- •Введение
- •Основные понятия
- •Классификации информационных систем
- •Классификация по архитектуре
- •Классификация по степени автоматизации
- •Классификация по характеру обработки данных
- •Классификация по сфере применения
- •Классификация по охвату задач (масштабности)
- •Основные угрозы информационной безопасности
- •Обеспечение информационной безопасности
- •Аппаратно-программные средства защиты информации
- •Системы идентификации и аутентификации пользователей
- •Системы шифрования дисковых данных
- •Системы шифрования данных, передаваемых по сетям
- •Системы аутентификации электронных данных
- •Средства управления криптографическими ключами
- •Основные факторы, определяющие технологическую безопасность информационных систем
- •Проблемы обеспечения технологической безопасности информационных систем
- •Показатели технологической безопасности информационных систем
- •Заключение
Обеспечение информационной безопасности
Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на 5 уровней:
1. законодательный (законы, нормативные акты, стандарты и т.п.);
2. нравственно-моральный (различные нормы поведения, неисполнение которых ведет к падению престижа определенного человека либо целой организации);
3. административный (деяния общего характера, предпринимаемые руководством организации);
4. физический (механические, электро- и электронно-механические преграды на вероятных путях проникновения возможных нарушителей);
5. аппаратно-программный (электронные устройства и особые программы защиты информации).
Единая совокупность всех этих мер, нацеленных на противодействие угрозам безопасности с целью сведения к минимуму возможности вреда, образуют систему защиты.
Надежная система защиты обязана соответствовать следующим принципам:
Стоимость средств защиты обязана быть меньше, чем размеры вероятного ущерба.
Каждый пользователь обязан иметь минимальный набор привилегий, необходимый для работы.
Защита тем более эффективна, чем легче пользователю с ней работать.
Возможность отключения в аварийных случаях.
Специалисты, имеющие отношение к системе защиты обязаны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций правильно на них реагировать.
Под защитой обязана находиться вся система обработки информации.
Разработчики системы защиты, не обязаны быть в числе тех, кого эта система будет контролировать.
Система защиты обязана предоставлять подтверждения корректности своей работы.
Лица, занимающиеся обеспечением информационной безопасности, обязаны нести личную ответственность.
Объекты защиты целесообразно делить на категории так, чтобы нарушение защиты в одной из групп никак не влияло на безопасность остальных.
Надежная система защиты обязана быть полностью протестирована и согласована.
Защита становится наиболее действенной и гибкой, если она допускает модифицирование собственных параметров со стороны администратора.
Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.
Более важные и критические решения обязаны приниматься человеком.
Наличие механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем[6].
Аппаратно-программные средства защиты информации
Невзирая на то, что современные ОС для персональных компьютеров, такие, как Windows 2000, Windows XP и Windows NT, имеют личные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большая часть систем не способны защитить данные, оказавшиеся за их пределами, к примеру при сетевом информационном обмене.
Аппаратно-программные средства защиты информации можно разбить на 5 групп:
1. Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.
2. Системы шифрования дисковых данных.
3. Системы шифрования данных, передаваемых по сетям.
4. Системы аутентификации электронных данных.
5. Средства управления криптографическими ключами[6].