Комплексная защита конфиденциальной информации

Автор: Пользователь скрыл имя, 13 Декабря 2011 в 19:46, контрольная работа

Описание работы

Целью данной работы является изучение комплексной системы защиты конфиденциальной информации.
Задачи расчетно-графической работы:
рассмотреть основные принципы управления рисками информационной безопасности;
изучить методы обеспечения комплексной системы защиты конфиденциальной информации;
рассмотреть пример программы, обеспечивающей комплексную систему защиты конфиденциальной информации.

Содержание

Введение 2
Основные понятия комплексной системы защиты конфиденциальной информации 4
Основные принципы комплексной защиты конфиденциальной информации. 6
Методы и средства комплексной защиты конфиденциальной информации 14
Комплексная защита конфиденциальной информации. 18
Заключение 23
Библиографический список 24

Работа содержит 1 файл

ргр по иб.docx

— 59.16 Кб (Скачать)

    Создать абсолютно непреодолимую систему  защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить  вероятность негативных воздействий  или ущерб от них, но не исключить  их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл  рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать  ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот  достаточный уровень защиты, при  котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа  риска).

    Персональная ответственность

    Предполагает  возложение ответственности за обеспечение  безопасности информации и системы  ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение  прав и обязанностей сотрудников  строится таким образом, чтобы в  случае любого нарушения круг виновников был четко известен или сведен к минимуму.

    Принцип минимизации полномочий

    Означает  предоставление пользователям минимальных  прав доступа в соответствии с  производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

    Взаимодействие и сотрудничество

    Предполагает  создание благоприятной атмосферы  в коллективах подразделений  Компании. В такой обстановке сотрудники должны осознанно соблюдать установленные  правила и оказывать содействие в деятельности подразделений технической  защиты информации.

    Гибкость системы защиты

    Принятые  меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень  защиты. Для обеспечения возможности  варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда  установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального  функционирования. Кроме того, внешние  условия и требования с течением времени меняются. В таких ситуациях  свойство гибкости системы защиты избавляет  владельцев КИС от необходимости  принятия кардинальных мер по полной замене средств защиты на новые.

    Открытость алгоритмов и механизмов защиты

    Суть  принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации  и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация о конкретной системе защиты должна быть общедоступна.

    Простота применения средств защиты

    Механизмы защиты должны быть интуитивно понятны  и просты в использовании. Применение средств защиты не должно быть связано  со знанием специальных языков или  с выполнением действий, требующих  значительных дополнительных трудозатрат  при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей  и имен и т.д.).

    Научная обоснованность и техническая реализуемость

    Информационные  технологии, технические и программные  средства, средства и меры защиты информации должны быть реализованы на современном  уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать  установленным нормам и требованиям  по безопасности информации.

    Специализация и профессионализм

    Предполагает  привлечение к разработке средств  и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную  лицензию на право оказания услуг  в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально  подготовленными специалистами  Компании (специалистами подразделений технической защиты информации).

    Обязательность контроля

    Предполагает  обязательность и своевременность  выявления и пресечения попыток  нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств  защиты информации при совершенствовании  критериев и методов оценки эффективности  этих систем и средств.

    Контроль  за деятельностью любого пользователя, каждого средства защиты и в отношении  любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

 

    

    Методы  и средства комплексной  защиты конфиденциальной информации

    В самой большой сети мира Интернет атаки на компьютерные системы прокатываются, как цунами, не зная ни государственных  границ, ни расовых или социальных различий. Идет постоянная борьба интеллекта, а также организованности системных  администраторов и изобретательности  хакеров.

    Методы  и средства обеспечения безопасности информации:

    Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

    Управление  доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

    Управление  доступом включает следующие функции  защиты:

     идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

     опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

     проверку полномочий (проверка соответствия дня недели, времени суток; запрашиваемых ресурсов и процедур установленному регламенту);

     разрешение и создание условий работы в пределах установленного регламента;

     регистрацию (протоколирование) обращений к защищаемым ресурсам;

     реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

    Механизмы шифрования — криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

    Противодействие атакам вредоносных  программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер — это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.

    Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

    Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

    Побуждение  — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

    Вся совокупность технических средств  подразделяется на аппаратные и физические.

    Аппаратные  средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

    Физические  средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

    Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.

    Из средств ПО системы защиты необходимо выделить еще программные средства, реализующие механизмы шифрования (криптографии), Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

    Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.

    Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

    Морально-этические  средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

 

    

        Комплексная защита конфиденциальной информации.

    Так как защита передаваемых данных через открытые каналы связи — одна из важнейших составляющих информационной безопасности организаций, Рассмотрим комлексную защиту информации на примере защищенной корпоративной виртуальной сети (VPN).

    Технология VPN (Virtual Private Network, виртуальная частная  сеть) образует зашифрованный канал  поверх открытых сетей передачи данных (например, Интернет), прозрачный для  авторизованных пользователей и тем самым исключает несанкционированный перехват информации третьими сторонами.

    АПКШ  Континент 

    

    Рис1. АПКШ Континент

    Аппаратно-программный  комплекс шифрования, сочетающий в себе межсетевой экран, средство построения VPN-сетей и маршрутизатор. Позволяет обеспечить защиту информационных сетей организации от вторжения со стороны сетей передачи данных (межсетевое экранирование), конфиденциальность при передаче информации по открытым каналам связи (VPN), организовать безопасный доступ пользователей посредством VPN к ресурсам сетей общего пользования, а также защищенное взаимодействие сетей различных организаций. Является сертифицированным продуктом, обладает сертификатами ФСТЭК и ФСБ и может применяться в госсекторе и в ИСПДн до 1 класса (К1) включительно.

    Основные  характеристики и возможности:

Информация о работе Комплексная защита конфиденциальной информации