Министерство образования и науки Российской Федерации
Федеральное агентство по образованию
Марийский государственный технический университет
Кафедра ИБ
Расчетно-графическая работа
Анализ целей и условий проектирования
КСОИБ АС: угрозы безопасности
по дисциплине
Комплексное обеспечение информационной безопасности автоматизированных систем
Выполнил:
ст. гр. БИ-51
Кулабухов О.Ю.
Проверила:
доцент кафедры ИБ
Зверева Е.В.
Йошкар-Ола
2011
Введение
Обеспечение информационной безопасности в наши дни является одной из приоритетных задач поставленных перед руководителями и специалистами информационной безопасности различных предприятий. От целостности и неприкосновенности сведений, содержащих различного рода тайну, зависит не только благополучие той или иной организации, но и сам факт её существования с учётом быстрого темпа развития промышленного шпионажа.
В данной работе рассматривается объект информатизации (ОИ) «Автоматизированная система кафедры «Информатика и системное программирование». В ней обрабатываются и хранятся базы данных преподавательского состава, включая их персональные данные, разработки; студентов; рабочая документация (протоколы, ведомости, программы); документы по работе со сторонними организациями.
Теоретическая часть
Под комплексной защитой информации в АС понимается защита во всех структурных элементах, на всех участках и маршрутах обработки информации в АС, во всех режимах функционирования АС, этапах жизненного цикла АС с учётом взаимодействия АС с внешней средой.
Компонентами комплексной системы обеспечения ИБ АС являются:
- объект защиты
- угрозы защиты
- средства защиты
Подробнее рассмотрим первый компонент.
Под объектом защиты понимают комплекс:
- информационных средств, процессов и систем обработки информации;
- самой информации, представленной в любой материальной форме, её источниками и носителями.
Информация – согласно ФЗ об информации и информационных технологиях, – сведения, независимые от формы их предоставления; – сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (свойствах и характеристиках) в некоторой предметной области, которые используются для оптимизации принимаемых решений в процессе управления данными объектами.
Информация не существует сама по себе, так как она подразумевает наличие объекта (источника), отражающего информацию, и субъекта (приемника, потребителя), воспринимающего ее. Всякое событие, всякое явление служит источником информации.
Свойства информации:
- доступная человеку информация содержится на материальном носителе;
- информация обладает ценностью;
- является товаром.
Параметры информации:
- важность;
- полнота – показатель, характеризующий меру достаточности оцениваемой информации для решения соответствующей задачи;
- адекватность – степень её соответствия действительному состоянию тех объектов, процессов, явлений, которые отображают эту информацию;
- релевантность информации – показатель, характеризующий соответствие информации потребностям решаемой задачи;
- толерантность – показатель, характеризующий удобство восприятия информации в процессе решения задачи.
Виды информации:
По содержанию: семантическая, признаковая.
По теории информации: физиологическая, биологическая, социальная.
По отношению к объекту: внешняя, внутренняя.
По отношению к обработке информации в технических средствах: исходная, вспомогательная, программная, нормы, методички, справочные руководства, производная, алгоритмы, задачи, на основании которых производится обработка.
Существуют различные классификации информации. Рассмотрим несколько из них.
По степени полезности информация делится на:
- истинная,
- нейтральная,
- вредная.
По формам предоставления, по носителям информации:
- документированная,
- недокументированная.
По праву собственности:
- государственная,
- негосударственная.
По характеру защищаемой тайны:
- информация ограниченного доступа
гос.тайна (С, СС, ОВ),
сведения конфиденциального характера (промышленные экономические интересы, ноу-хау, коммерческая, определяемая общественными интересами, деятельность, связанная с профессиональной деятельностью, определяемая личностными интересами (персональные данные, авторское право)),
коммерческая тайна – грифы конфиденциальности),
- неограниченная.
Процесс передачи информации от источника к получателю называется информационным процессом.
Средства вычислительной техники (СВТ) – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем; разрабатываются как элементы, подсистемы АС.
Автоматизированная система (АС) – система, состоящая из персонала и комплекса автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
АС состоит из следующих компонентов:
- персонал;
- технические средства (ОТСС, ВТСС);
- инженерные конструкции (выделенные помещения, защищаемые помещения, режимные помещения (помещения, в которых расположены хранилища ЗИ, производится обработка, производственные участки));
- средства, обеспечивающие защиту информации;
- средства контроля эффективности.
Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях.
Основные технические средства и системы (ОТСС) – технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации.
Согласно ГОСТ Р51275-99, совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объектов информатизации, помещений или объектов, в которых они установлены или сами помещения или объекты, которые предназначены для ведения конфиденциальных переговоров, называются объектом информатизации.
Совокупность ТС и ПО, обеспечивающие автоматизированную обработку информации, методов обработки и действий персонала, называются системой обработки информации.
Совокупность ТС и систем, их коммуникаций, не предназначенных для обработки информации, но устанавливаемых совместно со средствами обработки на объектах информатизации, называются средствами обеспечения объекта информатизации.