Организационное и правовое обеспечение ис
Организационное обеспечение ИС - совокупность мероприятий, регламентирующих функционирование и использование технического, программного и информационного обеспечения и определяющих порядок выполнения действий, приводящих к искомому результату.
Правовое обеспечение ИС - совокупность норм, выраженных в нормативных актах, устанавливающих и закрепляющих организацию ИС, их цели, задачи, структуру, функции и правовой статус.
В случае, если при обработке и передаче информации в ИС используются алгоритмы шифрования (криптографии), электронно-цифровые подписи (ЭЦП), то данные вопросы должны быть решены в полном соответствии с законодательством.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Базовые угрозы информации
Наиболее ценным и критичным ресурсом АС является информационное обеспечение (ИО). В общем случае имеется широкий спектр угроз информационному обеспечению от различных стихийных бедствий до неправильных действий законных пользователей. Все эти многочисленные угрозы можно свести к нескольким базовым угрозам: • угроза несанкционированного чтения данных; • угроза несанкционированной записи данных; • угроза отказа в обслуживании.
Угроза несанкционированного чтения данных - интересующие нарушителя файлы могут быть несанкционированно (в обход установленных правил разграничения доступа или вопреки желанию владельца) прочитаны (скопированы) с целью незаконного использования - ознакомления с текстовыми данными, прослушивания звуковых данных, просмотр графических данных, выполнения программных файлов и т.п. С этой базовой угрозой связаны: • угроза нарушения конфиденциальности хранимой в АС информации; • угроза несанкционированного использования и распространения программного обеспечения и ряд других аналогичных угроз.
Угроза несанкционированной записи данных - файлы могут быть несанкционированно модифицированы или уничтожены. Несанкционированная модификация компонент ИПО может быть проведена с целью внедрения ложных данных в информационное обеспечение или изменения алгоритмов функционирования программ. С этой угрозой связаны: • угрозы нарушения целостности и достоверности информации; • угроза внедрения скрытых режимов функционирования программных систем; • угроза отказа в обслуживании в ходе работы программных систем, и другие.
Угроза отказа в обслуживании (угроза нарушения работоспособности АС) - система доступа пользователя к ИО может перестать выполнять запросы пользователя по доступу к ИО (чтение или запись) или сделать время выполнения этих запросов неприемлемо большим. Эта угроза может возникать вследствие: • ошибок, сбоев или отказов в работе программно-технических средств АС; • несанкционированной модификации программ, образующих систему доступа пользователя к информационному обеспечению; • поступлении слишком большого количества запросов на доступ к ИО со сто-роны пользователей и др.
Несмотря на использование различных систем защиты информации, в современных АС невозможно перекрыть все потенциально возможные каналы несанкционированного доступа к ее информационно-программным ресурсам.
Информация, как результат обработки, передачи и хранения определяет с одной стороны действия людей, которые с ней работают и с другой стороны сложность технического и программного обеспечения, созданного человеком для защиты информации.
Обеспечение безопасности данных в вычислительных сетях подчиняется общей концепции информационной безопасности.
Стандарт ГОСТ Р ИСО 7498-2-99 определяет три основные задачи обеспечения безопасности (защиты) компьютерных систем и сетей:
* Обеспечение целостности информации.
* Обеспечение доступности информации.
* Обеспечение конфиденциальности.
Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.
Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена.
Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.
Решение задачи доступа к конфиденциальной информации реализуется с помощью систем контроля и управления доступом как для контроля перемещения людей по территории охраняемого объекта, обеспечения безопасности персонала и посетителей, так и для сохранности материальных и информационных ресурсов предприятия.
Угрозы целостности, конфиденциальности и несанкционированного доступа к важной информации, а также работоспособности вычислительных систем могут быть выполнены при постоянном участии человека либо выполняется «злоумышленными» программами без непосредственного участия человека.
Задачи по защите от реализации угроз одинаковы независимо от их типа и включают следующие этапы:
1) преградить несанкционированный доступ к корпоративным ресурсам;
2) сделать невозможным несанкционированное использование компьютерных ресурсов, если доступ к ним все-таки осуществлен;
3) своевременно обнаружить факт несанкционированных действий и устранить причины, а также последствия их реализации.
Способы решения перечисленных задач по защите от несанкционированных действий со стороны людей и компьютерных программ существенно отличаются друг от друга. Могут применяться как специальные механизмы защиты, такие как шифрование, заполнение трафика, управление маршрутизацией, цифровая подпись, контроль доступа, обеспечение целостности, аутентификация, нотаризация, так и общие механизмы защиты, такие как доверительная функциональность, метки безопасности, аудиторская проверка, которые могут быть задействованы для усиления последних.