Комплекс мер по созданию атмосферы информационной безопасности

Автор работы: Пользователь скрыл имя, 12 Ноября 2015 в 22:48, контрольная работа

Описание работы

Любая предпринимательская деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений.

Скачать архив (20.96 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

Informatsionnaya_bezopasnost_kontrolnaya.docx

— 83.83 Кб (Скачать файл)

АЛМАТИНСКИЙ  ФИЛИАЛ  НЕГОСУДАРСТВЕННОГО  ОБРАЗОВАТЕЛЬНОГО  УЧРЕЖДЕНИЯ  ВЫСШЕГО  ПРОФЕССИОНАЛЬНОГО  ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ  ГУМАНИТАРНЫЙ  УНИВЕРСИТЕТ  ПРОФСОЮЗОВ»

 


 

 

 

 

 

Факультет: Экономический

Кафедра: экономики, информатики и математики

 

 

 

 

 

 

КОНТРОЛЬНАЯ РАБОТА

 

по дисциплине: информационная безопасность

на тему: комплекс мер по созданию атмосферы информационной безопасности.

 

 

 

 

Выполнила студентка:

Бережная Т. С.

группы 301 ПИВ, III курса

отделения прикладной информатики в экономике

Проверила: доцент Полегенько И.Г.

 

 

 

 

 

 

 

Алматы, 2015

 

СОДЕРЖАНИЕ

 

 
ВВЕДЕНИЕ


 

Любая предпринимательская деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. Поэтому в новых рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и физических и юридических лиц, их имущественной собственности и личной безопасности.

Поэтому комплекс мер по созданию атмосферы информационной безопасности являемся приоритетной задачей любой организации.

 

 

 

 

  1. Основные направления обеспечения информационной безопасности

Нормативно-методическое обеспечение информационной безопасности предполагает создание сбалансированной правовой базы в области защиты от угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы информационной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности АС, количества объектов защиты и т.д. Так, например, для крупных организаций основополагающим нормативным документом в области защиты информации должна быть концепция или политика безопасности.

В рамках кадрового обеспечения информационной безопасности в компании должен быть организован процесс обучения сотрудников по вопросам противодействия информационным атакам. В процессе обучения должны рассматриваться как теоретические, так и практические аспекты информационной защиты. При этом программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также от того к каким информационным ресурсам он имеет доступ.

Первое поколение ЭВМ (1950-е гг.) было построено на базе электронных ламп и представлено моделями: ЭНИАК, "МЭСМ", "БЭСМ-1", "М-20", "Урал-1", "Минск-1". Все эти машины имели большие размеры, потребляли большое количество электроэнергии, имели малое быстродействие, малый объем памяти и невысокую надежность. В экономических расчетах они не использовались.

Второе поколение ЭВМ (1960-е гг.) было на основе полупроводников и транзисторов: "БЭСМ-6", "Урал-14", "Минск-32". Использование транзисторных элементов в качестве элементной базы позволило сократить потребление электроэнергии, уменьшить размеры отдельных элементов ЭВМ и всей машины, вырос объем памяти, появились первые дисплеи и др. Эти ЭВМ уже использовались на вычислительных центрах (ВЦ) специалистами, однако, пользователь только представлял исходные данные для их обработки на ВЦ и обычно спустя месяц получал результат сведения.

Третье поколение ЭВМ (1970-е гг.) было на малых интегральных схемах. Его представители – IBM 360 (США), ряд ЭВМ единой системы (ЕС ЭВМ), машины семейства малых ЭВМ с СМ I по СМ IV. С помощью интегральных схем удалось уменьшить размеры ЭВМ, повысить их надежность и быстродействие. В АИС появились терминалы – устройства ввода-вывода данных (пишущие машинки и/или дисплеи, соединенные с ЭВМ), что позволило пользователю непосредственно общаться с ЭВМ.

Четвертое поколение ЭВМ (1980-е гг.) было на больших интегральных схемах (БИС) и было представлено IBM 370 (США), ЕС-1045, ЕС-1065 и пр. Они представляли собой ряд программно-совместимых машин на единой элементной базе, единой конструкторско-технической основе, с единой структурой, единой системой программного обеспечения, единым унифицированным набором универсальных устройств. Широкое распространение получили персональные (ПЭВМ), которые начали появляться с 1976 г. в США (An Apple). Они не требовали специальных помещений, установки систем программирования, использовали языки высокого уровня и общались с пользователем в диалоговом режиме.

В настоящее время строятся ЭВМ на основе сверхбольших интегральных схем (СБИС). Они обладают огромными вычислительными мощностями и имеют относительно низкую стоимость. Их можно представить не как одну машину, а как вычислительную систему, связывающую ядро системы, которое представлено в виде супер-ЭВМ, и ПЭВМ на периферии. Это позволяет существенно сократить затраты человеческого труда и эффективно использовать машины.

Интерфейс – определенные стандартом правила взаимодействия пользователей, устройств, программ

К известным методикам и стандартам, касающимся организации жизненного цикла ИС, можно отнести: методику Oracle CDM (Custom Development Method) по разработке прикладных ИС под заказ; международный стандарт ISO/IEC 12207 по организации жизненного цикла продуктов программного обеспечения; отечественный стандарт ГОСТ 34.003-90.

Наибольшее число ППП создано для бухгалтерского учета: «1C: бухгалтерия», «Турбо-Бухгалтер», «Инфо-Бухгалтер», «Парус», «ABACUS», «Бэмби+» и др.

 

2. Цель и задачи при создании атмосферы информационной безопасности

 

Практический опыт показывает, что информационную безопасность предприятию может обеспечить только комплексная система защиты информации. Такая система должна включать комплекс мер по созданию атмосферы информационной безопасности - правовые, организационные и технические методы защиты.

Основной целью, комплекса мер по созданию атмосферы информационной безопасности является защита Организации, ее клиентов и корреспондентов от возможного нанесения им ощутимого материального, морального или другого ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:

  • доступности обрабатываемой информации (устойчивого функционирования АС, при котором пользователи системы имеют возможность получения необходимой им информации и результатов решения задач за приемлемое время);
  • конфиденциальности определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;
  • целостности информации, хранимой и обрабатываемой в АС и передаваемой по каналам связи.

Для достижения основной цели защиты и обеспечения указанных свойств АС и циркулирующей в ней информации система безопасности АС должна обеспечивать эффективное решение следующих задач:

  • защиту АС от вмешательства в процесс ее функционирования посторонних лиц (возможность использования автоматизированной подсистемы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи - сотрудники структурных подразделений ОРГАНИЗАЦИИ);
  • разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС для выполнения своих служебных обязанностей);
  • регистрацию действий пользователей при работе с защищаемыми ресурсами АС в системных журналах и периодический контроль корректности (правомерности) действий пользователей системы путем анализа содержимого этих журналов специалистами службы безопасности и/или администраторами информационной безопасности технологических участков;
  • защиту хранимых и передаваемых по каналам связи данных от несанкционированной модификации (искажения), фальсификации, уничтожения и подтверждение аутентичности (авторства) электронных документов;
  • защиту информации ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения (утечки);
  • защиту от несанкционированной модификации (подмены, уничтожения) и контроль целостности используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
  • контроль целостности операционной среды исполнения прикладных программ (решения прикладных задач)  и ее восстановление в случае нарушения

3. Структура  и направления мер  по обеспечению информационной безопасности

Организационная структура, реализующая комплекс мер информационной безопасности на предприятии - служба безопасности базируется на правовых, методических и организационно-распорядительных документах, определяющих статус, права и обязанности этих органов защиты, порядок лицензирования их деятельности и сертификацию используемых ими технических средств защиты информации.

На уровне предприятия осуществляются конкретные меры  по обеспечению информационной безопасности деловой деятельности. Для предприятия можно выделить два характерных уровня обеспечения ИБ – административный и программно-технический.

Основной мерой административного уровня является разработка политики и программы безопасности.

Политика безопасности – совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов. Политика безопасности определяет стратегию организации в области ИБ, а также количество ресурсов, которое руководство считает целесообразным выделить. Она строится на анализе рисков, которые признаются реальными для информационной системы организации.

В составе конкретных мер административного уровня можно выделить:

Управленческие меры обеспечения информационной безопасности

  1. Политика безопасности
  2. Программа безопасности
  3. Управление рисками
  4. Безопасность в жизненном цикле системы

Операционные регуляторы

  1. управление персоналом;
  2. физическая защита;
  3. поддержание работоспособности;
  4. реагирование на нарушение безопасности;
  5. планирование восстановительных работ.

На программно-техническом уровне доступны следующие механизмы безопасности:

  1. идентификация и аутентификация;
  2. управление доступом;
  3. протоколирование и аудит;
  4. криптографические средства защиты;
  5. межсетевое экранирование (брандмауэр, firewall).

На уровне отдельных граждан: граждане являются самым незащищенным в правовом отношении субъектом правовых отношений (нет законов о защите индивидуальной информации, номеров телефонов, почтовых рассылок (данные паспорта)).

Существенное значение при выборе путей решения проблемы защиты информации (ЗИ) имеет направление или вид объекта информационной защиты.

Направления ЗИ:

  1. Защита объектов ИС
  2. Защита процессов и процедур обработки информации
  3. Защита каналов связи
  4. Подавление ПЭМИН
  5. Управление защитой.
    1. Защита объектов информационной системы (ИС).

Объекты информационной безопасности могут быть следующих видов:

  • Информационные объекты – любая информация (сообщения, сведения, файлы, БД) в любых форматах ее представления  (аналоговая, цифровая, виртуальная, мысленная).
  • Ресурсные объекты -  все компоненты ИС, ее аппаратное и программное обеспечение, процедуры, протоколы и т.д. (начиная с ОС и заканчивая выключателем сети)..
  • Физические объекты – территория, здания, помещения, средства связи, компьютерная техника.
  • Пользовательские объекты – это люди, которые используют ресурсы ИС, имея доступ через терминалы и рабочие станции.
  • Логические объекты – логические операции или процедуры, результатом которых является определенный вывод или признак.
    1. Защита процессов и процедур обработки информации

Это направление включает защиту:

  • процессов обработки данных;
  • программ;
  • исполняемых файлов;
  • от загрузки программного обеспечения;
  • от программных закладок и вирусов.

Под процессом обработки данных будем понимать установленную последовательность процедур, операций преобразования информации, реализуемых при функционировании системы.

Защита процессов и процедур обработки информации включает защиту от вирусов и программных закладок.

    1. Защита каналов связи

Информация должна быть конфиденциальной как в процессе ее перемещения в пределах внутренней локальной сети, так и при передаче в другие ИС по каналам связи. Защита каналов связи предусматривает криптографические методы и средства защиты.

Информация о работе Комплекс мер по созданию атмосферы информационной безопасности