Организация защиты информации
Федеральное агентство по образованию
Государственное образовательное учреждение
высшего профессионального образования
Тульский государственный университет
Кафедра технологии полиграфического
производства и защиты информации
Контрольная работа по дисциплине
«Теория информационной безопасности и
методология защиты информации»
Организация защиты информации
Содержание
Введение
1.
Организационно-правовая защита
информации
2.
Методологические основы защиты
информации
3.
Научно-методологический базис защиты
информации
Заключение
Список
использованной литературы
Введение
Острота проблемы защиты информационных технологий в современных
условиях определяется следующими факторами:
· высокими темпами роста парка средств вычислительной техники и
связи, расширением областей использования ЭВМ, многообразием и повсеместным
распространением информационно-управляющих систем, подлежащих защите;
· вовлечением в процесс информационного взаимодействия все
большего числа людей и организаций, резким возрастанием их информационных
потребностей;
· отношением к информации, как к товару, переходом к рыночным
отношениям, с присущей им конкуренцией и промышленным шпионажем, · концентрацией
больших объемов информации различного назначения и принадлежности на
электронных носителях;
· наличием интенсивного обмена информацией между участниками этого
процесса;
· количественным и качественным совершенствованием способов
доступа пользователей к информационным ресурсам;
Естественно, в такой ситуации возникает потребность в защите
вычислительных систем и информации от несанкционированного доступа, кражи,
уничтожения и других преступных и нежелательных действий.
Наблюдается большая разнородность целей и задач защиты - от
обеспечения государственной безопасности до защиты интересов отдельных
организаций, предприятий и частных лиц, дифференциация самой информации по
степени ее уязвимости.
1.
Организационно-правовая защита
информации
Такая подсистема предназначена для регламентации
деятельности пользователей ИС и представляет собой упорядоченную совокупность
организационных решений, нормативов, законов и правил, определяющих общую
организацию работ по защите информации в ИС.
Достижение высокого уровня безопасности невозможно без
принятия должных организационных мер. С одной стороны, эти меры должны быть
направлены на обеспечение правильности функционирования механизмов защиты и
выполняться администратором безопасности системы. С другой стороны, руководство
организации, эксплуатирующей средства автоматизации, должно регламентировать
правила автоматизированной обработки информации, включая и правила ее защиты, а
также установить меру ответственности за нарушение этих правил.
Организационно-правовую защиту структурно можно представить
так:
Организационно-правовые вопросы:
·
органы, подразделения и лица,
ответственные за защиту;
·
нормативно-правовые, методические и
другие материалы;
·
меры ответственности за нарушение
правил защиты;
·
порядок разрешения спорных ситуаций.
Регистрационные аспекты:
·
фиксация "подписи" под
документом;
·
фиксация фактов ознакомление с
информацией;
·
фиксация фактов изменения данных;
·
фиксация фактов копирования содержания.
Юридические аспекты:
·
Утверждение в качестве законов:
·
правил защиты информации;
·
мер ответственности за нарушение правил
защиты;
·
регистрационных решений;
·
процессуальных норм и правил.
Морально-психологические аспекты:
·
подбор и расстановка кадров;
·
обучение персонала;
·
система моральных и материальных
стимулов;
·
контроль за соблюдением правил.
Для организации и обеспечения эффективного функционирования
СЗИ должны быть разработаны документы, определяющие порядок и правила
обеспечения безопасности информации при ее обработке в ИС, а также документы,
определяющие права и обязанности пользователей при работе с электронными
документами юридического характера (договор об организации обмена электронными
документами).
План защиты информации может содержать следующие сведения:
·
назначение ИС;
·
перечень решаемых ею задач;
·
конфигурация;
·
характеристики и размещение технических
средств и программного обеспечения;
·
перечень категорий информации (пакетов,
файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в
ИС;
·
требования по обеспечению доступности,
конфиденциальности, целостности различных категорий информации;
·
список пользователей и их полномочий по
доступу к ресурсам системы;
·
цель защиты системы и пути обеспечения
безопасности ИС и циркулирующей в ней информации;
·
перечень угроз безопасности ИС, от
которых требуется защита, и наиболее вероятных путей нанесения ущерба;
·
основные требования к организации
процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой
информации;
·
требования к условиям применения и
определение ответственности, установленных в системе технических средств защиты
от НСД;
·
основные правила, регламентирующие
деятельность персонала по вопросам обеспечения безопасности ИС (особые
обязанности должностных лиц ИС);
·
цель обеспечения непрерывности процесса
функционирования ИС, своевременность восстановления ее работоспособности и пути
ее достижения;
·
перечень и классификация возможных
кризисных ситуаций;
·
требования, меры и средства обеспечения
непрерывной работы и восстановления процесса обработки информации (порядок
создания, хранения и использования резервных копий информации и дублирующих
ресурсов и т.п.);
·
обязанности и порядок действий
различных категорий персонала системы в кризисных ситуациях по ликвидации их
последствий, минимизации наносимого ущерба и восстановлению нормального
процесса функционирования системы;
·
разграничение ответственности
субъектов, участвующих в процессах обмена электронными документами;
·
определение порядка подготовки,
оформления, передачи, приема, проверки подлинности и целостности электронных
документов;
·
определение порядка генерации,
сертификации и распространения ключевой информации (ключей, паролей и т.п.);
Так же стоит проводить организационные и
организационно-технические мероприятия по созданию и поддержанию
функционирования комплексной системы защиты
Они включают:
· разовые (однократно проводимые и повторяемые только при
полном пересмотре принятых решений) мероприятия;
· мероприятия, проводимые при осуществлении или
возникновении определенных изменений в самой защищаемой АС или внешней среде
(по необходимости);
· периодически проводимые (через определенное время)
мероприятия;
· постоянно (непрерывно или дискретно в случайные моменты
времени) проводимые мероприятия.
2.
Методологические основы защиты
информации
Под методологическими основами защиты информации принято
понимать, во-первых, совокупность научных принципов, обеспечивающих соблюдение
требований системно-концептуального подхода при исследованиях и разработках
проблем защиты, и, во-вторых – совокупность методов, необходимых и достаточных
для оптимальной реализации этих принципов. Повышенная актуальность формирования
методологических основ защиты информации обуславливается по крайне мере
следующими двумя обстоятельствами. В настоящее время весьма остро стоит
проблема комплексной защиты информации, для чего совершенно необходим
адекватный проблеме научно обоснованный методологический базис. Второе
обстоятельство заключается в том, что в процессе более чем 30-ти летнего
развития работ по защите информации разработано большое количество различных
методов решения различных задач, связанных с защитой информации, причем
многообразие этих методов как по функциональному назначению, так и по
используемому по тематическому аппарату настолько большое, что затрудняет
ориентацию в этих методах и правильный выбор их при решении конкретных задач;
необходима системная классификация и системный анализ методов.
Основополагающим методологическим принципом, гарантирующим
соблюдение требований системно-концептуального подхода, очевидно, может быть
принцип формирования и системной классификации полной совокупности моделей,
необходимых и достаточных для обеспечения решения всех задач возникающих в
процессе исследований и практических разработок различных аспектов проблемы
защиты. Следующий принцип, который также является почти очевидным, может быть
сформулирован как системный учет всей совокупности существенно значимых
особенностей самой проблемы защиты информации в современных АСОД. Поскольку
исходными являются требования второго из сформулированных принципов, то
рассмотрим их в первую очередь. Соблюдение требований принципа формирования
полного множества необходимых моделей должно стать гарантией обеспечения рационального
выбора методов решения всех задач, возникающих при исследованиях и разработках
проблем защиты.
Общий вывод сводится к тому, что системы защиты информации
в современных АСОД должны представлять собою стохастические человеко-машинные
системы, функционирующие непрерывно и нуждающиеся в активном управлении. Все
эти обстоятельства непременно должны учитываться при построении и практическом
использовании моделей систем защиты. о противном случае эти модели будут
неадекватными реальным системам защиты. В то же время нетрудно убедиться, что
современная теория систем, сформировавшаяся главным образом на основе
классической теории надежности технических систем не содержит достаточных
средств для построения достаточно адекватных моделей таких систем, к которым
относятся системы защиты информации. В связи с этим приобретает повышенную
актуальность задача разработки новых средств моделирования, ориентированных на
такой тип систем, структуры и процессы функционирования которых образуют люди.
3. Научно-методологический
базис защиты информации
Научно-методологический
базис защиты информации можно представить как совокупность трех иерархически
взаимосвязанных компонентов следующего содержания:
первый
(верхний) уровень — общеметодологические принципы формирования любой науки,
обобщенные до уровня мировоззренческих основ;
второй
(средний) уровень — общая методологическая база того фундаментального
направления, составной ветвью которого является рассматриваемая;
третий
(низший) уровень — методы решения задач, учитывающие специфику конкретного
направления.
Что
касается общеметодологических принципов формирования науки, то они
представляются следующим перечнем:
·
строгое следование главной задаче науки
— выявлению за внешними проявлениями внутренних движений, которые, как правило,
— скрыты;
·
упреждающая разработка общих концепций
решения проблем;
·
формирование концепций на основе
реальных фактов, а не на основе абстрактных умозаключений;
·
учет диалектики взаимосвязей
количественных и качественных изменений в изучаемом фрагменте
действительности;
·
своевременное видоизменение постановок
изучаемых задач;
·
радикальная эволюция в реализации
разработанных концепций;
·
максимально возможная структуризация
компонентов разработанных концепций и систем;
·
унификация и типизация предлагаемых
решений.
Для
формирования структуры и содержания второго уровня научно-методологического
базиса отправной точкой должна служить та посылка, что защита информации к
настоящему времени уже выросла в достаточно серьезное и относительно
самостоятельное научное направление, составляющее одну из ветвей того
фундаментального научного направления информатики. Отсюда следует, что в
качестве данного уровня для защиты информации должна выступать методологическая
база информатики.
Существует
еще одна проблема, связанная с формированием научно-методологического базиса
современной информатики и имеющая непосредственное отношение к защите
информации.
По
мере расширения фронта решаемых задач защиты информации, управления качеством
информации, обеспечения информационной безопасности, информационного
обеспечения освоения информационного поля человечества и других подобных задач
все более настойчивой становится необходимость накопления, хранения и
аналитико-синтетической переработки сверхбольших объемов информации,
характеризуемой повышенным уровнем неопределенности и противоречивости.
Современные
методы и средства обработки не полностью удовлетворяют этим потребностям даже
при нынешнем состоянии упомянутых задач.
Третий
уровень научно-методологического базиса защиты информации составляют методы и
модели непосредственного решения задач. Как известно из теории систем, все
задачи, связанные с изучением, созданием, организацией и функционированием
больших систем, разделены на три класса:
·
Анализ, состоящий в определении текущих
и прогнозировании будущих значений, представляющих интерес характеристик
изучаемых систем;
·
Синтез, состоящий в проектирование
систем и их компонентов, оптимальных по заданной совокупности критериев;
·
Управление, состоящее в определении
оптимальных управляющих воздействий, необходимость в которых может возникнуть в
процессе функционирования систем.
Заключение
Из
изложенного очевидным представляется вывод о том, что основы
научно-методологического базиса защиты информации в настоящее время имеются, но
они нуждаются в серьезном развитии и, прежде всего, в сторону приспособления к
адекватному учету неформальных факторов. Теперь есть основание говорить о
наличии предпосылок успешного решения этой задачи.
Организационные
меры являются той основой, которая объединяет различные меры защиты в единую
систему.
Выполнение
различных мероприятий по созданию и поддержанию работоспособности системы
защиты должно быть возложено на специальную службу - службу компьютерной
безопасности.
Обязанности
должностных лиц должны быть определены таким образом, чтобы при эффективной
реализации ими своих функций, обеспечивалось разделение их полномочий и
ответственности.
Список использованной литературы
1. Диева С.А. Организация и современные методы защиты информации/
С.А. Диева – М.: Концерн «Банковский деловой центр», 1998. – 472с.
2. Куприянов А.И. Основы защиты информации: учеб. Пособие для
студ. высш. учеб. заведений/ А.И.Куприянов, А.В.Сахаров, В.А. Шевцов — М.:
Издательский центр «Академия», 2006. — 256 с.
3. Стрельцов А.А. Обеспечение информационной безопасности России/
Под ред. В.А. Садовничего и В.П. Шерстюка – М.:МЦНМО, 2002. – 296с.
4. Попов Л.И., Зубарев А.В. Основные принципы повышения
эффективности реализации мероприятий по комплексной защите информации.
«Альтпресс», 2009.
-512c.