Лабораторная работа №14
По дисциплине: «Теория защиты информационных систем» На тему: «Обеспечение безопасности информационного объекта» Специальность: Информационные системы Выполнила: Джуманиязова Ж.Б. Группа: МИС(п)-17-2 Принял: проф. Казиев Г.З. _______ ________________ «____» ________________2018г.
Алматы 2018 Цель работы – разработать систему обеспечения безопасности информационного объекта, используя необходимые средства по обнаружению, отражению и ликвидации угроз. В качестве исследуемого объекта выбрано помещение банка. Под безопасностью коммерческого банка понимается состояние защищенности интересов владельцев, руководства и клиентов банка, материальных ценностей и информационных ресурсов от внутренних и внешних угроз. Требуется: 1. перечислить возможные угрозы; 2. рекомендовать средства защиты по обнаружению, отражению и ликвидации угроз; 3. кратко описать принцип действия рекомендованных вами средств обнаружения. Концепция безопасности коммерческого банка (кредитной организации) представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты банковского дела от противоправных действий и недобросовестной конкуренции.Обеспечение безопасности является неотъемлемой составной частью деятельности коммерческого банка (кредитной организации). Состояние защищенности представляет собой умение и способность кредитной организации надежно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб законным интересам банка.Объектами безопасности являются: - персонал (руководство, ответственные исполнители, сотрудники); - финансовые средства, материальные ценности, новейшие технологии; - информационные ресурсы (информация с ограниченным доступом, составляющая коммерческую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления). Главной целью системы безопасности является обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности, защита законных интересов кредитной организации от противоправных посягательств, охрана жизни и здоровья персонала, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации. Задачами системы безопасности являются: 1. прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам банка; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развитию; 2. отнесение информации к категории ограниченного доступа (государственной, служебной, банковской и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов - к различным уровням уязвимости (опасности) и подлежащих сохранению; 3. создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании банка; 4. эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности; 5. создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение стратегических целей банка Угрозы информационным ресурсам проявляются в виде: - разглашения конфиденциальной информации; - утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения; - несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований. Осуществление угроз информационным ресурсам может быть произведено: - путем неофициального доступа и съема конфиденциальной информации; - путем подкупа лиц, работающих в банке или структурах, непосредственно связанных с его деятельностью; - путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения; - путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах; - через переговорные процессы между банком и иностранными или отечественными фирмами, используя неосторожное обращение с информацией; - через отдельных сотрудников банка, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную либо личную заинтересованность. Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров. При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются: · защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий; · защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий. В рамках указанных направлений технической политики обеспечения информационной безопасности необходима: 1) реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера; 2) ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера; 3) разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения; 4) учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей; 5) криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи; 6) снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем; 7) снижение уровня акустических излучений; 8) электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории; 9) активное зашумление в различных диапазонах; 10) противодействие оптическим и лазерным средствам наблюдения; 11) проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств; 12) предотвращение внедрения в автоматизированные информационные системы программ вирусного характера. Защита информационных ресурсов от несанкционированного доступа должна предусматривать: · обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующий уровень допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций; · персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах; · надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение; · разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи; · контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи; · очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями; · целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей. Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы) для каких действий или для какого вида доступа может предоставить и при каких условиях, и которая предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
Популярное: Личность ребенка как объект и субъект в образовательной технологии: В настоящее время в России идет становление новой системы образования, ориентированного на вхождение... Организация как механизм и форма жизни коллектива: Организация не сможет достичь поставленных целей без соответствующей внутренней... Генезис конфликтологии как науки в древней Греции: Для уяснения предыстории конфликтологии существенное значение имеет обращение к античной... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (1527)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |