Безопасность электронной коммерции

Размещено на http://www.allbest.ru

Содержание

1. Безопасность электронной коммерции

2. Шифрование данных

3. Выявление вторжений

4. Защита данных сайта

5. Объекты защиты в системе обеспечения безопасности электронной коммерции. Модель потенциального нарушителя

6. Модель потенциального нарушителя

Заключение

транзакция шифрование протокол

1. Безопасность электронной коммерции

Наибольшей потенциальной угрозой является несанкционированное получение персональных данных при использовании открытых каналов связи Интернет. Для обеспечения необходимой безопасности следующие выполнить следующие три условия:

- исключить возможность перехвата персональной или банковской информации во время транзакции;

- исключить возможность извлечения этой информации из баз данных;

- исключить возможность использовать "украденную" информацию в собственных целях.

Для защиты от перехвата, для защиты информации во время транзакции используют как симметричные, так и ассиметричные крипто -алгоритмы. Вместе с тем используются дополнительные каналы связи отличные от Интернет - каналов: факс, телефон, обычная почта и т.д.

Учитывая, что зарубежное и Российское законодательство приравнивает цифровую подпись к рукописной, широкое распространение получило аутентификация транзакций на основе концепции цифровой подписи.

При рассмотрении возможности перехвата интересующей информации, нельзя не исключить "человеческий фактор", поэтому одновременно с программно-аппаратными средствами необходимо использовать и организационные, обеспечивающие охрану информационных ресурсов, исключение шантажа, контроль за паролями и т.д.

Для защиты информации от перехвата используются протокол шифрования SSL (Secure Sockets Layer) и SET (Secure Electronic Transaction). Однако в основе SSL лежит схема асимметричного шифрования с открытым ключом, в качестве шифровальной схемы используется алгоритм RSA, ввиду технических особенностей этот алгоритм считается менее надежным. SET более защищенный протокол, но технологически сложный и дорогой. Поэтому его повсеместное внедрение не осуществляется и вопрос безопасности остается открытым. Оценивание информационных рисков компании является одной из важнейших задач аудита информационной безопасности корпоративных систем как сегмента сети Интернет. Она решается при помощи идентификации ресурсов, оценивания показателей значимости ресурсов, угроз, уязвимых мест в системе защиты информации и средств обеспечения информационной безопасности.

В рамках обеспечения комплексной информационной безопасности, прежде всего, следует выделить ключевые проблемы в области безопасности электронной коммерции, которые включают:

- Защиту информации при ее передаче по каналам связи; защиту компьютерных систем, баз данных и электронного документооборота;

- Обеспечение долгосрочного хранения информации в электронном виде;

- Обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.

Существует несколько видов угроз электронной коммерции:

- Проникновение в систему извне.

- Несанкционированный доступ внутри компании.

- Преднамеренный перехват и чтение информации.

- Преднамеренное нарушение данных или сетей.

- Неправильная (с мошенническими целями) идентификация пользователя.

- Взлом программно-аппаратной защиты.

- Несанкционированный доступ пользователя из одной сети в другую.

- Вирусные атаки.

- Отказ в обслуживании.

- Финансовое мошенничество.

Для противодействия этим угрозам используется целый ряд методов, основанных на различных технологиях, а именно: шифрование - кодирование данных, препятствующее их прочтению или искажению; цифровые подписи, проверяющие подлинность личности отправителя и получателя; технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети.

Ни один из методов защиты не является универсальным, например, брандмауэры не осуществляют проверку на наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической защиты, и ее взлом - это лишь вопрос времени. Но время взлома такой защиты, в свою очередь, зависит от ее качества. Надо сказать, что программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.

Угрозы подстерегают компанию, ведущую электронную коммерцию на каждом этапе:

- Подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам;

- Создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников);

- Перехват данных, передаваемых по сетям электронной коммерции;

- Проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина;

- Реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции.

Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.

С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет, получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.

В основе защиты информации лежит простая логика процессов вычисления цифровой подписи и ее проверки парой соответствующих ключей, впрочем, логика, базирующаяся на фундаментальных математических исследованиях. Вычислить цифровую подпись может только владелец закрытого ключа, а проверить - каждый, у кого имеется открытый ключ, соответствующий закрытому ключу.

Основные функциональные компоненты организации комплексной системы информационной безопасности:

- коммуникационные протоколы;

- средства криптографии;

- механизмы авторизации и аутентификации;

- средства контроля доступа к рабочим местам из сетей общего пользования;

- антивирусные комплексы;

- программы обнаружения атак и аудита;

- средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщений любых приложений по открытым сетям.

В Интернет уже давно существует целый ряд комитетов, в основном, из организаций - добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете.

В Интернете популярны протоколы безопасной передачи данных, SSL,SET, IP v.6. Перечисленные протоколы появились в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто.

Подобная осторожность объясняется не только консервативностью отечественных финансовых структур, опасающихся открытости и доступности Интернет, но, отчасти, и тем, что большинство программных средств защиты информации западных фирм-производителей поступают на наш рынок с экспортными ограничениями, касающимися реализованных в них криптографических алгоритмов. Например, в экспортных вариантах программного обеспечения WWW-серверов и браузеров, имеются ограничения на длину ключа для одноключевых и двухключевых алгоритмов шифрования, используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в Интернет.

Однако приложения электронной коммерции, кроме внутренних угроз, подвержены также и внешней опасности, исходящей от Интернет. И поскольку нерационально присваивать каждому анонимному посетителю отдельный идентификатор входа (так как приложение при этом не увеличивается), компаниям необходимо использовать другой вид аутентификации. Кроме того, необходимо подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную осторожность по отношению к критическим данным - например, таким, как номера кредитных карт.

2. Шифрование данных

На бизнес-сайте обрабатывается чувствительная информация (например, номера кредитных карточек потребителей). Передача такой информации по Интернет без какой-либо защиты может привести к непоправимым последствиям. Любой может подслушать передачу и получить таким образом доступ к конфиденциальной информации. Поэтому данные необходимо шифровать и передавать по защищенному каналу. Для реализации защищенной передачи данных используют протокол SSL.

Для реализации этой функциональности необходимо приобрести цифровой сертификат и установить его на ваш(и) сервер(а). За цифровым сертификатом можно обратиться в один из органов сертификации.

SSL представляет собой схему для таких протоколов, как HTTP (называемого HTTPS в случае его защищенности), FTP и NNTP. При использовании SSL для передачи данных данные зашифрованы, между сервером-источником и сервером назначения установлено защищенное соединение; активирована аутентификация сервера.

Когда пользователь отправляет номер кредитной карточки с применением протокола SSL, данные немедленно шифруются, так что хакер не может видеть их содержание. SSL не зависит от сетевого протокола.

Программное обеспечение сервера Netscape обеспечивает также аутентификацию - сертификаты и цифровую подпись, удостоверяя личность пользователя и целостность сообщений и гарантируя, что сообщение не меняло своего маршрута.

Аутентификация подразумевает подтверждение личности пользователя и цифровой подписи для проверки подлинности документов, участвующих в обмене информацией и финансовых операциях. Цифровая подпись представляет собой данные, которые могут быть приложены к документу во избежание подлога.

3. Выявление вторжений

Системы выявления вторжений (Intrusion Detection Systems, IDS) могут

идентифицировать схемы или следы атак, генерировать аварийные сигналы для предупреждения операторов и побуждать маршрутизаторы прерывать соединение с источниками незаконного вторжения. Эти системы могут также предотвращать попытки вызвать отказ от обслуживания.

4. Защита данных сайта

Для защиты данных сайта необходимо проанализировать данные, используемые сайтом, и определить политику безопасности. Эти данные могут представлять собой HTML-код, подробности о клиентах и продуктах, хранящиеся в базе данных, каталоги, пароли и другую аутентификационную информацию. Вот несколько основных принципов, которые можно использовать при определении политики безопасности данных:

Необходимо держать чувствительные данные за внутренним брандмауэром, в защищенной внутренней сети. К чувствительным данным должно быть обеспечено минимальное число точек доступа. При этом необходимо помнить, что добавление уровней безопасности и усложнение доступа в систему влияет на работу системы в целом. Базы данных, хранящие низко чувствительные данные, могут располагаться на серверах DMZ. Пароли могут храниться после преобразования с помощью односторонних алгоритмов. Однако это делает невозможным реализацию общепринятой (и популярной) возможности обрабатывать сообщения типа "Я забыл мой пароль, пожалуйста, вышлите мне его по электронной почте", хотя при этом можно создать новый пароль и высылать его в качестве альтернативы.

Чувствительная информация - такая, как номера кредитных карт - может храниться в базах данных и после шифрования. Расшифровывать ее каждый раз при возникновении такой необходимости могут только авторизованные пользователи и приложения. Однако это также влияет на скорость работы системы в целом.

Можно защитить данные сайта и с помощью компонент среднего яруса. Эти компоненты могут быть запрограммированы для аутентификации пользователей, разрешая доступ к базе данных и ее компонентам только авторизованным пользователям и защищая их от внешних угроз.

Можно реализовать дополнительные функции безопасности серверной части системы. Например, для предотвращения несанкционированного внутреннего доступа к базе данных можно использовать пользовательские функции безопасности SQL Server.

Заметьте, что не менее важно защищать и резервные копии, содержащие информацию о потребителях.

Ситуация усугубляется еще и тем, что каждую неделю обнаруживаются все новые и новые способы проникновения или повреждения данных, следить за появлением которых в состоянии только профессиональные организации, специализирующиеся на информационной безопасности.

Интеграция коммерции в Интернет сулит кардинальное изменение положения с обеспечением безопасности. С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Поэтому прогресс в области безопасности информации во многом определяет развитие процесса электронной коммерции.

5. Объекты защиты в системе обеспечения безопасности электронной коммерции. Модель потенциального нарушителя

К информации ограниченного доступа можно отнести:

- Государственная тайна.:

- Коммерческая тайна ;

- Персональные данные

Доступ к общедоступной информации является открытым и ее использование не может нанести вреда участнику электронной коммерции. Что касается информации ограниченного доступа, то доступ к ней должен быть строго регламентирован, т.е. должно быть четко установлено, где, кем, в каком объеме и на каких условиях может быть осуществлено использование данной информации. Из этого следует, что информация ограниченного доступа должна подвергаться защите от воздействия различных событий, явлений, как внутренних так и внешних, способных в тои или иной мере нанести ущерб данной информации.

Под объектом защиты информации, понимается такой структурный компонент системы, в котором находится или может находиться подлежащая защите информация.

Объекты защиты должны соответствовать следующим условиям:

-Принадлежность к одному и тому же организационному компоненту ИС;

-Локализация (ограничение с точки зрения территориального расположения).

К объектам защиты в системе обеспечения безопасности электронной коммерции можно отнести:

-Рабочие станции пользователей;

-Рабочие станции администраторов;

-Серверы (сетевые, Баз Данных, приложений);

-Аппаратура связи (модемы, маршрутизаторы);

-Периферийные устройства (принтеры);

-Помещения (места установки оборудования, хранилища машинных носителей информации и т.д.).

Под элементом защиты подразумевается находящаяся в ИС совокупность данных, которая может содержать подлежащие защите сведения.

Элементы защиты специфицируются, как правило, для каждого отдельного объекта защиты. Так, по признаку локализации можно выделить следующие основные элементы защиты данных:

-Обрабатываемых в ЭВМ;

-На дискете;

-На локальном жестком диске рабочей станции;

-На жестком диске сервера;

-Обрабатываемы в аппаратуре связи;

-Передаваемы по каналу (линии) связи;

-Данные, выводимые из ЭВМ на периферийные устройства.

Таким образом, в системе обеспечения безопасности электронной коммерции должен осуществлять комплексный подход к защите ИС. Комплексный подход подразумевает использование единой совокупности законодательных, организационных и технических мер, направленных на выявление, отражение и ликвидации различных видов угроз информационной безопасности.

6. Модель потенциального нарушителя

В модели нарушителя определены четыре класса потенциальных нарушителей, каждый из которых характеризуется определённым уровнем квалификации и степенью преднамеренности выполняемых действий. Опишем такую классификацию для вирусной угрозы.

Нарушители, относящиеся к классу "Н-1", представляют собой пользователей, в результате непреднамеренных действий которых может произойти инфицирование его автоматизированной системы. Примерами таких действий являются скачивание из сети Интернет непроверенных файлов и запуск их на локальном компьютере.

Нарушители класса "Н-2" выполняют преднамеренные действия, однако для проведения вирусной атаки используются известные экземпляры вредоносного кода, а также опубликованные уязвимости программного обеспечения.

Класс нарушителей "Н-3" предполагает наличие у злоумышленника более высокого уровня квалификации, что даёт ему возможность использовать вредоносный код, который может детектироваться не всеми антивирусными продуктами.

Нарушители класса "Н-4" являются наиболее опасными и обладают достаточной квалификацией для разработки вредоносного кода, который не обнаруживается антивирусными программными продуктами.

Необходимо отметить, что в рамках описанной модели предполагается, что нарушители "Н-2", "Н-3" и "Н-4" являются внешними по отношению к атакуемой рабочей станции, обладают минимум информации об автоматизированной системе пользователя.

Общая характеристика описанной модели нарушителя для любого вида угроз приведена в таблице ниже.

Модель потенциального нарушителя антивирусной безопасности

№	Класс нарушителя	Степень преднамеренности действий нарушителя	Уровень квалификации нарушителя
1	Класс "Н-1"	Непреднамеренные действия	-
2	Класс "Н-2"	Преднамеренные действия	Низкий
3	Класс "Н-3"	Преднамеренные действия	Средний
4	Класс "Н-4"	Преднамеренные действия	Высокий

Заключение

Проблема информационной безопасности экономических объектов многоаспектна и нуждается в дальнейшей проработке. В современном мире информатизация становится стратегическим национальным ресурсом, одним из основных богатств экономически развитого государства. Быстрое совершенствование информатизации, проникновение ее во все сферы жизненно важных интересов личности, общества и государства повлекли помимо несомненных преимуществ и появление ряда существенных проблем. Одной из них стала необходимость защиты информации. Учитывая, что в настоящее время экономический потенциал все в большей степени определяется уровнем развития информационной инфраструктуры, пропорционально растет потенциальная уязвимость экономики по отношению к информационным воздействиям.

Реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации. С позиций системного подхода к защите информации необходимо использовать весь арсенал имеющихся средств защиты во всех структурных элементах экономического объекта и на всех этапах технологического цикла обработки информации. Методы и средства защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам.

Эффективность информационной безопасности означает, что затраты на ее осуществление не должны быть больше возможных потерь от реализации информационных угроз. Планирование безопасности информации осуществляется путем разработки каждой службой детальных планов защиты информации.

Необходима четкость в осуществлении полномочий и прав пользователей на доступ к определенным видам информации, в обеспечении контроля средств защиты и немедленного реагирования на их выход из строя.

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Информационная безопасность включает:

- Состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства;

- Состояние инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздействия на систему при ее использовании;

- Состояние информации, при котором исключается или существенно затрудняется нарушение таких ее свойств, как конфиденциальность, целостность и доступность;

-Экономическую составляющую (структуры управления в экономической сфере, включая системы сбора, накопления и обработки информации в интересах управления производственными структурами, системы общеэкономического анализа и прогнозирования хозяйственного развития, системы управления и координации в промышленности и на транспорте, системы управления энергосистем, централизованного снабжения, системы принятия решения и координации действий в чрезвычайных ситуациях, информационные и телекоммуникационные системы);

- Финансовую составляющую (информационные сети и базы данных банков и банковских объединений, системы финансового обмена и финансовых расчетов).

Обеспечение информационной безопасности должно начинаться с выявления субъектов отношений, связанных с использованием информационных систем.

Спектр их интересов может быть разделен на следующие основные категории:

- Доступность (возможность за приемлемое время получить требуемую информационную услугу),

- Целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения),

- Конфиденциальность (защита от несанкционированного ознакомления).

К объектам информационной безопасности на предприятии относят:

- Информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;

- Средства и системы информатизации - средства вычислительной и информационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а так же их информационные физические поля.

Система обеспечения безопасности информации включает подсистемы:

- компьютерную безопасность;

- безопасность данных;

- безопасное программное обеспечение;

- безопасность коммуникаций.

Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности, связанных с ним ресурсов.

Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении.

Безопасное программное обеспечение представляет собой общесистемные и прикладные программы и средства, осуществляющие безопасную обработку данных и безопасно использующие ресурсы системы.

Безопасность коммуникаций обеспечивается принятием мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.

Политика безопасности включает в себя анализ возможных угроз и выбор соответствующих мер противодействия, являющихся совокупностью тех норм, правил поведения, которыми пользуется конкретная организация при обработке информации и ее защите.

Угроза безопасности информации - события или действия, которые могут привести к искажению, неразрешенному использованию или к разрушению информационных ресурсов управления системы, а также программных и аппаратных средств.

Защита информации (ЗИ) - комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

Основные предметные направления ЗИ - охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.

Система - это совокупность взаимосвязанных элементов, подчиненных единой цели.

Признаками системы являются следующие:

1. Элементы системы взаимосвязаны и взаимодействуют в рамках системы.

2. Каждый элемент системы может в свою очередь рассматриваться как самостоятельная система, но он выполняет только часть функций системы.

3. Система как целое выполняет определенную функцию, которая не может быть сведена к функциям отдельно взятого элемента.

4. Подсистемы могут взаимодействовать как между собой, так и с внешней средой и изменять при этом свое содержание или внутреннее строение.

Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Система защиты информации представляет организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз

С позиций системного подхода к защите информации предъявляются определенные требования:

- Обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявления ее узких и слабых мест и противоправных действий;

- Безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах экономической системы и на всех этапах технологического цикла обработки информации;

- Планирование безопасности информации осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции;

- Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб; методы и средства защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам;

- Эффективность защиты информации означает, что затраты на ее осуществление не должны быть больше возможных потерь от реализации информационных угроз;

- Четкость определения полномочий и прав пользователей на доступ к определенным видам информации;

- Предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

- Сведение к минимуму числа общих для нескольких пользователей средств защиты;

- Учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

- Обеспечение степени конфиденциальной информации;

- Обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого система защиты информации может иметь:

- Правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы действия;

- Организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба безопасности, служба режима, служба защиты информации техническими средствами и др.

- Аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно системы защиты информации;

- Информационное обеспечение. Оно включает в себя документированные сведения (показатели, файлы), лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;

- Программное обеспечение. К нему относятся антивирусные программы, а также программы (или части программ регулярного применения), реализующие контрольные функции при решении учетных, статистических, финансовых, кредитных и других задач;

- Математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;

- Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации; нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации; эргономическое обеспечение. Совокупность средств, обеспечивающих удобства работы пользователей аппаратных средств защиты информации. Информацию различают по отраслям знаний: техническая, экономическая, биологическая и т.п.

Экономическая информация относится к области экономических знаний. Она характеризует процессы снабжения, производства, распределения и потребления материальных благ. В деятельности любой фирмы присутствует информационный ресурс -это документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных и др. ис), т.е. документированные знания. Информационные ресурсы в современном обществе играют не меньшую, а нередко и большую роль, чем ресурсы материальные. Знание- кому, когда и где продать товар может цениться на меньше, чем товар, и в этом плане динамика развития общества свидетельствует о том, что на "весах"материальных и информационных ресурсов последние начинают преобладать. Причем тем сильнее, чем белее общество открыто, чем более развиты в нем средства коммуникации, чем большей информацией оно располагает.

Основные этапы построения системы защиты заключаются в следующем: Анализ -> Разработка системы защиты (планирование) -> Реализация системы защиты -> Сопровождение системы защиты.

План защиты обычно содержит следующие группы сведений:

1. Политика безопасности.

2. Текущее состояние системы.

3. Рекомендации по реализации системы защиты.

4. Ответственность персонала.

5. Порядок ввода в действие средств защиты.

6. Порядок пересмотра плана и состава средств защиты.

Политика безопасности. Политика безопасности определяется как совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.

Размещено на Allbest.ru

...