Методологические основы обеспечения информационной безопасности объекта
4.1
Методологические основы обеспечения информационной безопасности объекта
Содержание
Введение ........................................................................................................................... |
4.3 |
1.Основные термины и определения из области информационной
безопасности ............................................................................................................. |
4.3 |
2.Последовательность действий при разработке системы обеспечения
информационной безопасности объекта ............................................................... |
4.4 |
Определение политики информационной безопасности ................................................................................... |
4.5 |
Определение границ управления информационной безопасности и конкретизация целей ее создания .... |
4.5 |
Оценка рисков и управление рисками ................................................................................................................. |
4.6 |
Выбор способов обеспечения информационной безопасности ........................................................................ |
4.6 |
3. Информационные системы как объект защиты .................................................... |
4.7 |
4.Технические решения ООО “Конфидент” по созданию систем
информационной безопасности. ............................................................................. |
4.8 |
Заключение. Ваш следующий шаг ................................................................................ |
4.8 |
4.2
Методологические основы обеспечения информационной безопасности объекта
Введение
Концентрация больших объемов обобщенной и систематизированной информации на объектах АСУ привели к увеличению вероятности утечки секретных и конфиденциальных сведений, а значит и к необходимости принятия мер по обеспечению безопасности информации.
В Законе РФ “Об информации, информатизации и защите информации” подчеркивает, что “информа ционные ресурсы являются объектами собственности граждан, организаций, общественных объединений, го сударства”.
С точки зрения делового человека, интеллектуальной собственностью являются информационные ресур сы, знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар или каким то другим образом увеличивать свою прибыль. Способ управления производ"
ством, технологический процесс, список клиентов профиль научных исследований, анализ конкурентоспособности – вот лишь некоторые примеры тому.
Незнание того, что составляет интеллектуальную собственность — уже шаг к потерям финансовым, мораль ным и материальным. Именно с этого надо начинать создание системы защиты информации.
1. Основные термины и определения из области информационной безопасности
Для того чтобы освоить методологические основы обеспечения информационной безопасности, прежде все го, необходимо владеть понятийным аппаратом данной предметной области. В связи с этим ниже приводятся основные термины и определения, а также показатели эффективности системы защиты информации.
Под безопасностью информации будем понимать такое ее состояние, при котором исключается возмож" ность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имеющими на это права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств
перехвата (уничтожения) при передаче между объектами вычислительной техники.
Под защитой информации понимается совокупность мероприятий, направленных на обеспечение цело"
стности и конфиденциальности обрабатываемой в АСУ информации, а также доступности информации для органов управления.
Целью защиты информации в АСУ является сведение к минимуму потерь в управлении, вызванных наруше"
нием целостности данных, их конфиденциальности или недоступности информации для потребителей. Атака попытка преодоления защиты системы. Тот факт, что атака была осуществлена, еще не значит, что она успешна. Степень “успеха” атаки зависит от уязвимости системы и эффективности защитных мер. Аутентификация (проверка подлинности) проверка идентификации пользователя, устройства или другого компонента в системе, обычно для принятия решения о разрешении доступа к ресурсам системы; Авторизация предоставление доступа пользователю, программе или процессу.
Доступность данных такое состояние данных, когда они находятся в виде, необходимом пользователю; в месте, необходимом пользователю, и в то время, когда они ему необходимы.
Конфиденциальность – содержание критичной информации в секрете, доступ к ней ограничен узким кру гом пользователей (отдельных лиц или организаций).
План обеспечения непрерывной работы и восстановления функционирования, (план ОНРВ) план реа гирования на опасные ситуации, резервного копирования и последующих восстановительных процедур, яв ляющийся частью программы защиты и обеспечивающий действенность основных ресурсов системы и непре рывность обработки в кризисных ситуациях.
Криптография принципы, средства и методы преобразования информации к непонятному виду, а также восстановления информации к виду, пригодному для восприятия.
Целостность данных свойство, при выполнении которого данные сохраняют заранее определенный вид и качество.
Идентификация – процесс распознавания определенных компонентов системы, обычно с помощью уникаль ных, воспринимаемых системой имен (идентификаторов).
Минимум привилегий один из основополагающих принципов организации системы защиты, гласящий, что каждый субъект должен иметь минимально возможный набор привилегий, необходимый для решения поставленных перед ним задач Анализ риска процесс определения угроз безопасности системы и отдельным ее компонентам, определе
ния их характеристик и потенциального ущерба, а также разработка контрмер.
Безопасное состояние условие, при выполнении которого ни один субъект не может получить доступ ни к какому объекту иначе как на основе проверки имеющихся у него полномочий.
Брешь безопасности ошибка при назначении полномочий или упущение при разработке, реализации или управлении средствами защиты системы, которые могут привести к преодолению защиты.
Политика безопасности – набор законов, правил и практического опыта, на основе которых строится уп равление, защита и распределение критичной информации.
4.3