Файл: Назначение и структура системы защиты информации в коммерческих предприятиях.pdf
Добавлен: 30.06.2023
Просмотров: 43
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ СУЩНОСТЬ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
1.1 Проблема защиты информации
1.2 Требования к обработке информации в информационных системах коммерческих предприятий
ГЛАВА 2. ОСНОВНЫЕ ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
2.2 Воздействие вредоносных программ
3.1 Правовые основы обеспечения информационной безопасности
3.2 Основные методы и средства защиты информации
- реализация системы защиты на основе результатов анализа риска;
- постоянный контроль за работой системы защиты и информационной системы как таковой.
На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.
Для обеспечения непрерывной защиты информации в информационных системах целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.
Основные этапы построения системы защиты приведены на рисунке 5.
Рисунок 5 – Этапы создания системы защиты
Рассмотрим каждый из этапов подробнее.
А. Этап анализа возможных угроз АИС необходим для фиксирования на
определенный момент времени состояния АИС и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АИС от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации.
Б. На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.
В. Сущность этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации зафиксированных в плане защиты правил обработки информации. Содержание этого этапа зависит от способа реализации механизмов защиты в средствах защиты.
Г. Этап сопровождения заключается в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружить нарушения безопасности. В том случае, когда состав системы претерпел существенные изменения, требуется повторение описанной выше последовательности действий [16].
Можно выделить следующие 3 направления управления защиты информации в экономических информационных системах, которые представлены на рисунке 6.
Управление защитой компьютерной безопасностью
Правовое обеспечение защиты компьютерной безопасности
Инженерно-техническое обеспечение защиты компьютерной безопасности
Организационное обеспечение защиты компьютерной безопасности
Рисунок 6 – Управление защитой компьютерной безопасностью
- Правовое обеспечение защиты информации - действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений, а также устанавливающие ответственность за нарушения этих правил.
- Инженерно-техническая защита — это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.
- Организационные мероприятия и процедуры, решающиеся на всех этапах проектирования и эксплуатации информационных систем.
Создание базовой системы зашиты информации в информационной системе основывается на следующих принципах:
1. Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий;
2. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки;
3. Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования.
4. Обеспечение надежности системы защиты, т.е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.
5. Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.
6. «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей.
7. Экономическая целесообразность использования системы защиты. Стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации информационной системы без системы защиты, что отражено на рисунке 7.
Управление защитой информации
Предупреждение несанкционированных действий в отношении информации
Защита информационных ресурсов
Комплексная защита объектов
Обеспечение физической и логической целостности информации
Обеспечение локальной безопасности
Защита от дезинформации
Обеспечение качества хранения информации
Рисунок 7 – Управление защитой информации
К основным методам защиты информации относятся следующие методы, приведенные на рисунке 8.
Рисунок 8 – Методы и средства информационной безопасности экономического объекта
Рассмотрим каждый из методов подробнее.
А. Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации.
Б. Управление доступом - метод защиты информации путем регулирования использования всех ресурсов информационной системы.
В. Маскировка — метод защиты информации путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом, как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.
Г. Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Д. Принуждение - такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Е. Побуждение — такой метод защиты, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).
Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические.
3.3 Шифрование как основной метод защиты информации
Постоянное развитие и совершенствование информационных технологий дает возможность передавать и хранить все большие объемы информации. Это имеет и оборотную сторону, - информация становится все более уязвимой.
Поэтому все большую важность приобретает проблема защиты информации от несанкционированного доступа при передаче и хранении. Сущность этой проблемы - постоянная борьба специалистов по защите информации со своими «оппонентами».
Очевидная тенденция к переходу на цифровые методы передачи и хранения информации позволяет применять унифицированные методы и алгоритмы для защиты дискретной и непрерывной информации.
Испытанный метод защиты информации от несанкционированного доступа - шифрование. Шифрованием называют процесс преобразования открытых данных в зашифрованные или зашифрованных данных в открытые по определенным правилам с применением ключей [12].
С помощью криптографических методов возможно:
- шифрование информации;
- реализация электронной подписи;
- распределение ключей шифрования;
- защита от случайного или умышленного изменения информации.
К алгоритмам шифрования предъявляются определенные требования:
1) высокий уровень защиты данных против дешифрования и возможной модификации;
2) защищенность информации должна основываться только на знании ключа и не зависеть от того, известен алгоритм или нет;
3) малое изменение исходного текста или ключа должно приводить к значительному изменению шифрованного текста;
4) область значений ключа должна исключать возможность дешифрования данных путем перебора значений ключа;
5) экономичность реализации алгоритма при достаточном быстродействии;
6) стоимость дешифрования данных без знания ключа должна превышать стоимость данных.
Существует два основных типа криптографических алгоритма:
- симметричные, для которых ключ расшифрования совпадает с ключом зашифрования;
- асимметричные (алгоритмы с открытым ключом), использующие для зашифрования и расшифрования два разных ключа.
Симметричные алгоритмы делятся на две категории:
- потоковые шифры, в которых данные обрабатываются побитово;
- блочные шифры, в которых операции производятся над группами битов.
Для осуществления этих алгоритмов применяются специальные программы, которых в настоящее время на рынке информационных технологий достаточно много.
Входной информацией в данном вопросе является то, что требуется защитить от несанкционированного доступа путем шифрования.
Программы, использующие для этих целей, работают с файлами (шифрование, установка защит). Таком образом, входными данными являются файлы различного типа для шифрования и EXE- и COM-файлы для установки пароля и проверки по ключевой дискете.
В качестве постоянной информации используются таблицы перестановок и константы генератора псевдослучайных чисел при шифровании файлов.
Результатом выполнения алгоритма шифрования информации являются выходные данные. Это зашифрованные файлы и защищенные программы.
Как показывает практика, абсолютных способов защиты информации не существует. Какими бы сложными и дорогими не были предлагаемые на рынке средства защиты, их эффективность оказывается условной. С учетом сложившейся реальной обстановки востребованными оказываются несложные и недорогие средства защиты, разрабатываемые и устанавливаемые самим производителем продукта и направленные против незаконных действий квалифицированных пользователей.
Итак, в третьей главе курсовой работы были рассмотрены основные методы и средства защиты информации, среди которых - правовые основы обеспечения информационной безопасности, а также шифрование как основной метод защиты информации
ЗАКЛЮЧЕНИЕ
С каждым годом увеличивается количество информации, растет ее ценность, в связи с чем возрастают требования по ее защите. Также быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации, поэтому все более актуальной становится проблема обеспечения безопасности, предотвращения несанкционированного доступа к информации, физического уничтожения или модификации защищаемой информации.
Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов.
Защита любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу регулируется разработанной правительством системой нормативных актов правового регулирования вопросов информатизации и защиты информации в Российской Федерации.
Обеспечение информационной безопасности экономического объекта достигается множеством различных методов и средств. К основным методам защиты информации в ЭИС относятся: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение.
Создание системы защиты информации экономических систем основывается на совокупности принципов и подходов. Наиболее важными являются принципы непрерывности совершенствования и развития системы информационной безопасности и комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.
Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм сотрудников, занимающихся вопросами информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.
Создание системы защиты информации экономических систем включает в себя следующие этапы: обследование организации, проектирование системы защиты информации, внедрение системы защиты информации, сопровождение системы информационной безопасности, обучение специалистов по защите информации.
Обеспечение информационной безопасности требует комплексного подхода, в основе которого должна лежать система обеспечения информационной безопасности, включающая организационную (подготовленный персонал и нормативные документы) и техническую (средства защиты информации) составляющие.
Таким образом, система защиты информации в экономических информационных системах представляет собой сложный комплекс мер, способов и средств, гарантирующих обеспечение безопасности экономической информации. Однако из-за постоянного обновления компьютерных технологий возникают новые угрозы для информации, поэтому проблема обеспечения ее безопасности, предотвращения несанкционированного доступа к информации, ее уничтожения или модификации, становится все более актуальной, свидетельствует о необходимости более подробного изучения и решения вопросов защиты информации в экономических информационных системах.