Комплексная защита конфиденциальной информации

Автор: Пользователь скрыл имя, 13 Декабря 2011 в 19:46, контрольная работа

Описание работы

Целью данной работы является изучение комплексной системы защиты конфиденциальной информации.
Задачи расчетно-графической работы:
рассмотреть основные принципы управления рисками информационной безопасности;
изучить методы обеспечения комплексной системы защиты конфиденциальной информации;
рассмотреть пример программы, обеспечивающей комплексную систему защиты конфиденциальной информации.

Содержание

Введение 2
Основные понятия комплексной системы защиты конфиденциальной информации 4
Основные принципы комплексной защиты конфиденциальной информации. 6
Методы и средства комплексной защиты конфиденциальной информации 14
Комплексная защита конфиденциальной информации. 18
Заключение 23
Библиографический список 24

Работа содержит 1 файл

ргр по иб.docx

— 59.16 Кб (Скачать)

    Содержание

Введение 2

Основные  понятия комплексной  системы защиты конфиденциальной информации 4

Основные  принципы комплексной  защиты конфиденциальной информации. 6

Методы  и средства комплексной  защиты конфиденциальной информации 14

Комплексная защита конфиденциальной информации. 18

Заключение 23

Библиографический список 24

 

     Введение

    При создании комплексной системы защиты конфиденциальной информации необходимо защищать информацию во всех фазах  ее существования - документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в  автоматизированных системах (АС) и  отдельных средствах вычислительной техники (СВТ), включая персонал, который  ее обрабатывает - всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа (НСД) к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности АС и СВТ, воздействия на персонал и  т.п. В целом информационная структура  должна быть защищена от любых несанкционированных  действий. Защищать необходимо все  компоненты информационной структуры  предприятия - документы, сети связи, персонал и т.д.

    Актуальность  и важность проблемы обеспечения  информационной безопасности обусловлена  следующими факторами:

    Увеличение  объемов информации, накапливаемой, хранимой и обрабатываемой с помощью  ЭВМ и других средств вычислительной техники.

    Сосредоточение  в единых базах данных информации различного назначения и принадлежности.

    Расширение  круга пользователей, имеющих доступ к ресурсам вычислительной системы, и находящимся в ней массивам данных.

    Усложнение  режима функционирования технических  средств, вычислительной системы (широкое  внедрение многопрограммного режима разделения времени и реального  времени).

    Автоматизация межмашинного обмена информацией, в  т.ч. и на больших расстояниях.

    Увеличение  количества технических средств  и связей в автоматизированных системах управления (АСУ) и обработки данных.

    Появление ПЭВМ, расширяющих возможности не только пользователя, но и нарушителя.

    Индустрия переработки информации достигла глобального  уровня.

    Появление электронных денег. Создало предпосылки  для хищения крупных сумм.

    Целью данной работы является изучение комплексной  системы защиты конфиденциальной информации.

    Задачи  расчетно-графической работы:

    рассмотреть основные принципы управления рисками  информационной безопасности;

    изучить методы обеспечения комплексной  системы защиты конфиденциальной информации;

    рассмотреть пример программы, обеспечивающей комплексную  систему защиты конфиденциальной информации.

 

    

    Основные  понятия комплексной  системы защиты конфиденциальной информации

    Комплексная система защиты информации (КСЗИ) - совокупность организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.

    Организационные мероприятия являются обязательной составляющей построения любой КСЗИ. Инженерно-технические мероприятия  осуществляются по мере необходимости.

    Организационные мероприятия

    Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:

  • составление должностных инструкций для пользователей и обслуживающего персонала;
  • создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
  • разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
  • обучение правилам информационной безопасности пользователей.

    В случае необходимости, в рамках проведения организационных мероприятий может  быть создана служба информационной безопасности, проведена реорганизация  системы делопроизводства и хранения документов. 

    Инженерно-технические  мероприятия

    Инженерно-технические  мероприятия - совокупность специальных  технических средств и их использование  для защиты информации. Выбор инженерно-технических  мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.

    Инженерно-технические  мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение  потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.

    В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка  в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.

    Отдельные помещения могут быть оборудованы  средствами защиты от утечки акустической (речевой) информации.

 

    

    Основные  принципы комплексной  защиты конфиденциальной информации.

    Построение  системы обеспечения безопасности информации КИС и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

  • законность;
  • системность;
  • комплексность;
  • непрерывность;
  • своевременность;
  • преемственность и непрерывность совершенствования;
  • разумная достаточность;
  • персональная ответственность;
  • минимизация полномочий;
  • взаимодействие и сотрудничество;
  • гибкость системы защиты;
  • открытость алгоритмов и механизмов защиты;
  • простота применения средств защиты;
  • научная обоснованность и техническая реализуемость;
  • специализация и профессионализм;
  • обязательность контроля.

    Законность

    Предполагает  осуществление защитных мероприятий  и разработку системы безопасности информации КИС в соответствии с  действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных АС Компании.

    Пользователи  и обслуживающий персонал КИС  должны иметь представление об ответственности  за правонарушения в области систем автоматизированной обработки информации (статьи 272, 273, 274 Уголовного Кодекса  РФ и т.п.).

    Системность

    Системный подход к построению системы защиты информации в КИС предполагает учет всех взаимосвязанных, взаимодействующих  и изменяющихся во времени элементов, условий и факторов, существенно  значимых для понимания и решения  проблемы обеспечения безопасности информации в КИС.

    При создании системы защиты должны учитываться  все слабые и наиболее уязвимые места  системы обработки информации, а  также характер, возможные объекты  и направления атак на систему  со стороны нарушителей (особенно высококвалифицированных  злоумышленников), пути проникновения  в распределенные системы и НСД  к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения  и НСД к информации, но и с  учетом возможности появления принципиально  новых путей реализации угроз  безопасности.

    Комплексность

    Комплексное использование методов и средств  защиты компьютерных систем предполагает согласованное применение разнородных  средств при построении целостной  системы защиты, перекрывающей все  существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем СВТ в  силу того, что ОС - это та часть  компьютерной системы, которая управляет  использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности  предметной области, представляет внутренний рубеж защиты.

    Непрерывность защиты

    Защита  информации – не разовое мероприятие  и не простая совокупность проведенных  мероприятий и установленных  средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла КИС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

    Большинству физических и технических средств  защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение  правильного хранения и применения имен, паролей, ключей шифрования, переопределение  полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых  методов и средств защиты, для  внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

    Своевременность

    Предполагает  упреждающий характер мер обеспечения  безопасности информации, то есть постановку задач по комплексной защите КИС  и реализацию мер обеспечения  безопасности информации на ранних стадиях  разработки КИС в целом и ее системы защиты информации, в частности.

    Разработка  системы защиты должна вестись параллельно  с разработкой и развитием  самой защищаемой системы. Это позволит учесть требования безопасности при  проектировании архитектуры и, в  конечном счете, создать более эффективные (как по затратам ресурсов, так и  по стойкости) защищенные системы.

    Преемственность и совершенствование

    Предполагают  постоянное совершенствование мер  и средств защиты информации на основе преемственности организационных  и технических решений, кадрового  состава, анализа функционирования КИС и ее системы защиты с учетом изменений в методах и средствах  перехвата информации, нормативных  требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

    Разумная достаточность

    (экономическая  целесообразность, сопоставимость  возможного ущерба и затрат)

    Предполагает  соответствие уровня затрат на обеспечение  безопасности информации ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы КИС, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.

Информация о работе Комплексная защита конфиденциальной информации