- •Краткий конспект лекций
- •Тема 1. Основные понятия корпоративных информационных систем
- •1.1. Организационная и функциональная структура объекта управления
- •1.2. Информационные системы
- •1.3. Архитектура ис, типы архитектур
- •Тема 2. Информационные ресурсы корпоративных информационных систем
- •2.1 Информационная модель организации
- •2.1 Информационные ресурсы кис
- •Тема 3. Техническое обеспечение кис
- •3.2 Оборудование локальных сетей
- •3.3 Требования к техническому обеспечению кис
- •При проектировании кис формируется документ, в котором описывается комплекс используемых в системе технических средств, включающий:
- •Тема 4 Сетевое обеспечение корпоративных информационных систем
- •4.1 Компьютерные сети
- •В настоящее время развиваются городские сети или сети мегополисов (man, Metropolitan Area Networks), предназначенные для обслуживания территории крупного города.
- •Электронная почта (e-mail);
- •4.2 Корпоративные сети
- •Объединение офисных сетей с использованием беспроводного оборудования (рис. 4.3) предоставляет следующие преимущества:
- •Использование сети Интернет в качестве транспортной среды передачи данных при построении кс предприятия (рис. 4.4) предоставляет следующие преимущества:
- •Объединение локальных сетей предприятия в единую корпоративную сеть на основе арендованных каналов передачи данных (рис. 4.5) приносит следующие преимущества:
- •4.3 Интернет/Интранет-технологии
- •4.4 Перспективы развития телекоммуникационных и сетевых технологий
- •Тема 5. Программное обеспечение кис Глава 5. Программное обеспечение кис
- •5.1 Требования к программному обеспечению
- •5.2 Прикладное программное обеспечение кис
- •5.2.1 Рынок прикладного по и его сегментация
- •5.2.2 Средства разработки приложений
- •5.2.3 Системное программное обеспечение
- •5.2.4 Программное обеспечение промежуточного слоя
- •5.3 Интеграция ис
- •Описия сервисов
- •Р сервисов
- •Тема 6. Системы искусственного интеллекта
- •6.1 Основные понятия искусственного интеллекта
- •6.3 Интеллектуальный анализ данных. Управление знаниями
- •6.5 Системы поддержки принятия решений
- •Тема 7. Обеспечение безопасности кис
- •Глава 7 Обеспечение безопасности информационных систем
- •7.1 Основы информационной безопасности
- •7.2 Критерии оценки информационной безопасности
- •7.3 Классы безопасности информационных систем
- •7.4 Политика безопасности
- •7.5 Угрозы информационной безопасности
- •7.6 Методы и средства защиты информации
- •Тема 8. Проектирование корпоративных информационных систем
- •8 Проектирование корпоративной информационной системы
- •8.1 Жизненный цикл корпоративной информационной системы
- •8.2 Основные понятия проектирования кис
- •8.3 Подходы к проектированию ис
- •8.5 Стандартизация и сертификация информационных технологий
Тема 7. Обеспечение безопасности кис
Глава 7 Обеспечение безопасности информационных систем
7.1 Основы информационной безопасности
Под информационной безопасностью (ИБ) будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Средства и методы поддержки ИБ должны обеспечивать:
доступность – информация, ресурсы, сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда возникает необходимость;
целостность – сохранение структуры информации и/или ее содержание в процессе передачи и хранения. Целостность можно подразделить на статическую – неизменность информационных объектов, и динамическую17 –корректное выполнение транзакций.
конфиденциальность – обеспечение доступа к информации только ограниченному кругу субъектов информационной системы (пользователям, процессам, программам).
Доступность информации (ресурсов информационной системы) предполагает, что субъекты, имеющие права доступа, могут беспрепятственно их реализовывать.
Под доступом к информации понимается возможность получения информации и ее использование (ознакомление, обработка, копирование, модификация или уничтожение). Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации – это доступ, не нарушающий установленные правила разграничения доступа. Несанкционированный доступ характеризуется нарушением установленных правил разграничения доступа и является наиболее распространенным видом компьютерных нарушений.
Права доступа – совокупность правил, регламентирующих порядок и условия доступа субъекта к информации, ее носителям и другим ресурсам ИС, установленных правовыми документами или собственником, владельцем информации.
Разграничение доступа – с одной стороны, правила, ограничивающие действия субъектов ИС над ее ресурсами, с другой – деятельность по реализации этих правил.
Атака на информационную систему – это действие, предпринимаемое злоумышленником с целью поиска и использования той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности.
Под угрозой информационной безопасности понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств. Комплекс мер, направленных на обеспечение ИБ, должен гарантировать защиту информации и минимизировать риски ее искажения.
Важнейшей составляющей процесса обеспечения ИБ является проведение квалифицированного аудита безопасности ИС, что позволяет своевременно выявить существующие недостатки в и объективно оценить соответствие обеспечения информационной безопасности требуемому уровню решаемых задач организации. Оценка качества безопасности ИС выполняется специализированными аудиторскими организациями.
Защита информации – деятельность, направленная на сохранение государственной, служебной, коммерческой или личной тайны, на сохранение носителей информации любого содержания.
80-х годов XX в. Национальным центром компьютерной безопасности (National Computer Security Center – NCSC) Министерства обороны США. Результатом этих исследований явилась публикация Министерством обороны США в 1983 г. документа под названием «Критерии оценки надежных компьютерных систем», впоследствии по цвету обложки получившего название «Оранжевая книга». Этот документ стал первым стандартом в области создания защищенных компьютерных систем и впоследствии основой организации системы сертификации компьютерных систем по критериям защиты информации.
В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO 15408 под названием «Общие критерии оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation или сокращенно – Common Criteria), который способствовал унификации национальных стандартов в области оценки безопасности информационных технологий на основе взаимного признания сертификатов. Этот документ содержит обобщенное и формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности.