Технический уровень условно разделяют на физический, аппаратный, программный и математический подуровни.
ГЛАВА 1. СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТРЕБОВАНИЯ К СИСТЕМЕ ЗАЩИТЫ ИБ Защита информационных ресурсов должна быть: · Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют. · Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных. · Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных. · Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно. · Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания. · Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки. · Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных. Модель системы безопасности Информация считается защищенной, если соблюдаются три главных свойства: Первое – целостность – предполагает обеспечение достоверности и корректного отображения охраняемых данных, независимо от того, какие системы безопасности и приемы защиты используются в компании. Обработка данных не должна нарушаться, а пользователи системы, которые работают с защищаемыми файлами, не должны сталкиваться с несанкционированной модификацией или уничтожением ресурсов, сбоями в работе ПО. Второе – конфиденциальность – означает, что доступ к просмотру и редактированию данных предоставляется исключительно авторизованным пользователям системы защиты. Третье – доступность – подразумевает, что все авторизованные пользователи должны иметь доступ к конфиденциальной информации. Достаточно нарушить одно из свойств защищенной информации, чтобы использование системы стало бессмысленным. Этапы создания и обеспечения системы защиты информации
Рис. 1 - Схема создания системы защиты На первом этапе разрабатывается базовая модель системы, которая будет функционировать в компании. Для этого необходимо проанализировать все виды данных, которые циркулируют в фирме и которые нужно защитить от посягательств со стороны третьих лиц. Планом работы на начальном этапе являются четыре вопроса: · Какие источники информации следует защитить? · Какова цель получения доступа к защищаемой информации? Целью может быть ознакомление, изменение, модификация или уничтожение данных. Каждое действие является противоправным, если его выполняет злоумышленник. Ознакомление не приводит к разрушению структуры данных, а модификация и уничтожение приводят к частичной или полной потере информации.
· Что является источником конфиденциальной информации? Источники в данном случае это люди и информационные ресурсы: документы, флеш-носители, публикации, продукция, компьютерные системы, средства обеспечения трудовой деятельности. · Способы получения доступа, и как защититься от несанкционированных попыток воздействия на систему? Различают следующие способы получения доступа: · Несанкционированный доступ – незаконное использование данных; · Утечка – неконтролируемое распространение информации за пределы корпоративной сети. Утечка возникает из-за недочетов, слабых сторон технического канала системы безопасности; · Разглашение – следствие воздействия человеческого фактора. Санкционированные пользователи могут разглашать информацию, чтобы передать конкурентам, или по неосторожности. Второй этап включает разработку системы защиты. Это означает реализовать все выбранные способы, средства и направления защиты данных. Система строится сразу по нескольким направлениям защиты, на нескольких уровнях, которые взаимодействуют друг с другом для обеспечения надежного контроля информации. Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции. Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных. Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и физическими носителями данных. Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа. Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы. Технический уровень условно разделяют на физический, аппаратный, программный и математический подуровни. · физический – создание преград вокруг защищаемого объекта: охранные системы, зашумление, укрепление архитектурных конструкций; · аппаратный – установка технических средств: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей; · программный – установка программной оболочки системы защиты, внедрение правила разграничения доступа и тестирование работы; · математический – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети. Третий, завершающий этап – это поддержка работоспособности системы, регулярный контроль и управление рисками. Важно, чтобы модуль защиты отличался гибкостью и позволял администратору безопасности быстро совершенствовать систему при обнаружении новых потенциальных угроз.
Популярное: Как построить свою речь (словесное оформление):
При подготовке публичного выступления перед оратором возникает вопрос, как лучше словесно оформить свою... Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы... Почему человек чувствует себя несчастным?: Для начала определим, что такое несчастье. Несчастьем мы будем считать психологическое состояние... Как распознать напряжение: Говоря о мышечном напряжении, мы в первую очередь имеем в виду мускулы, прикрепленные к костям ... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (325)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |