способов защиты информации не существует. Какими бы сложными и дорогими не были предлагаемые на рынке средства защиты, их эффективность оказывается условной. С учетом сложившейся реальной обстановки востребованными оказываются несложные и недорогие средства защиты, разрабатываемые и устанавливаемые самим производителем продукта и направленные против незаконных действий квалифицированных пользователей.

Итак, в третьей главе курсовой работы были рассмотрены основные методы и средства защиты информации, среди которых - правовые основы обеспечения информационной безопасности, а также шифрование как основной метод защиты информации

ЗАКЛЮЧЕНИЕ

С каждым годом увеличивается количество информации, растет ее ценность, в связи с чем возрастают требования по ее защите. Также быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации, поэтому все более актуальной становится про­блема обеспечения безопасности, предотвращения несанкционированного доступа к информации, физического уничтожения или модификации защищаемой информации.


Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или не­санкционированному использованию информационных ресурсов.

Защита любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу регулируется разработанной правительством системой нормативных актов правового регулирования вопросов информатизации и защиты информации в Российской Федерации.

Обеспечение информационной безопасности экономического объекта достигается множеством различных методов и средств. К основным методам защиты информации в ЭИС относятся: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение.

Создание системы защиты информации экономических систем основывается на совокупности принципов и подходов. Наиболее важными являются принципы непрерывности совершенствования и развития системы информационной безопасности и комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм сотрудников, занимающихся вопросами информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.

Создание системы защиты информации экономических систем включает в себя следующие этапы: обследование организации, проектирование системы защиты информации, внедрение системы защиты информации, сопровождение системы информационной безопасности, обучение специалистов по защите информации.

Обеспечение информационной безопасности требует комплексного подхода, в основе которого должна лежать система обеспечения информационной безопасности, включающая организационную (подготовленный персонал и нормативные документы) и техническую (средства защиты информации) составляющие.

Таким образом, система защиты информации в экономических информационных системах представляет собой сложный комплекс мер, способов и средств, гарантирующих обеспечение безопасности экономической информации. Однако из-за постоянного обновления компьютерных технологий возникают новые угрозы для информации, поэтому про­блема обеспечения ее безопасности, предотвращения несанкционированного доступа к информации, ее уничтожения или модификации, становится все более актуальной, свидетельствует о необходимости более подробного изучения и решения вопросов защиты информации в экономических информационных системах.