Файл: Виды и состав угроз информационной безопасности.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 29.04.2023

Просмотров: 64

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

3. Меры противодействия угрозам информационной безопасности

3.1 Основные противодействия информационным

По способам все меры информации, ее и систем ее подразделяются на:[8]

  • (законодательные);
  • морально-;
  • технологические;
  • организационные ( и процедурные);
  • физические;
  • (аппаратурные и программные).
  • (законодательные)

К правовым  защиты относятся в стране законы, и другие нормативно- акты, регламентирующие обращения с информацией, права и обязанности информационных отношений в ее получения, и использования, а также ответственность за этих правил, тем самым использованию информации и сдерживающим фактором потенциальных нарушителей. меры защиты в основном упреждающий, характер и требуют разъяснительной работы с и обслуживающим персоналом .

Морально-этические:

К -этическим мерам относятся нормы , которые традиционно или складываются мере распространения технологий в обществе. нормы большей не являются , как требования актов, однако, несоблюдение ведет к падению авторитета престижа человека, лиц или . Морально-этические бывают как (например, общепризнанные честности, патриотизма и т.п.), и писаные, то оформленные в некоторый (устав, кодекс и т.п.) правил или . Морально-этические защиты являются и требуют постоянной по созданию морального климата в пользователей и обслуживающего АС.

Технологические:

К виду мер относятся разного технологические решения и , основанные обычно использовании некоторых избыточности (структурной, , информационной, временной и т.п.) и на уменьшение совершения сотрудниками и нарушений в рамках им прав и . Примером таких является использование двойного ввода информации, инициализации операций только наличии разрешений нескольких должностных , процедур проверки реквизитов исходящих и сообщении в системах сообщений, периодическое общего баланса банковских счетов и т.п.

Организацтонные:

Организационные меры - это меры и процедурного характера, процессы функционирования обработки данных, ее ресурсов, обслуживающего персонала, а порядок взаимодействия и обслуживающего персонала с таким образом, в наибольшей степени или исключить реализации угроз или снизить потерь в случае реализации.

Меры защиты:

Физические защиты основаны применении разного механических, электро- электронно-механических и сооружений, специально для создания препятствий на путях проникновения и потенциальных нарушителей к системы и защищаемой , а также средств наблюдения, связи и сигнализации. К данному относятся также и средства контроля целостности компонентов (пломбы, наклейки и т.п.).


Технические:

Технические меры основаны на различных электронных и специальных программ, в состав АС и (самостоятельно или в с другими средствами) защиты.

3.2 Достоинства и различных видов защиты

Законодательные и -этические меры: [9]

меры определяют обращения с информацией и субъектов информационных за их . Законодательные и морально- меры противодействия, универсальными в том , что принципиально для всех проникновения и НСД к и информации. В некоторых они являются применимыми, как , при защите информации от тиражирования или защите от служебным положением работе с информацией.

меры:

Очевидно, в организационных структурах с уровнем правопорядка, и этики ставить о защите информации бессмысленно. Прежде надо решить и организационные вопросы. меры играют роль в обеспечении компьютерных систем. меры - это , что остается, другие методы и защиты отсутствуют не могут требуемый уровень . Однако, это не означает, систему защиты строить исключительно их основе, это часто сделать чиновники, от технического .

Этим мерам серьезные недостатки, как:

• низкая без соответствующей физическими, техническими и средствами (люди к нарушению любых дополнительных ограничений и , если только можно нарушить);

• неудобства, связанные с объемом рутинной и деятельности.

Организационные необходимы для эффективного применения мер и средств в части, касающейся действий людей. В же время меры необходимо более надежными и техническими средствами.

Физические и технические средства защиты:

Физические и технические защиты призваны недостатки организационных , поставить прочные на пути и в максимальной степени возможность неумышленных ( ошибке или ) нарушений регламента стороны персонала и системы.
Рассмотрим утверждение о том, создание абсолютной ( есть идеально ) системы защиты невозможно.
Даже допущении возможности абсолютно надежных и технических средств , перекрывающих все , которые необходимо , всегда остается воздействия на системы, осуществляющий действия по корректного функционирования * средств (администратора , администратора безопасности и т.п.).


с самими средствами Эти люди так называемое " безопасности". В этом , стойкость системы будет определяться персонала из безопасности системы, и ее можно за счет (кадровых) мероприятий, и морально-этических .
Но даже совершенные законы и оптимальную кадровую , все равно защиты до решить не .
Во-первых, , что вряд удастся найти , в котором можно быть абсолютно , и в отношении которого было бы действий, вынуждающих нарушить запреты.
-вторых, даже надежный человек допустить случайное, нарушение.

Основные построения системы ресурсов АС:

системы обеспечения информации в АС и функционирование должны в соответствии со основными принципами:

• системность

• комплексность

• своевременность

• преемственность и совершенствования • разумная

• персональная ответственность

• функций

• минимизация

• взаимодействие и сотрудничество

• системы защиты

• алгоритмов и механизмов

• простота применения защиты

• научная и техническая реализуемость

• и профессионализм

• взаимодействие и

• обязательность контроля.

Законность:

Предполагает осуществление мероприятий и разработку безопасности информации в в соответствии с действующим в области информации, и защиты информации, нормативных актов безопасности, утвержденных государственной власти в их компетенции, с всех дозволенных обнаружения и пресечения при работе с .

Системность:

Системный к защите информации в предполагает учет взаимосвязанных, взаимодействующих и во времени , условий и факторов, значимых для и решения проблемы информационной безопасности в .

При создании защиты должны все слабые и уязвимые места обработки информации, а характер, возможные и направления атак систему со нарушителей, пути в распределенные системы и к информации. Система должна строиться с не только известных каналов и НСД к информации, и с учетом возможности принципиально новых реализации угроз .

Комплексность:

Комплексное методов и средств компьютерных систем согласованное применение средств при целостной системы , перекрывающей все (значимые) каналы угроз и не слабых мест стыках отдельных компонентов. Защита строиться эшелонировано. защита должна физическими средствами, , технологическими и правовыми .
Одним из укрепленных рубежей быть средства , реализованные на операционных систем () СВТ в силу , что ОС - та часть системы, которая использованием всех ресурсов. Прикладной защиты, учитывающий предметной области, внутренний рубеж .


Непрерывность защиты:

информации - не мероприятие и не совокупность проведенных и установленных средств , а непрерывный целенаправленный , предполагающий принятие мер на этапах жизненного АС, начиная с ранних стадий , а не только этапе ее .

Большинству физических и средств защиты эффективного выполнения функций необходима организационная (административная) (своевременная смена и правильного хранения и имен, паролей, шифрования, переопределение и т.п.). Перерывы в работе защиты могут использованы злоумышленниками анализа применяемых и средств защиты, внедрения специальных и аппаратных "закладок" и средств преодоления защиты после ее функционирования.

Своевременность:

Предполагает упреждающий мер обеспечения информации, то постановку задач комплексной защите и реализацию мер безопасности информации ранних стадиях АС в целом и системы защиты , в частности.
Разработка защиты должна параллельно с разработкой и самой защищаемой . Это позволит требования безопасности проектировании архитектуры и, в счете, создать эффективные (как затратам ресурсов, и по стойкости) системы.

Преемственность и совершенствование:

Предполагают постоянное мер и средств информации на преемственности организационных и решений, кадрового , анализа функционирования и ее системы с учетом изменений в и средствах перехвата и воздействия на АС, нормативных по защите, отечественного и зарубежного в этой области.

функций:

Принцип функций, требует, ни один организации не полномочий, позволяющих единолично осуществлять критичных операций. такие операции быть разделены части, и их должно быть различным сотрудникам. того, необходимо специальные меры недопущения сговора и ответственности между сотрудниками.

Разумная (экономическая целесообразность, возможного ущерба и ):

Предполагает соответствие затрат на безопасности информации информационных ресурсов возможного ущерба их разглашения, , утечки, уничтожения и . Используемые меры и обеспечения безопасности ресурсов не заметно ухудшать показатели работы , в которой эта циркулирует. Излишние безопасности, помимо неэффективности, приводят к и раздражению персонала.
абсолютно непреодолимую защиты принципиально . Пока информация в обращении, принимаемые могут только вероятность негативных или ущерб них, но исключить их . При достаточном времени и средств преодолеть любую . Поэтому имеет рассматривать некоторый уровень обеспечения . Высокоэффективная система стоит дорого, при работе часть ресурсов системы и может ощутимые дополнительные пользователям. Важно выбрать тот уровень защиты, котором затраты, и размер возможного были бы (задача анализа ).


Персональная ответственность:

возложение ответственности обеспечение безопасности и системы ее на каждого в пределах его . В соответствии с этим распределение прав и сотрудников строится образом, чтобы в любого нарушения виновников был известен или к минимуму.

Минимизация полномочий:

Означает предоставление минимальных прав в соответствии с производственной . Доступ к информации предоставляться только в случае и объеме, в это необходимо для выполнения должностных обязанностей.

и сотрудничество:

Предполагает благоприятной атмосферы в подразделении. В такой сотрудники должны соблюдать установленные и оказывать содействие в подразделений обеспечения информации.

Гибкость защиты:

Принятые и установленные средства , особенно в начальный их эксплуатации, обеспечивать как , так и недостаточный защиты. Для возможности варьирования защищенности, средства должны обладать гибкостью. Особенно это свойство в тех случаях, установку средств необходимо осуществлять уже работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются.

В таких ситуациях свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и механизмов защиты:

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это однако не означает, что информация о конкретной системе защиты должна быть общедоступна.