Політика інформаційної безпеки

ЗМІСТ

ВСТУП…………………………………………….………………………………….3

1 ПОНЯТТЯ ІНФОРМАЦІЙНОЇ  БЕЗПЕКИ.............................................................4

1.1 Характеристика загроз інформаційної безпеки ………………...….…..5

  1.2 Методи забезпечення інформаційної безпеки…....……..…………..…..7

1.3 Основні  принципи забезпечення інформаційної  безпеки підприємства………………………………………………………………….8

2 Політика інформаційної  безпеки ...........................................................….…….13

      2.1 Визначення та основні поняття політики безпеки ……………..…….13

  2.2 Види моделей політики інформаційної безпеки………………………16

     2.2.1  Дискреційна політика безпеки…………………………...…….…….17

      2.2.2 Мандатна політика безпеки…………………………………………...18

     2.2.3 Рольова політика безпеки……………………….................................21

      2.3 Значення політики безпеки інформації ………………………………..23

      2.4 Опис трьохрівневої політики  інформаційної безпеки ……………….24

ВИСНОВКИ…………………………………..…………………………..………...28

ПЕРЕЛІК ПОСИЛАНЬ……………….…………..……………………..…………29 
 
 
 
 
 
 
 
 
 
 
 
 

ВСТУП 

   Бурхливий розвиток інформаційних технологій призвів до інформаційної революції, внаслідок чого основною цінністю для  суспільства взагалі й окремої  людини зокрема поступово стають інформаційні ресурси. За таких обставин забезпечення інформаційної безпеки  поступово виходить на перший план у проблематиці національної безпеки.

   З одного боку, використання інформаційних  технологій дає ряд очевидних  переваг: підвищення ефективності процесів управління, обробки і передачі даних  і т.п. У наш час вже неможливо  уявити велику організацію без застосування новітніх інформаційних технологій, починаючи від автоматизації  окремих робочих місць і закінчуючи побудовою корпоративних розподілених інформаційних систем.

   З іншого боку, розвиток мереж, їх ускладнення, взаємна інтеграція, відкритість  призводять до появи якісно нових  загроз, збільшенню числа зловмисників, які мають потенційну можливість впливати на систему.

   В даний час для захисту інформації потрібна не просто розробка приватних  механізмів захисту, а реалізація системного підходу, що включає комплекс взаємопов'язаних заходів (використання спеціальних  технічних і програмних засобів, організаційних заходів, нормативно-правових актів і т.д. ). Головною метою будь-якої системи забезпечення інформаційної  безпеки є створення умов функціонування підприємства, запобігання загроз його безпеки, захист законних інтересів  підприємства від протиправних посягань, недопущення розкрадання фінансових засобів, розголошення, втрати, витоку, спотворення і знищення службової  інформації, забезпечення в рамках виробничої діяльності всіх підрозділів  підприємства.

   З урахуванням майбутнього розвитку інформатизації, проникнення інформаційних  технологій у найважливіші сфери  життя суспільства необхідно  передбачити перехід від принципу гарантування безпеки інформації до принципу інформаційної безпеки.

1. Основні поняття інформаційної безпеки

 

   Інформаційна  безпека підприємства ─ це захист інформації, якою володіє підприємство (виробляє, передає або отримує) від несанкціонованого доступу, руйнування, модифікації, розкриття і затримок при надходженні. Крім того, під інформаційною безпекою розуміють захищеність інформації та підтримуючої її інфраструктури від будь-яких випадкових або зловмисних дій, результатом яких може з'явитися нанесення збитку самої інформації, її власникам або підтримуючої інфраструктури (книжка 1).

   Інформаційна  безпека включає в себе заходи по захисту процесів створення даних, їх введення, обробки і виводу. Метою комплексної інформаційної безпеки є збереження інформаційної системи підприємства в цілісності, захист і гарантування повноти і точності інформації, яку вона видає, мінімізація руйнувань і модифікація інформації, якщо такі трапляються.

   Інформаційна  безпека ─ це комплекс заходів, які  забезпечує для охоплюваної ним  інформації наступні фактори:

   ─ конфіденційність ─ властивість, яка  гарантує, що інформація недоступна і  не може бути розкрита несанкціонованими  особами, об’єктами чи процесами. Можливість ознайомитись з інформацією мають  лише ті особи, які володіють відповідними повноваженнями;

   ─ цілісність ─ властивість, яка гарантує, що система повноцінно виконує свої функції без навмисних чи випадкових несанкціонованих втручань. Можливість внести зміни в інформацію повинні  мати лише ті особи, які на це вповноважені;

   ─ доступність ─ можливість отримання  авторизованого доступу до інформації з боку вповноважених осіб в відповідний  санкціонований для роботи період часу.

   Виділяють і інші не завжди обов'язкові фактори  моделі безпеки:

   ─ неспростовність ─ неможливість відмови від авторства, тобто  особа, яка направила інформацію іншій особі, не може відректися від  факту відправлення інформації, а  особа, яка отримала інформацію, не може відректися від факту її отримання. Забезпечується засобами криптографії (електронно-цифровим підписом);

   ─ властивість, яка гарантує, що ідентифікатори предмета чи ресурсу задовольняють  необхідні вимоги. Достовірність  застосовують до об’єктів: споживачів, процесів, систем чи інформації;

   ─ підзвітність ─ забезпечення ідентифікації  суб'єкта доступу та реєстрації його дій, тобто всі значимі дії  особи, які вона виконує в рамках, що контролюються системою безпеки, повинні бути зафіксовані і проаналізовані. Зазвичай облік ведеться засобами електронних  реєстраційних журналів, які використовуються в основному лише вповноваженими службами;

достовірність - властивість відповідності передбаченій поведінці чи результату;

   ─ автентичність ─ властивість, що гарантує, що суб'єкт або ресурс ідентичні  заявленим. 

   1.1 Характеристика загроз інформаційної безпеки (книжка 1) 

   Сутність  загроз інформаційної безпеки зводиться, як правило, до нанесення того чи іншого збитку підприємству (організації).

   Прояви  можливого збитку можуть бути найрізноманітнішими:

   ─ моральна і матеріальна шкода  діловій репутації організації;

   ─ моральний, фізичний чи матеріальний збиток, пов'язаний з розголошенням персональних даних окремих осіб;

   ─ матеріальний (фінансовий) збиток від  розголошення конфіденційної інформації;

   ─ матеріал (фінансовий) збиток від необхідності відновлення порушених інформаційних  ресурсів, які захищаються;

   ─ матеріальні збитки (втрати) від  неможливості виконання взятих на себе зобов'язань перед третьою стороною;

   ─ моральний і матеріальний збиток від дезорганізації в роботі всього підприємства.

   Джерела зовнішніх загроз можуть бути випадковими  і запланованими та мати різний рівень кваліфікації. До них відносяться:

   ─ кримінальні структури;

   ─ потенційні злочинці і хакери;

   ─ нечесні партнери;

   ─ технічний персонал постачальників послуг, тощо.

   Внутрішні суб'єкти (джерела), як правило, представлені висококваліфікованими фахівцями  у галузі розробки та експлуатації програмного забезпечення і технічних  засобів, знайомі зі специфікою розв'язуваних завдань, структурою та основними функціями  та принципами роботи програмно-апаратних  засобів захисту інформації, мають  можливість використання штатного устаткування і технічних засобів мережі. До них відносяться:

   ─ основний персонал (користувачі, програмісти, розробники);

   ─ представники служби захисту інформації;

   ─ допоміжний персонал (прибиральники, охорона);

   ─ технічний персонал;

   Технічні  засоби, що є джерелами потенційних  загроз безпеці інформації, також  можуть бути зовнішніми:

   ─ засоби зв'язку;

   ─ мережі інженерних комунікації;

   ─ транспорт.

   Та  внутрішніми:

   ─ неякісні технічні засоби обробки інформації;

   ─ неякісні програмні засоби обробки  інформації;

   ─ допоміжні технічні засоби (охорони, сигналізації, телефонії);

   ─ інші технічні засоби, що застосовуються в установі.

   Відповідно, дії, які можуть завдати шкоди  інформаційній безпеці організації, можна також розділити на кілька категорій:

   1. Дії, які здійснюються авторизованими  користувачами. У цю категорію  потрапляють: цілеспрямована крадіжка  або знищення даних на робочій  станції або сервері; пошкодження  даних користувачів у результаті  необережних дій; 

   2. «Електронні» методи впливу, які  здійснюються хакерами. До таких  методів відносяться: несанкціоноване  проникнення в комп'ютерні мережі, DOS атаки;

   3. Комп'ютерні віруси. Окрема категорія  електронних методів впливу - комп'ютерні  віруси та інші шкідливі програми. Проникнення вірусу на вузли  корпоративної мережі може призвести  до порушення їх функціонування, втрат робочого часу, втрати даних,  викраденні конфіденційної інформації  і навіть прямим розкраданням  фінансових коштів. Вірусна програма, яка проникла в корпоративну мережу, може надати зловмисникам частковий або повний контроль над діяльністю компанії.

   4. «Природні» загрози. На інформаційну  безпеку компанії можуть впливати  різноманітні зовнішні фактори.  Так причиною втрати даних  може стати неправильне зберігання, крадіжка комп'ютерів і носіїв, форс-мажорні обставини і т.д. 

   Таким чином, у сучасних умовах наявність  розвиненої системи інформаційної  безпеки стає однією з найважливіших  умов конкурентоспроможності і навіть життєздатності будь-якої компанії. 

2. Методи забезпечення інформаційної безпеки

 

   На  думку експертів в галузі захисту інформації, завдання забезпечення інформаційної безпеки повинна вирішуватися системно. Це означає, що різні засоби захисту (апаратні, програмні, фізичні, організаційні і т.д.) повинні застосовуватися одночасно і під централізованим управлінням. При цьому компоненти системи повинні «знати» про існування один одного, взаємодіяти і забезпечувати захист як від зовнішніх, так і від внутрішніх загроз.

   На  сьогоднішній день існує великий  арсенал методів забезпечення інформаційної  безпеки:

   ─ засоби ідентифікації і аутентифікації користувачів (так званий комплекс 3А);

   ─ засоби шифрування інформації, що зберігається на комп'ютерах і що передається по мережах;

   ─ міжмережеві екрани;

   ─ віртуальні приватні мережі;

   ─ засоби контентної фільтрації;

   ─ інструменти перевірки цілісності вмісту дисків;

   ─ засоби антивірусного захисту;