Безпека інформації
Вивчення особливостей набору заходів для запобігання порушенням безпеки інформації. Розгляд процесу інтеграції засобів забезпечення безпеки із серверними додатками microsoft. Аналіз механізму управління електронними технологіями міжнародної компанії.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | лекция |
Язык | украинский |
Дата добавления | 21.07.2017 |
Размер файла | 98,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
1. Планування захисту економічної інформації
Під системою захисту інформаційної системи розуміють єдину сукупність правових і морально-етичних норм, організаційних, технологічних і програмно-технічних заходів і програмно-технічних засобів, спрямованих на протидію загрозам інформаційній системі з метою зведення до мінімуму можливого збитку користувачам і власникам систем.
Для організації надійного захисту економічної інформації у міжнародній компанії необхідно чітко уявляти, яких саме порушень понад усе слід позбутися. Найжорсткішим має бути захист від корисливих проникнень. Останні, якщо вони мають місце з боку службовців, можуть бути викликані образою, незадоволенням своїм службовим, матеріальним становищем або вказівкою інших осіб. Збиток, як правило, тим більше, чим вище щабель, на якому перебуває користувач у службовій ієрархії. Незрівнянно більший збиток, ніж звичайний користувач, може завдати оператор або програміст інформаційної системи. По кількості інсайдерів лідирують США. У компанії Symantec відзначають, що як мінімум половина американських компаній так чи інакше мала справу з інсайдерами. В середньому кожен другий ПК у середній американській компанії використовується співробітниками частково не по призначенню.
Набір заходів для запобігання порушенням безпеки інформації різноманітний і залежить від природи спонукальних мотивів. Такий набір може передбачати відповідну підготовку користувачів, підтримку здорового робочого клімату в колективі, ретельний добір персоналу, своєчасне виявлення потенційних зловмисників і т. ін. Також у цьому випадку можна скористатися новими програмними засобами захисту від атак інсайдерів, наприклад, системою захисту, виготовленою міжнародною компанією InfoWatch. Ця система дозволяє здійснювати контроль над найбільш розповсюдженими шляхами витоку інформації, моніторинг доступу співробітників до корпоративних інформаційних ресурсів та збереження журналів аудиту каналів розповсюдження інформації [83].
Організовуючи захист інформаційної системи, бажано визначити можливість здійснення кожного конкретного виду загрози та розмір потенційного збитку, якого зазнають користувачі і власники інформаційної системи, якщо загроза реалізується.
У розв'язанні проблеми безпеки інформаційної системи склалися два підходи, які можна умовно назвати фрагментарним і комплексним.
Фрагментарний підхід, що зорієнтований на протидію строго визначеним загрозам за певних умов, передбачає застосування, наприклад, спеціалізованих та автономних засобів шифрування тощо. Шифруванням займається багато відомих міжнародних компаній, серед яких виділяються Cisco та RSA, послугами яких користується багато користувачів світу, і які об'єднали зусилля для виробництва нової технології у галузі інформаційної безпеки, за допомогою якої буде відбуватися управління процесом шифрування на різних пристроях збереження інформації: дисках, стрічкових накопичувачах та віртуальних бібліотеках. Ця технологія може успішно працювати у сітьовому режимі. Головна перевага фрагментарного підходу полягає в його високій варіативності захисту проти конкретної загрози. Але йому властивий і такий недолік, як локальність дії, тобто фрагментарні методи забезпечують ефективний захист конкретних об'єктів інформаційної системи від конкретної загрози, але не більше того. Навіть невеличка видозміна загрози призводить до втрати ефективності захисту.
За комплексного підходу поєднуються різнорідні заходи протидії загрозам (правові, організаційні, програмно-технічні і т. ін.) У цілому в комплексі усі ці заходи формують політику безпеки економічної інформації.
Комплексний підхід ефективний для захисту значних інформаційних систем, порушення безпеки яких може завдати величезного матеріального збитку. Але комплексний підхід придатний і для невеличких інформаційних систем, які обробляють особливо цінну інформацію або виконують відповідальні завдання.
Комплексного підходу дотримується більшість державних і значних комерційних підприємств і установ. Він знаходить висвітлення в різноманітних стандартах. Недоліками комплексного підходу є складність управління й обмеження на свободу дій користувачів інформаційної системи. Яскравим прикладом комплексного підходу до захисту інформаційної системи є сімейство продуктів для забезпечення безпеки бізнесу Microsoft Forefront для сітьової структури, створене міжнародною компанією Microsoft. Одною з переваг цього сімейства є інтеграція засобів забезпечення безпеки із серверними додатками Microsoft та існуючою інфраструктурою.
Побудова систем захисту передбачає ряд етапів, подібних до етапів створення самих інформаційних систем. Зокрема, до них належать:
- аналіз можливих загроз інформаційній системі;
- розробка системи захисту;
- реалізація системи захисту;
- супровід системи захисту.
На етапі аналізу можливих загроз безпеці інформаційній системі, виходячи з її стану на даний момент, визначають можливі збурюючи дії щодо кожного елементу системи захисту. Побудова абсолютно надійної системи захисту, напевно, неможлива. Тому з усієї множини впливів вибираються лише ті, що можуть реально відбутися і завдати найбільш серйозного збитку.
Управляти електронними ресурсами міжнародної компанії не можна без запобіжних заходів безпеки (рис.).
На етапі розробки можливе комплексне використання таких видів захисту, як правові, морально-етичні, адміністративні, фізичні та технічні правила.
До правових заходів належать чинні в країні закони, укази, положення міжнародних організацій, нормативні акти, що регламентують правила взаємодії з інформацією обмеженого використання і відповідальність за їх порушення. Ці заходи відіграють роль стримуючого чинника для потенційних порушень.
Механізм управління електронними технологіями міжнародної компанії
До морально-етичних заходів протидії належать всілякі норми поведінки, що традиційно склалися раніше, виникають або спеціально розробляються в міру поширення ЕОМ та інформаційної системи в країні й у світі. Морально-етичні норми можуть бути неписані (наприклад, чесність) або оформлені у певний перелік правил чи розпоряджень. Ці норми, як правило, не є законодавчо затвердженими, але оскільки їхнє недотримання призводить до падіння престижу організації, вони є обов'язковими до виконання. інформація microsoft електронний
Адміністративні заходи захисту -- це заходи організаційного характеру, що регламентують процеси функціонування інформаційної системи, використання її ресурсів, діяльність персоналу і т. ін. Мета цих заходів -- найбільшою мірою виключити можливість реалізації загроз безпеці. До переліку адміністративних заходів можна віднести такі:
- розробка правил обробки інформації в інформаційній системі;
- організація захисту від установки апаратури прослухування в приміщеннях обчислювального центру або розташування АРМ;
- ретельний відбір персоналу;
- організація обліку, збереження, використання і знищення документів та носіїв із конфіденційною інформацією;
- розподіл реквізитів розмежування доступу (паролів, профілів повноважень і т. ін.);
- організація прихованого контролю за роботою користувачів і персоналу інформаційної системи;
- інші заходи.
Фізичні заходи захисту -- це різного роду механічні, електро- або електронно-механічні пристрої і будови, призначені для створення фізичних перешкод на можливих шляхах проникнення й доступу потенційних порушників до компонентів захисту інформації.
Технічними (апаратно-програмними) засобами захисту називаються різноманітні електронні й спеціальні програми, що виконують функції захисту. Серед таких функцій відзначимо такі: ідентифікація й аутентифікація (відповідність вимогам на вірність) користувачів або процесів, розмежування і контроль доступу до ресурсів, реєстрація й аналіз подій, криптографічний захист інформації (шифрування даних), резервування ресурсів і компонентів інформаційної системи.
До апаратно-програмних заходів належать антивірусні програми. Велику популярність на ринку програмних продуктів завоювали антивірусні програми лабораторії Касперського. Ці програми використовуються для боротьби з різними видами вірусів. Так, зараз у зв'язку з виникненням нової загрози ураження мобільних телефонів ця лабораторія та компанія PlayMobile (холдинг Next Media Group) запускають на російському ринку новий сервіс -- антивірусний захист мобільних телефонів. Високоефективним засобом боротьби зі шкодоносними програмами на ПК, ноутбуках, серверах є недавно випущена оновлена версія Symantec Endpoint Protection антивірусного продукту Symantec [316], яка виготовляється однойменною міжнародною компанією. Крім захисту від вірусів ця програма забезпечує захист від шпіонського ПЗ, міжсітьовий екран, систему запобігання вторгнення, охорону від шкодоносних об'єктів віддалених робочих місць. Вичерпний набір функцій рішень для безпеки бездротових мереж представлено також відомою компанією Cisco. Іспанський виробник програмних продуктів для інформаційної безпеки Panda Software представив рішення для захисту смартфонів. Фінальна версія продукту буде здійснювати автоматичні оновлення, крім того, кожний користувач зможе отримати повну технічну підтримку, включаючи службу порятунку від вірусів для аналізу підозрілих файлів. Одним з найкращих антивірусних продуктів 2006-2007 року вважається NOD32. Він здійснює збалансований захист від загроз персонального комп'ютера від вірусів, черв'яків, троянських, шпигунських та інших шкідливих програм. Також він забезпечує захист корпоративних мереж, централізоване оновлення, інструменти дистанційного адміністрування та керування захистом всієї мережі з одного робочого місця. Серверна версія NOD32 дозволяє захищати поштові та файлові сервери. Найкращі результати досягаються за умови системного підходу до проблем безпеки інформаційної системи і комплексного використання заходів захисту на всіх етапах життєвого циклу системи, починаючи з ранніх стадій її проектування. Проте там, де це можливо, інші заходи треба замінити більш надійними сучасними фізичними й технічними засобами.
Вартісне вираження ймовірної події, що веде до втрат, називають ризиком. Процес оцінювання ступеня ризику за спеціальними методиками у випадку здійснення того чи іншого варіанта загроз називають аналізом ризику.
У процесі аналізу ризику вивчають компоненти інформаційної системи, що можуть зазнати посягань на їх безпеку, визначають уразливі місця системи, оцінюють можливість реалізації для кожної конкретної загрози та очікувані розміри відповідних втрат, вибирають можливі методи захисту й обчислюють їхню вартість. На заключному етапі оцінюється зиск від застосування пропонованих заходів захисту. Цей зиск може мати як позитивний, так і негативний знак: у першому випадку -- йдеться про очевидний виграш, а у другому -- про додаткові витрати для гарантування власної безпеки.
Виходячи з результатів цього аналізу, приймають рішення про доцільність тих або інших заходів захисту. В остаточному підсумку складається план захисту, формується політика безпеки.
План захисту містить такі розділи:
- поточний стан системи;
- рекомендації щодо реалізації системи захисту;
- відповідальність персоналу;
- порядок запровадження засобів захисту;
- порядок перегляду плану засобів захисту та їх складу. Політика безпеки -- це комплекс законів, правил і практичних рекомендацій, на основі яких будується управління, захист і розподіл критичної інформації в системі. Політика безпеки являє собою деякий набір вимог, що пройшли відповідну перевірку і реалізуються за допомогою організаційних заходів і програмно-технічних засобів та визначальної архітектури системи захисту. Для конкретних організацій політика безпеки має бути індивідуальною. Вона залежить від конкретної технології обробки інформації, використовуваних програмних і технічних засобів, розташування організації і т. ін.
Размещено на Allbest.ru
...Подобные документы
Вразливість інформації в автоматизованих комплексах. Концепція захисту інформації. Комплекс основних задач при розробці політики безпеки. Стратегія та архітектура захисту інформації. Політика безпеки інформації. Види забезпечення безпеки інформації.
реферат [243,2 K], добавлен 19.12.2010Забезпечення захисту інформації. Аналіз системи інформаційної безпеки ТОВ "Ясенсвіт", розробка моделі системи. Запобігання витоку, розкраданню, спотворенню, підробці інформації. Дослідження та оцінка ефективності системи інформаційної безпеки організації.
курсовая работа [1,6 M], добавлен 27.04.2014Аналіз існуючих методів несанкціонованого отримання інформації та заходів щодо протидії їм. Детальних огляд їх властивостей і можливостей впровадження на підприємстві. Наслідки недотримання правил захисту інформації від несанкціонованого отримання.
курсовая работа [36,5 K], добавлен 19.11.2014Дослідження криптографічних методів захисту даних від небажаного доступу. Основи безпеки даних в комп'ютерних системах. Класифікаційні складові загроз безпеки інформації. Характеристика алгоритмів симетричного та асиметричного шифрування інформації.
курсовая работа [245,8 K], добавлен 01.06.2014Широке використання інформаційних технологій у всіх сферах життя суспільства. Інформація як об’єкт захисту. Основні види загроз безпеки інформації в комп’ютерних мережах. Несанкційований доступ до інформації і його мета. Порушники безпеки інформації.
реферат [253,2 K], добавлен 19.12.2010Терміни та визначення в галузі інформаційної безпеки, напрями її забезпечення (правовий, організаційний, інженерно-технічний). Захист інформації у комп’ютерних системах. Види загроз та можливі наслідки від їх реалізації. Суб’єкти та об’єкти захисту.
презентация [481,4 K], добавлен 21.10.2014Обґрунтовано важливість та необхідність забезпечення кібернетичної безпеки підприємства. Виявлено основні загрози при незабезпеченні підприємством своєї кібернетичної безпеки. Розмежовано поняття аналіз та діагностика економічної безпеки підприємства.
статья [349,6 K], добавлен 31.08.2017Принципи, цілі та завдання, напрямки робіт із захисту інформації. Суб'єкти системи захисту інформації у Російській Федерації. Основні організаційно-технічні заходи, об'єкти та засоби захисту інформації. Види загроз безпеки, матеріальні носії інформації.
реферат [23,6 K], добавлен 27.03.2010Особливість криптографічного захисту інформації. Огляд зарубіжного законодавства в області інформаційної безпеки. Механізми аудита і протоколювання облікові записи. Характеристика комп'ютерних вірусів. Антивірусне програмне забезпечення для компанії.
практическая работа [2,3 M], добавлен 16.11.2022Основи безпеки даних в комп'ютерних системах. Розробка програми для забезпечення захисту інформації від несанкціонованого доступу: шифрування та дешифрування даних за допомогою криптографічних алгоритмів RSA та DES. Проблеми і перспективи криптографії.
дипломная работа [823,1 K], добавлен 11.01.2011Здійснення адміністративних заходів з метою формування програми робіт в області інформаційної безпеки і забезпечення її виконання. Основні рівні політики безпеки, структурування її програми та синхронізація з життєвим циклом інформаційного сервісу.
презентация [144,4 K], добавлен 14.08.2013Офісна техніка: комунікаційна, копіювально-множильна, багатофункціональні пристрої, шредери, ламінатори. Програмне забезпечення для сканування інформації і обробки документів ABBYY FineReader і Microsoft Word 2007. Охорона праці і техніка безпеки.
курсовая работа [36,1 K], добавлен 20.05.2011Склад та вимоги до профілів захищеності інформації. Аналіз найбільш поширених загроз Web-сторінкам. Класифікація вразливостей і атак. Автоматичне сканування Web-додатків. Сканер вразливостей Nikto-online, особливості та ефективність його роботи.
курсовая работа [3,7 M], добавлен 18.05.2015Описання видів загроз безпеки інформації. Комп’ютерні віруси як особливий клас руйнуючих програмних дій, їх життєвий цикл та стадії виконання. Засоби і методи захисту інформації у комп’ютерних системах, механізм їх дії. Класифікація антивірусних програм.
курсовая работа [48,9 K], добавлен 28.09.2011Мета і призначення комплексної системи захисту інформації. Загальна характеристика автоматизованої системи установи та умов її функціонування. Формування моделей загроз інформації та порушника об'єкта інформаційної діяльності. Розробка політики безпеки.
курсовая работа [166,9 K], добавлен 21.03.2013Місце та роль критеріїв інформаційної безпеки в виборі та комплектуванні апаратно-програмної конфігурації. Етапи та методика проектування бази даних, що відповідає вимогам політики безпеки, гарантованості, підзвітності та чіткої документованості.
курсовая работа [51,1 K], добавлен 26.02.2009Основні поняття безпеки інформаційних технологій. Законодавчі вимоги і регулювання інформаційної безпеки в мережах. Класифікація шкідливих програм. Приклади цінності інформації. Методи шахрайства. Програмний захист від витікання інформаційних даних.
курсовая работа [171,9 K], добавлен 08.12.2015Розгляд засобів конфіденційності інформації, яка міститься в документованому середовищі систем дистанційного навчання. Запропоновані способи поліпшення надійності та захищеності документованої інформації, які базуються на захисті доступу до інформації.
статья [197,4 K], добавлен 22.02.2018Визначення сутності, видів та конфіденційності інформації. Характеристика програмних та технічних засобів забезпечення її захисту. Особливості складання сайту електронної комерції з продажу музичних дисків. Основні маркетингові заходи для просування.
контрольная работа [2,6 M], добавлен 24.02.2010Функціонування єдиного реєстру доручень, посвідчених у нотаріальному порядку. Поняття та види правової інформації. Застосування програмних та технічних засобів, придатних для створення промислових систем. Основні шляхи порушення безпеки інформації.
контрольная работа [37,6 K], добавлен 20.07.2011