Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Поняття політики безпеки ІС

Вступ

План

Основні засади захисту інформаційних систем

Лекція 2.

Вступ.

2.1. Поняття політики безпеки ІС

2.2. Організація системи інформаційної безпеки підприємства

2.3. Класифікація загроз

2.4. Основні види загроз безпеці інформації

2.5. Основні форми захисту інформації.

2.6. Криптографічний захист інформації

Під безпекою інформаційної системи ро­зу­міють її здатність протидіяти спробам нанесення збитків власникам та користувачам ІС методами ство­рення різ­но­ма­ніт­них збуджуючих (навмисних і ненавмис­них) впливів на неї. Природа впли­вів може бути різнома­нітною: спроба фізичного проникнення злов­мис­ника, по­мил­ки пер­соналу, стихійні ли­ха (ураган, поже­жа), вихід з ладу окре­мих ресурсів.

На сьогодні склалися два підходи до забезпечення безпеки ІС:

· фрагментарний підхід, сутність якого полягає у про­тидії строго визна­ченим загрозам за конкретних умов (спе­ціалізовані антивірусні засоби, авто­номні засоби шиф­ру­­вання тощо);

· комплексний підхід, який передбачає створення се­редовища оброблення інформації, що об’єднує різно­ма­ніт­ні (правові, організаційні, програмно-технічні) заходи для про­тидії загрозам.

Комплексний підхід, як правило, використовується для захисту великих ІС. У цьому випадку необхідно за­безпе­чити виконання наступних заходів:

· організаційні заходи з контролю за персоналом, який має високий рівень повноважень на дії в ІС (про­гра­місти, адміністратори баз даних ІС);

· організаційні та технічні заходи з резервування стра­­тегічно важливої інформації;

· організаційні заходи з відновлення працездатності ІС у випадку ви­никнення нештатних ситуацій;

· організаційні та технічні заходи з управління дос­ту­пом у приміщення, в яких знаходяться програмно-технічні засоби;

· організаційні та технічні заходи з фізичного за­хисту приміщень, в яких знаходяться програмно-технічні засоби і носії даних, від стихійних лих, масових безпорядків тощо.

У 1985 році Національним центром інформаційної безпеки Міністерства оборони США була опублікована, так звана, ″Помаранчева книга″ (″Критерії оцінки досто­вір­ності обчислювальних систем Міністерства оборони″). У ній були подані основні положення, за якими амери­канське оборонне відомство визначало ступінь захище­нос­ті інфор­маційно-обчислювальних систем. У системати­зо­ва­­­ному виг­­ляді подано основні поняття, рекомен­да­ції і кла­си­фі­кація за видами загроз безпеці ІС і методи захисту від них. У подальшому книга пе­ре­творилась у збірку науково-обґрунтованих норм і пра­вил, які описують системний підхід для забез­печення без­пе­ки електронних інформа­цій­них систем та їх елемен­тів, і стала настільною книгою для фахівців у галузі захисту інфор­мації. Запропонована у ″Помаранчевій книзі″ методо­логія за своєю сутністю стала загальноприйнятою, а її основні положення внесені до національних стандартів різних країн.

Системний підхід згідно з ″Помаранчевою книгою″ вимагає:

· прийняття принципових рішень у галузі безпеки на основі моніторингу поточного стану ІС;

· прогнозування можливих загроз і аналізу пов’я­за­ного з ними ризику для ІС;

· планування заходів з запобігання виникнення кри­тичних ситуацій;

· планування заходів виходу з критичних ситуацій.

Одне з основних понять, введених у ″Помаранчевій кни­зі″, це політика безпеки. Політика безпеки – це су­куп­ність норм, правил і методик, на основі яких у подальшому базується діяльність ІС в галузі оброблення, зберігання і розподілення критичної інфор­ма­ції. При цьому під ІС ро­зу­міють не тільки апаратно-програмний ком­п­лекс, але і обслуговуючий персонал.

Політика безпеки формується на основі аналізу по­точного стану і перспективи розвитку ІС, мож­ливих загроз і визначає:

· мету, задачі та пріоритети системи безпеки;

· галузь дії окремих підсистем;

· гарантований мінімальний рівень захисту;

· обов’язки персоналу із забезпечення захисту;

· санкції за порушення захисту.

Якщо виконання політики безпеки проводиться не повною мірою або непослідовно, тоді ймовірність пору­шен­ня ЗІ різко зростає. Під захистом ін­формації розумі­ють комплекс заходів, який забезпечує:

· збереження конфіденційності інформації – запо­бі­ган­ня ознайомлення з інформацією неуповно­важе­них осіб;

· збереження інформації – запобігання пошкодженню або знищенню інформації внаслідок свідомих дій зло­вмис­ника, помилок персоналу, сти­хій­ного лиха;

· прозорість, тобто наявність системи безпеки не по­ви­нна створювати перешкод для нормальної роботи ІС.

Впровадження політики безпеки неможливе без ана­лізу ризику. Аналіз ризику підвищує рівень поінформованості про слабкі та сильні сторони захисту, створює базу для прийняття рішень, оптимізує розмір вит­рат на захист, оскільки більша частина ресурсів спря­мо­вується на блоку­вання загроз, які можуть принести най­більшу шкоду.

Аналіз ризику складається з наступних основних етапів:

1. Опис складу ІС – апаратних засобів, про­грам­ного забезпечення, даних, документації, персоналу.

2. Визначення слабких місць – з’ясовуються слабкі місця за кожним елементом ІС з оцін­кою ймовірних дже­рел загроз.

3. Оцінювання ймовірності реалізування загроз.

4. Оцінювання очікуваних розмірів втрат – цей етап складний, оскільки не завжди можливе кількісне оцінюван­ня даного показника.

5. Аналіз можливих методів і засобів захисту.

6. Оцінювання виграшу від прийнятих заходів. Якщо очікувані втрати більші від допустимого рівня, необхідно посилити заходи безпеки.

Аналіз ризику завершується прийняттям політики без­­­пеки і складанням плану захисту з обов’язковими нас­тупними розді­лами:

1. Поточний стан. Опис статусу системи безпеки на момент формування плану.

2. Рекомендації. Вибір основних засобів захисту, які реалізують політику безпеки.

3. Відповідальність. Перелік відповідальних працівників і зон відповідальності.

4. Розклад. Визначення порядку роботи механізмів захисту, в тому числі і засобів контролю.


Читайте також:

  1. Cистеми безпеки торговельних підприємств
  2. II. Вимоги безпеки перед початком роботи
  3. II. Вимоги безпеки праці перед початком роботи
  4. II. Поняття соціального процесу.
  5. III. Вимоги безпеки під час виконання роботи
  6. III. Вимоги безпеки під час виконання роботи
  7. IV. Вимоги безпеки під час роботи на навчально-дослідній ділянці
  8. V. Вимоги безпеки в аварійних ситуаціях
  9. V. Вимоги безпеки в екстремальних ситуаціях
  10. V. Поняття та ознаки (характеристики) злочинності
  11. А/. Поняття про судовий процес.
  12. Абіотичні та біотичні небезпеки.




Переглядів: 816

<== попередня сторінка | наступна сторінка ==>
Державна система охорони та захисту інтелектуальної власності в Україні | Організація системи інформаційної безпеки підприємства

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.02 сек.