Основными принципами обеспечения информационной безопасности в АСОИ являются следующие .
1. Системности.
2. Комплексности.
3. Непрерывности защиты.
4. Разумной достаточности.
5. Гибкости управления и применения.
6. Открытости алгоритмов и механизмов защиты.
7. Простоты применения защитных мер и средств.
Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.
Принцип комплексности. В распоряжении специалистов по информационной безопасности (ИБ) имеется широкий спектр мер, методов и средств защиты компьютерных систем. Принцип комплексности предполагает согласование работы разнородных СЗИ при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ, покрытие ими всех существенных каналов реализации угроз.
Принцип непрерывности защиты . Защита информации – это не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.
Принцип разумной достаточности . Создать абсолютно защищенную систему защиты принципиально невозможно, взлом системы – это вопрос только времени и средств. Например, любые средства криптографической защиты не гарантируют абсолютной стойкости, а обеспечивают конфиденциальность информации в течение приемлемого для защищающейся стороны времени. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.
Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень ее защищенности. При определенных условиях функционирования АС, СЗИ, обеспечивающие ее защищенность могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.
Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.
Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.
Опыт противодействия угрозам безопасности и построения систем управления информационными рисками, использование системного подхода к анализу защищенных информационных систем позволил сформулировать основные научно-практические принципы обеспечения информационной безопасности.
- Обеспечение информационнойбезопасностивыполняетсяв соответствии с политикой управления информационными рисками, разработка и реализация которой осуществляется под непосредственным руководством первых лиц предприятия, с привлечением менеджмента соответствующих служб и отделов.
- Архитектура системы управления информационными рисками (СУИР) обеспечивает оптимальный (рациональный) баланс затрат на управление информационными рисками и общего ущерба от информационных рисков.
- Система управления информационными рисками является централизованной и реализует единую политику управления.
- Безопасность информации достигается за счет комплексного использования нормативных, экономических и организационных мер, технических, программных и криптографических средств.
- Система управления должна быть многоуровневой (многорубежной) и равнозащищенной во всех звеньях.
- Непрерывность функционирования на всех жизненных циклах системы.
- Разграничение и ограничение доступа персонала к информации.
- Способность системы к развитию и адаптации к изменению условий функционирования.
- Наличие системы непрерывного мониторинга за выполнением всем персоналом установленных правил работы в информационной системе.
- Мониторинги аудит эффективности системы и своевременная ее модернизация.
Политика предприятия должна соответствовать требованиям российского законодательства. Политика управления информационными рисками отражается в официально принимаемой программе управления информационными рисками предприятия . Для государственных организаций безопасность информации обеспечивается в соответствии с требованиями национальных стандартов и других руководящих документов государственных организаций – регуляторов сферы информационной безопасности государства. На государственном уровне политика в области информационной безопасности изложена в "Доктрине информационной безопасности Российской Федерации", утвержденной Указом Президента Российской Федерации в 2000 году.
Второй принцип определяет сущность экономических методов управления информационными рисками, которая заключается в необходимости учета соотношения выделяемых денежных средств на обеспечение безопасности информации и ожидаемым общим ущербом от нарушения безопасности информации. Решение, близкое к оптимальному, получается в случае равенства затрат на управление информационными рисками величине соответствующего общего ущерба.
Система управления информационными рисками предприятия должна быть иерархической централизованной для обеспечения единой политики управления во всех подразделениях (в том числе и территориально разнесенных).
Не существует одного метода или средства, которые могли бы обеспечить 100% защиту от угроз безопасности информации. Для повышения эффективности системы необходимо комплексно использовать комбинации методов и средств защиты различной природы и принципов действия. При этом следует иметь ввиду, что основой для создания системы защиты является нормативная правовая база, а все средства защиты будут эффективны, если в системе налажено согласованное выполнение организационных мер, алгоритмов и действий всеми сотрудниками.
Высокая защищенность информационной системы достижима только при использовании многоуровневой системы защиты от угроз. В таких системах злоумышленнику потребуется преодолеть несколько барьеров на пути к информации.
Важно при построении СУИР исключить наличие слабых звеньев в системе защиты. Злоумышленник постарается найти наименее защищенный элемент системы защиты для выполнения своего замысла. Поэтому надежность всей системы защиты определяется надежностью самого слабого элемента. Это справедливо и для случайных угроз. Прорыв водозащитной дамбы, пробой электроизоляционных материалов, воспламенение горючих материалов имеют место в наименее защищенных местах.
В период эксплуатации информационной системы, независимо от режима работы и временных рамок, она должна быть соответствующим образом защищена от возможных угроз безопасности информации. Непрерывность защиты распространяется также на все этапы работы с информацией – ввод, хранение, обработка, выдача, передача.
Одним из основных принципов обеспечения информационной безопасности является ограничение и разграничение доступа персонала к важной информации. Каждому сотруднику должны делегироваться минимально возможные права по доступу к ресурсам системы в строгом соответствии с его функциональными обязанностями.
Принцип развития и адаптивности СУИР предусматривает возможность модернизации системы, а также способность системыа автоматическом или автоматизированном режиме приспосабливатьсяк изменяющимся условиям функционирования (появлению новых угроз, изменению режимов работы, расширению функциональности системы и т. д.).
Важно, чтобы все сотрудники знали, что их действия в информационной системе могут быть в любой момент времени проконтролированы, а часть наиболее ответственных действий и событий задокументированы. Наиболее ответственные операции должны выполняться под непосредственным контролем соответствующих должностных лиц или комиссий. Система мониторинга работы системы позволяет эффективно расследовать инциденты в информационной системе.
Руководство предприятием обязано организовать мониторинг и периодический аудит эффективности функционирования СУИР и, при необходимости, своевременно обеспечить модернизацию системы.
Основными принципами обеспечения информационной безопасности в АСОИ являются :
1. Системность.
2. Комплексность.
3. Непрерывность защиты.
4. Разумная достаточность.
5. Гибкость управления и применения.
6. Открытость алгоритмов и механизмов защиты.
7. Простота применения защитных мер и средств.
Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.
Принцип комплексности предполагает согласование работы разнородных систем защиты информации (СЗИ) при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ.
Принцип непрерывности защиты учитывает то, что защита информации не есть разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.
Принцип разумной достаточности опирается на то, что создать абсолютно защищенную систему принципиально невозможно, взлом системы есть вопрос только времени и средств. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.
Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень защищенности автоматизированной системы (АС). При определенных условиях функционирования АС СЗИ, обеспечивающая ее защищенность может обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.
Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.
Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.
Основные принципы информационной безопасности
Информатика, кибернетика и программирование
Основные принципы информационной безопасности Под безопасностью автоматизированной информационной системы организации (учреждения) понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс функционирования, а та...
А также другие работы, которые могут Вас заинтересовать |
|||
| 79926. | Ток-шоу «Твоє життя – твій вибір» | 70 KB | |
| Ведуча Вітаю всіх присутніх і зацікавлених в проблемі що обговорюватиметься сьогодні. В зеленому секторі їхні опоненти які вважають що алкоголь тютюн і наркотики неприємлимі в будьякій кількості за будьяких обставин ведуча представляє учасників та проблеми над якими вони працювали. | |||
| 79927. | Тренинг личностного роста «Я – реальный» и «Я - идеальный» | 56 KB | |
| Цель. Помочь участникам тренинга лучше узнать себя, осознать важность позитивного принятия своего «Я», свои сильные стороны, способствовать развитию чувства собственного достоинства, умений и навыков делать самоанализ, преодолевать психологические барьеры, мешающие полноценному самовыражению. | |||
| 79928. | Славу человеку создает труд | 44 KB | |
| Дом не построить без топора. Стену не покрасить без кисти. Дорогу в заснеженной тайге не проложить без могучего бульдозера. И всё-таки не одно дело не обходиться без умелых и крепких рабочих рук. Игла лишь тогда заскользит по шитью, когда она в руках мастерицы. | |||
| 79929. | Комбіновані роботи. Конструювання найпростіших виробів, іграшок за допомогою засвоєних раніше технологій аплікації. Практична робота: виготовлення аплікації «Великодній кошик» | 37.5 KB | |
| Мета. Розповісти про звичаї та обряди святкування Великодня, навчити виготовляти аплікацію з паперу на картоні, гармонійно підбирати кольори, розвивати уяву, фантазію, виховувати старанність, акуратність, любов і повагу до праці, до народних традицій. | |||
| 79930. | Робота з природним матеріалом. Аплікація із засушеного листя | 34 KB | |
| Мета: навчити милуватися красою довкілля, вміти образно уявляти листочок; розвивати художній смак, мислення, пробуджувати пізнавальні інтереси, сприяти розширенню кругозору дітей; виховувати почуття відповідальності, любов до природи. | |||
| 79931. | ОБЩИЕ ПОЛОЖЕНИЯ, СИСТЕМА И ВИДЫ ОБЯЗАТЕЛЬСТВ | 85 KB | |
| Обязательства представляют собой типичные относительные правоотношения. Поскольку обязательства оформляют процесс товарообмена они относятся к группе имущественных отношений неимущественного характера которые не могут обретать форму обязательств. Например невозможно существование обязательства по защите чести и достоинства гражданина или выдаче патента. Участники обязательства именуются кредитором или верителем crego верю и должником. | |||
| 79932. | Договор поставки и контрактации, поставка для государственных нужд | 88.5 KB | |
| Договор поставки и контрактации поставка для государственных нужд Действующим законодательством договор поставки отнесен к разновидностям куплипродажи и этот факт отдельные исследователи называют необоснованным поскольку единственное что объединяет поставку и куплюпродажу это их правовая цель т. Разберемся в сущности и особенностях договора поставки. В соответствии с действующим законодательством договор поставки гражданскоправовой договор по которому поставщик т. Ключевой особенностью договора поставки выступает тот факт... | |||
| 79933. | Торговые договоры | 73.5 KB | |
| Торговые договоры. Договор поручения По договору поручения поверенный обязуется совершать от имени и за счет доверителя определенные юридические действия ст. Помимо юридических действий поверенный совершает и фактические действия но они носят сопутствующий не основной характер поэтому не изменяют квалификацию договора. Права и обязанности поверенного определяются договором а также доверенностью которую доверитель обязан выдать поверенному ст. | |||
| 79934. | Внешнеторговая деятельность. Регулирование внешнеторговых отношений | 60 KB | |
| Под ней понимается предпринимательская деятельность в области международного обмена товарами работами услугами информацией результатами интеллектуальной деятельности. Существенные условия контракта: наименование товара его обозначение; количество товара или порядок его определения... | |||
Информационная безопасность - состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.
Информационная безопасность – это процесс обеспечения конфиденциальности, целостности и доступности информации.
Под безопасностью информационной системы страны понимается ее защищен- ность от случайного или преднамеренного вмешательства в процесс ее функциониро- вания, от попыток хищения, модификации, разрушения ее компонентов. Безопасность системы достигается обеспечением конфиденциальности обрабатываемой ею инфор- мации, а также целостности и доступности компонентов и ресурсов системы. Эффекти- вность системы управления информационными ресурсами и их защитой в значитель- ной мере определяет общий уровень государственной безопасности, а любые недостат- ки в структуре и функционировании системы управления этими процессами приводят к серьезным социальным, экономическим, политическим последствиям.
Принципы:
· Актуальность проблемы обеспечения безопасности информационных технологий. Место и роль автоматизированных систем в управлении бизнес-процессами. Основные причины обострения проблемы обеспечения безопасности информационных технологий.
· Основные понятия в области безопасности информационных технологий. Что такое безопасность информационных технологий. Информация и информационные отношения. Субъекты информационных отношений, их интересы и безопасность, пути нанесения им ущерба. Основные термины и определения. Конфиденциальность, целостность, доступность. Объекты, цели и задачи защиты автоматизированных систем и циркулирующей в них информации.
· Угрозы безопасности информационных технологий. Уязвимость основных структурно-функциональных элементов распределенных автоматизированных систем. Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений. Основные источники и пути реализации угроз. Классификация угроз безопасности и каналов проникновения в автоматизированную систему и утечки информации. Основные непреднамеренные и преднамеренные искусственные угрозы. Неформальная модель нарушителя.
· Виды мер и основные принципы обеспечения безопасности информационных технологий. Виды мер противодействия угрозам безопасности. Достоинства и недостатки различных видов мер защиты. Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе.
· Правовые основы обеспечения безопасности информационных технологий. Законы Российской Федерации и другие нормативные правовые акты, руководящие и нормативно-методические документы, регламентирующие отношения субъектов в информационной сфере и деятельность организаций по защите информации. Защита информации ограниченного доступа, права и обязанности субъектов информационных отношений. Лицензирование деятельности, сертификация средств защиты информации и аттестация объектов информатизации. Требования руководящих документов ФСТЭК России и ФСБ России. Вопросы законности применения средств криптографической защиты информации. Ответственность за нарушения в сфере защиты информации.
· Государственная система защиты информации. Состав государственной системы защиты информации. Организация защиты информации в системах и средствах информатизации и связи. Контроль состояния защиты информации. Финансирование мероприятий по защите информации.
· Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты. Идентификация и аутентификация пользователей. Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированных систем. Регистрация и оперативное оповещение о событиях безопасности. Криптографические методы защиты информации. Контроль целостности программных и информационных ресурсов. Обнаружение атак. Защита периметра компьютерных сетей. Управление механизмами защиты.
