Файловый архив студентов. Файловый архив студентов.
1313 вуза, 5304 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет им. М.В. Ломоносова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
LEKTsIYa_2_1.doc
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
120.32 Кб
Скачать
►Содержание►

2.2. Організація системи інформаційної безпеки підприємства

Основним питанням початкового етапу впровадження системи ІБ підприємства є призна­чення відпові­дальних осіб за безпеку і розмежування сфер їх впливу. Як правило, ще на етапі початкової постановки завдань з’ясо­вується, що за цей аспект ІБ підпри­ємства відповідати дуже складно. Системні програмісти і адмі­ніс­тратори схильні від­носити цю задачу до компе­тен­ції за­гальної служби без­пеки, тоді як остання вважає, що це пи­тання знахо­диться в компетенції фахівців з ІС.

При розв’язанні завдань розподілу відповідальності за безпеку ІС підприємства необхідно враховувати наступ­ні положення:

  • ніхто, крім керівництва, не може прийняти осно­воположні рішення в галузі політики ІБ;

  • ніхто, крім фахівців, не зможе забезпечити пра­вильне функціонування системи ІБ;

  • жодна зовнішня організація або група фахівців життєво не зацікавлена в економічній ефективності впро­вадження заходів безпеки.

Організаційні заходи безпеки ІС безпосередньо або опосередковано пов’язані з адміністра­тивним управлінням і відносяться до рішень та дій, які за­сто­со­ву­ються керів­ництвом для створення таких умов експлуа­тації, що зве­дуть до мінімуму слабкість системи захисту. Дії адмі­ніс­тра­ції можна регламентувати наступ­ними напрям­ками:

  • заходи фізичного захисту ІС;

  • регламентування технологічних процесів;

  • регламентування роботи з службовою інфор­ма­цією;

  • регламентування процедур резервування;

  • регламентування внесення змін;

  • регламентування роботи персоналу і користувачів;

  • підбір та підготовка кадрів;

  • заходи контролю і спостереження.

На практиці найчастіше використовуються наступні категорії інформації.

Важлива інформація – незамінна та необхідна для функціонування ІС інформація, процес відновлення якої після зни­щення неможливий або дуже трудомісткий і по­в’я­заний з великими матеріальними витратами, а її по­мил­кове засто­сування або модифікування призводить до знач­них втрат.

Корисна інформація – необхідна для функціонування ІС ін­фор­­мація, яка може бути відновлена без великих мате­рі­альних витрат, при чому її модифікування або знищення призводить до відносно невеликих втрат.

Конфіденційна інформація – інформація, доступ до якої для частини персоналу або сторонніх осіб небажаний, оскільки може спричинити матеріальні та моральні втрати.

Відкрита інформація – це інформація, доступ до якої відкритий для всіх.

Керівництво повинно приймати рішення про те, хто і яким чином буде визначати ступінь конфіденційності та важливості інформації. На жаль, у нашій державі ще не повністю сформоване законодавство, щоб розглядати ін­фор­мацію як товар та регламентувати права інтелекту­альної власності на ринку інтелектуального продукту, як це робиться в світовій практиці.

2.3. Класифікація загроз

Під загрозою безпеці розуміють потенційні дії або по­дії, які можуть безпосередньо або опосередковано на­нести втрати – призвести до розладу, спотворення або несанкці­о­нованого використання ресурсів ІС, вклю­чаючи інфор­ма­цію, яка зберігається, пере­дається, обробля­ється, а та­кож програмні та апаратні засоби.

Не існує єдиної загальноприйнятої класифікації за­г­роз, хоча розроблено багато її варіантів. Подамо перелік по­дібних класифікацій:

  • за метою реалізування загроз;

  • за принципом дії загроз на ІС;

  • за характером впливу загроз на ІС;

  • за причиною виникнення помилки захисту;

  • за способом дії атаки на об’єкт;

  • за об’єктом атаки;

  • за використовуваними засобами атаки;

  • за станом об’єкту атаки.

Загрози прийнято поділяти на випадкові (або не­нав­мисні) і навмисні. Джерелом випадкових загроз можуть бу­ти помил­ки в програмному за без­пе­ченні, виходи з ладу апа­ратних за­собів, неправильні дії користувачів або адмі­ні­страції ІС тощо. Навмисні загрози, на відміну від випад­кових, приз­начені нанести максимальну шкоду ІС і, в свою чергу, поділяються на пасивні і активні.

Пасивні загрози, як правило, спрямовані на несанкціо­новане використання інформаційних ресурсів ІС, не впли­ваючи при цьому на її функціо­ну­вання. Пасивною загро­зою є, наприклад, спроба отри­мання інформації, яка поши­рюється каналами передавання даної ІС, шляхом підслу­хо­вування.

Активні загрози передбачають порушення нормального функ­ціонування ІС шляхом цілеспря­мованого впливу на її апаратні, програмні та інфор­ма­ційні ресурси.

До активних загроз відносяться, напри­клад, активне знищення або радіоелектронне заглушення ліній зв’язку ІС, вивід з ладу сервера або опера­цій­ної сис­теми, спотво­рення відомостей у базах даних або системної інфор­мації ІС тощо. Дже­ре­лами актив­них загроз можуть бути безпо­середні дії злов­мис­ників, про­грамні віруси.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности