Підсумки теми

1. При побудові системи захисту необхідно захищатися як від зовнішніх зловмисників, так і від зловмисників внутрішніх, тобто вибудовувати комплексну систему інформаційної безпеки.

2. Система інформаційної безпеки має включати такі заходи і технічні рішення по захисту:

від порушення функціонування інформаційного простору шляхом виключення дії на інформаційні канали і ресурси;

від несанкціонованого доступу до інформації шляхом виявлення і ліквідації спроб використання ресурсів інформаційного простору, що приводять до порушення його цілісності;

від руйнування вбудованих засобів захисту з можливістю доказу неправомочності дій користувачів і обслуговуючого персоналу;

від впровадження "вірусів" і "закладок" в програмні продукти і технічні засоби.

3. Формування політики ІБ повинне зводитися до наступних практичних кроків:

визначення і розробка керівних документів і стандартів у області ІБ, а також основних положень політики ІБ.

розробка методології виявлення і оцінки погроз і ризиків їх здійснення, визначення підходів до управління ризиками: чи є достатнім базовий рівень захищеності або потрібно проводити повний варіант аналізу ризиків.

структуризація контрзаходів по рівнях вимог до безпеки.

порядок сертифікації на відповідність стандартам у області ІБ.

4. Існують три категорії засобів захисту - традиційні засоби, нові технології і засоби криптографічного захисту інформації.

5. Для ефективного захисту автоматизованої системи організації необхідно вирішити ряд організаційних завдань:

створити спеціальний підрозділ, що забезпечує розробку правил експлуатації корпоративної інформаційної системи, який визначає повноваження користувачів по доступу до ресурсів цієї системи і що здійснює адміністративну підтримку засобів захисту (правильну настройку, контроль і оперативне реагування на сигнали, що поступають, про порушення встановлених правил доступу, аналіз журналів реєстрації подій безпеки і т. п.);

розробити технологію забезпечення інформаційної безпеки, що передбачає порядок взаємодії підрозділів організації із питань безпеки при експлуатації автоматизованої системи і модернізації її програмних і апаратних засобів;

упровадити технологію захисту інформації і КІС шляхом розробки і затвердження необхідних нормативно-методичних і організаційно-розпорядливих документів (концепцій, положень, інструкцій і т.п.), а також організувати навчання всіх співробітників, що є адміністраторами і користувачами КІС.

6. Стандартний набір засобів комплексного захисту інформації у складі сучасної ІС звичайно містить наступні компоненти:

засоби забезпечення надійного зберігання інформації з використанням технології захисту на файловому рівні (File Encryption System - FES);

засоби авторизації і розмежування доступу до інформаційних ресурсів, а також захист від несанкціонованого доступу до інформації з використанням систем біометричної авторизації і технології токенів (смарт-карти, touch-memory, ключі для USB-портів і т.п.);

засоби захисту від зовнішніх погроз при підключенні до загальнодоступних мереж зв'язку (Internet), а також засобу управління доступом з Internet з використанням технології міжмережевих екранів (Firewall) і змістовної фільтрації (Content Inspection);

засоби захисту від вірусів з використанням спеціалізованих комплексів антивірусної профілактики;

засоби забезпечення конфіденційності, цілісності, доступності і достовірності інформації, що передається по відкритих каналах зв'язку з використанням технології захищених віртуальних приватних мереж (VPN);

засоби забезпечення активного дослідження захищеності інформаційних ресурсів з використанням технології виявлення атак (Intrusion Detection);

засоби забезпечення централізованого управління системою інформаційної безпеки відповідно до узгодженої і затвердженої "Політики безпеки компанії".

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Вибір засобів забезпечення безпеки даних і інформаційного захисту	\|

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.004 сек.