Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский университет «МИЭТ»
Предмет:
Защита информации
Файл:
лекции 2022 / Lecture2.doc
Скачиваний:
8
Добавлен:
21.08.2022
Размер:
75.78 Кб
Скачать
►Содержание►

2.4. Причины уязвимости компьютерных систем

Причины уязвимости компьютерных систем

открытость системы, свободный доступ к информации

наличие ошибок в ПО и ОС и разнородность используемых версий ПО и ОС

ошибки администрирования, конфигурирования систем и средств защиты

невыполнение рекомендаций специалистов по защите по ликвидации лазеек и ошибок в ПО

«экономия» на средствах и системах обеспечения безопасности или игнорирование их

умолчание о случаях нарушения безопасности своего хоста или сети

2.5. Классификация средств защиты информации

Все многообразие средств ЗИ принято подразделять на 4 класса:

  • Технические средства:

  • +: надежность функционирования, независимость от субъективных факторов, высокая устойчивость от модификаций;

  • -: недостаточная гибкость, громоздкость, высокая стоимость;

  • Программные средства:

  • +: универсальность, гибкость, надежность, простота реализации, широкие возможности модификации и развития;

  • -: необходимость использования памяти систем, подверженность случайным или закономерным модификациям, ориентация на определенные типы ЭВМ;

  • Организационные средства:

  • +: широкий круг решаемых задач, простота реализации, гибкость реагирования, практически неограниченные возможности изменения и развития;

  • -: необходимость использования людей, повышенная зависимость от субъективных факторов и высокая зависимость от общей организации работ в организации;

  • Криптографические средства.

Криптографические средства выделяются в отдельный класс, т.к. криптографические преобразования могут быть реализованы как аппаратными, так и программными средствами.

Опыт показывает, что эффективной может быть только комплексная защита, сочетающая как использование как технических средств (аппаратных, программных и криптографических) так и организационные мероприятия.

2.6. Коммерческая тайна и личная тайна

Коммерческая тайна – форма обеспечения безопасности наиболее важной коммерческой информации, предлагающая ограничение ее распространения.

Личная тайна – форма обеспечения безопасности наиболее важных персональных данных, предлагающая ограничение их распространения.

Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение, передача, утечка которых может нанести ущерб его интересам. Под персональными данными понимаются сведения о конкретном человеке, разглашение которых может нанести ущерб его интересам. Перечень сведений, составляющих персональные данные, определен Федеральным Законом.

Общие принципы защиты коммерческой и личной тайны в основном совпадают.

Критериями, по которым определяется информация, относимая к перечню сведений, составляющих коммерческую тайну предприятия (личную тайну), могут быть следующие:

  • во-первых, эта информация должна быть коммерчески выгодной вам или выгодной для вашего конкурента в случае ее попадания в чужие руки (или ее разглашение может нанести ущерб). В качестве критерия важности конкретной информации принимается количественный показатель величины наносимого ущерба. То есть наиболее важной, с точки зрения безопасности предприятия (личности), является информация, утечка которой, например, угрожает структурной целостности предприятия или способствует перекрытию каналов поступления материальных ресурсов (или угрожает здоровью человека);

  • во-вторых, эта информация не должна быть общеизвестной или общедоступной на законных основаниях;

  • в-третьих, эти сведения не должны являться государственными секретами или защищаться согласно нормам авторского или патентного права;

  • в-четвертых, информация, составляющая коммерческую тайну (личную тайну), должна быть зафиксирована в письменной или иной материальной форме или находиться в исключительном ведении предприятия (человека);

  • в-пятых, такая информация должна быть понятным образом специально обозначена и в отношении нее должны быть обеспечены необходимые меры по сохранению конфиденциальности;

  • в-шестых, эти сведения не должны напрямую касаться деятельности предприятия (людей), способной нанести ущерб обществу, жизни и здоровью (нарушение законов, загрязнение окружающей среды и т.д.), а также использоваться в целях недобросовестной конкуренции, уклонения от налогообложения, осуществления запрещенной или незакрепленной в уставе предприятия деятельности.

Следует иметь в виду, что секретность даром не дается и требует определенных затрат, в число которых входят, с одной стороны, затраты на обеспечение режимных мероприятий, а с другой – потери от ограничений в пользовании секретной информацией. Экономический же эффект от засекречивания информации может выразиться как в получении реальной прибыли, так и в предотвращении возможного ущерба предприятию (человеку).

Любые меры по защите информации должны быть экономически обоснованы. Конфиденциальность (секретность) не должна стоить дороже той информации, которая защищается.

Со временем информация стареет, ценность ее уменьшается, а суммарные затраты на защиту растут. Чем выше требованию к уровню защиты, тем дороже обходится их обеспечение. Вследствие несовершенства защиты возможны потери при ее нарушении. Суммирование затрат и потерь в сопоставлении с ценностью информации для ее владельца даст возможность оценить как оптимальный уровень требований по защите информации, так и время, в течение которого засекречивание информации может быть признано целесообразным.

Рекомендуемый порядок организации защиты коммерческой (личной) тайны может быть следующим.

  1. Составить структуру вероятных угроз безопасности фирмы и ее сотрудников. Оценить важность и ценность информации. Понять, какую информацию, для чего и от кого нужно защищать.

  2. Пригласить на работу опытного профессионала и поручить ему начать вместе с вами анализ обстановки в сфере защиты информации, планирование необходимых защитных мер, подготовку соответствующих документов.

  3. Внести дополнения в уставные документы, подготовить перечни сведений, составляющих коммерческую (личную) тайну. Ввести договорные отношения с сотрудниками фирмы.

  4. Обозначить защищаемую информацию соответствующими указателями на ее носителях, организовать их учет. Разграничить доступ к информации сотрудников.

  5. Организовать минимум физической защиты помещений и хранилищ информации. Регламентировать использование средств связи и передачи информации.

  6. Подобрать специалистов и начать работу по защите информации на средствах вычислительной техники.

  7. Заручиться поддержкой опытного юриста.

Если вы только начинаете собственное дело и если у вас в штате всего несколько сотрудников, если вы материально не можете провести все предполагаемые мероприятия, то вы должны предпринять хотя бы следующий минимум защитных мер:

  • соглашение о найме, которое обеспечивает защиту персональных данных и неразглашение идей;

  • штамп «секретно» на деловых планах, списках покупателей, чертежах, и другой технической документации;

  • простые соглашения о неразглашении тайны для продавцов, покупателей, потенциальных лицензиатов и др.

Принципиально важным в организации работы по защите информации должно быть воспитание сотрудников с целью осознания ими того факта, что от успешного сохранения сведений, составляющих коммерческую (личную) тайну, зависит благосостояние как предприятия, так и их личное. Лица, увольняющиеся с предприятия или работающие на стороне, должны быть предупреждены о возможных неприятных для них последствиях за неправомерное использование секретов фирмы (персональных данных).

Соседние файлы в папке лекции 2022
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности