Загрузил amoteo

1

Реклама
Размещено на http://www.allbest.ru/
Содержание
Введение
1. Характеристика информационной безопасности на предприятиях пищевой
промышленности
2. Обзор Законодательства
3. Модель угроз и модель нарушителя
4. Рекомендации по организации системы защиты информации на
предприятиях пищевой промышленности
Заключение
Глоссарий
Список использованной литературы
Размещено на http://www.allbest.ru/
Введение
Актуальность выбранной темы. Существенное влияние на процесс
обеспечения информационной безопасности организации оказывает профиль
ее деятельности. Это связано с тем, что он определяет:
-виды информации, с которой работает организация (коммерческая
тайна, профессиональная тайна, служебная тайна, персональные данные и т.
д.);
-способы обработки информации и каналы ее передачи;
-уровень доступа посторонних лиц на территорию организации и т. д.
Каждая организация вынуждена искать свои методы и способы
управления уровнем информационной безопасности. Унификация подходов
позволила бы снизить трудоемкость данного процесса.
С учетом вышесказанного была определена цель исследований разработка
унифицированной
информационной
безопасности
методики
(ИБ)
на
управления
уровнем
предприятии
пищевой
промышленности.
Исходя из поставленной цели в работе определены следующие задачи:
- дать краткую характеристику предметной области;
- проанализировать законодательство по теме исследования;
- раскрыть модель угроз и модель нарушителя информационной
безопасности на предприятии пищевой промышленности;
- выявить рекомендации по организации системы защиты информации.
Структура работы. Работа состоит из введения, пяти параграфов,
заключения, глоссария и списка использованной литературы.
Размещено на http://www.allbest.ru/
1.
Характеристика
информационной
безопасности
на
предприятиях пищевой промышленности
информационный безопасность промышленный
Развитие информационнъгх технологий, а также их повсеместное
проникновение в самые различные сферы деловой деятельности привело к
тому, что компьютерная информация может иметь вполне определенную
стоимость. Поэтому одна из важнейших проблем развития информационных
технологий на предприятии и организации — надежное обеспечение
информационной безопасности. Ее решение — изучение форм, способов и
методов выявления и предупреждения опасности в информационной сфере, а
также управление информационной безопасностью на предприятии, выбор
средств защиты1.
Деятельность по защите охраняемой обладателем информации, в
первую очередь, связана с предупреждением утечки конфиденциальной
информации.
Согласно
указу
Президента
РФ
выделяют
виды
конфиденциальной информации: служебная тайна, персональные данные,
тайна
следствия
коммерческая
и
тайна,
судопроизводства,
адвокатская,
нотариальная,
тайна
изобретения
до
сущности
момента
опубликования, профессиональная тайна, тайна связи, банковская, врачебная,
налоговая тайна. В качестве защищаемого субъекта будем рассматривать
коммерческую организацию – Сервисный Центр.
В России сложилась и определенным образом реализуется система
обеспечения информационной безопасности. Основы функционирования
этой системы определяются Федеральными законами, Указами Президента
Российской Федерации, руководящими и методическими документами
федеральных органов исполнительной власти, относящимися к сфере
информационных технологий и информационной безопасности.
Вместе с тем, в настоящее время противоборствующими сторонами
1
Шахалов И.Ю., Дорофеев А.В. Основы управления информационной безопасностью современной
организации //Правовая информатика. 2013. № 3. С. 4-14.
Размещено на http://www.allbest.ru/
активно развивается широкий спектр новых методов и технологий
информационного воздействия как на отдельные средства вычислительной
техники, так и на информационно-телекоммуникационные системы и
автоматизированные системы управления органов государственного и
военного управления, реализация которых направлена на получение
несанкционированного доступа к информационным ресурсам и нарушение
их функциональной устойчивости. Усилено ведется разработка новых
информационных технологий для проведения информационных атак на
автоматизированные системы управления, постоянно совершенствуется уже
существующие и появляются новые способы и средства проведения атак, а
число компьютерных инцидентов ежегодно увеличивается.
При этом автоматизированные системы управления рассматриваются в
качестве одного из основных приоритетных объектов комплексного
деструктивного воздействия, направленного на завоевание информационного
превосходства и нарушение (затруднение) управления. В этих условиях
проблема обеспечения информационной безопасности в различных условиях
обстановки становится одной из ключевых в решении задач построения
автоматизированной системы управления.
Цель управления информационной безопасностью — обеспечение
безопасности
информации
и
объектов
инфраструктуры,
сохранение
конфиденциальности, целостности и доступности информации и единства
информационного пространства компании. В задачи управления входят
построение моделей нарушителей и угроз безопасности информационных
ресурсов организации. В рамках управления формируются требования к
подсистемам обеспечения защиты информации, используемым в организации
(на
предприятии),
разрабатываются
осуществляется
планы
долгосрочного
контроль
и
их
выполнения,
среднесрочного
развития
программы информационной безопасности, реализуется ряд других важных
мероприятий,
направленных
на
достижение
требуемого
уровня
информационной безопасности. К объектам защиты информации обычно
Размещено на http://www.allbest.ru/
относят:
объекты
информационной
инфраструктуры,
включающие
программно-технические комплексы обработки и хранения информации;
объекты автоматизированных систем управления и информационных систем
(ИС), включающие: отдельные автоматизированные рабочие места и
локальные
вычислительные
сети,
серверные
сегменты,
программно-
технические комплексы поддержания;системы документооборота.
2. Обзор Законодательства
В Указе Президента РФ от 12 мая 2009 г. N 537 "О Стратегии
национальной
безопасности
Российской
Федерации
до
2020
г."2
предусмотрено: преодоление технологического отставания в важнейших
областях информатизации, телекоммуникаций и связи, определяющих
состояние
национальной
гармонизации
безопасности;
национальной
обеспечение
информационной
условий
для
инфраструктуры
с
глобальными информационными сетями и системами.
Результаты анализа этого важного документа свидетельствуют, что к
содержанию информационной безопасности, проблемам защищенности
интересов государства в этой сфере относятся положения только пяти статей.
Именно
в
них
обозначены
угрозы,
связанные
с
информационной
безопасностью и национальной безопасностью в различных сферах.
В Доктрине Информационной безопасности Российской Федерации
(утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895)3, которая является
основой
для
формирования
государственной
политики
в
области
обеспечения информационной безопасности Российской Федерации, указано,
что она развивает Стратегию национальной безопасности Российской
Федерации до 2020 г.).
2
Указ Президента РФ от 12.05.2009 N 537 (ред. от 01.07.2014) "О Стратегии национальной безопасности
Российской Федерации до 2020 года"// Собрание законодательства РФ.2009. N 20. Ст. 2444
3
Доктрина информационной безопасности Российской Федерации// Российская газета", N 187, 28.09.2000
Размещено на http://www.allbest.ru/
В
сервисных
центрах
информационной
безопасность
должна
учитываться в первую очередь в отношении коммерческой тайны.
Основные
понятия,
непосредственно
связанные
с
термином
Коммерческая тайна, наиболее полно приведены в Федеральном законе «О
коммерческой
тайне»4.
Приводимые
ниже
определения
далеки
от
совершенства, но остается руководствоваться ими, как единственными
легальными.
Детальное
рассмотрение
вопросов,
связанных
с
нижеуказанными понятиями, будет сделано в соответствующих главах.
«Коммерческая
позволяющая
ее
тайна
обладателю
при
конфиденциальность
существующих
информации,
или
возможных
обстоятельствах увеличить доходы, избежать неоправданных расходов,
сохранить положение на рынке товаров, работ, услуг или получить иную
коммерческую выгоду»5. Коммерческая тайна представляет собой не
разновидность
информации,
а
ее
определенное
состояние
-
конфиденциальность, которая позволяет обладателю информации получить
исключительно коммерческую выгоду в виде: увеличения доходов, избегания
неоправданных расходов, сохранения положения на рынке либо получения
иной коммерческой выгоды.
К коммерческой тайне может быть отнесена научно-техническая,
технологическая и производственная, в том числе секреты производства,
финансово-экономическая, организационная и иная информация. Формой
проявления коммерческой тайны являются коммерческие секреты, то есть
документы, схемы, чертежи, образцы, содержащие в себе сведения,
связанные с производством, технологической информацией, управлением,
финансами и другой деятельностью организации, разглашение или передача
которых может нанести ущерб ее интересам.
4
Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне"// Собрание
законодательства РФ.2004. N 32. Ст. 3283
5
Финансы и безопасность. Интеллектуальный подход. - М.: Центр стратегического планирования, 2011.
С.65
Размещено на http://www.allbest.ru/
Поскольку разглашение информации, составляющей коммерческую
тайну, угрожает экономической безопасности предприятия, использование
такой
информации
должно
сопровождаться
строгим
соблюдением
требований ее защиты. Но следует помнить, что чрезмерное засекречивание
информации делает ее недоступной не только для конкурентов, но и для
возможных
партнеров.
Поэтому
необходим
тщательный
отбор
не
подлежащей разглашению информации.
Перечень
сведений,
которые
составляют
коммерческую
тайну,
определяется руководством организации, им же утверждается инструкция по
работе с секретными документами. Кроме руководителей, носителями
коммерческой тайны являются и другие служащие, по роду своей
деятельности имеющие доступ к такой информации.
К информации, которая не может составлять коммерческую тайну,
относится информация6:
- содержащаяся в учредительных документах;
-
содержащаяся
в
документах,
дающих
право
заниматься
предпринимательской деятельностью (лицензиях и др.);
- содержащаяся в годовых отчетах, бухгалтерских балансах, формах
годовой бухгалтерской отчетности, а также в иных документах, связанных с
исчислением и уплатой налогов и других обязательных платежей;
- содержащая сведения о численности и составе работников, условиях
труда, о наличии свободных рабочих мест;
- о перечне лиц, имеющих право совершать сделки без доверенности от
имени юридического лица;
- о реализации продукции, причиняющей вред здоровью населения;
- состоянии экологии, противопожарной безопасности, санитарноэпидемиологической и радиационной обстановке.
Не может составлять коммерческую тайну и другая информация, для
6
Погуляев В.В. Постатейный комментарий к Федеральному закону "О коммерческой тайне". М.:
Юстицинформ, 2012. С.43
Размещено на http://www.allbest.ru/
которой
действующим
законодательством
введены
соответствующие
ограничения.
В соответствии с Трудовым кодексом Российской Федерации7 в
трудовом договоре могут предусматриваться условия о неразглашении
работником
сведений,
составляющих
коммерческую
тайну,
ставших
известными работнику в связи с исполнением им своих должностных
обязанностей.
При разглашении работником таких сведений работодатель вправе
расторгнуть с ним трудовой договор.
В Гражданском кодексе Российской Федерации8 установлено, что лица,
незаконными методами получившие информацию, которая составляет
коммерческую тайну, обязаны возместить причиненные убытки. Такая же
обязанность возлагается на работников, разгласивших коммерческую тайну
вопреки трудовому договору.
Уголовным
кодексом
Российской
Федерации
предусмотрена
ответственность за собирание сведений, составляющих коммерческую тайну,
путем похищения, подкупа, угроз или иным незаконным способом, а также
незаконные разглашение или использование таких сведений без согласия их
владельца, совершенные из корыстной или иной личной заинтересованности
и причинившие крупный ущерб9.
3. Модель угроз и модель нарушителя
Утечка охраняемой информации обычно становится возможной
вследствие совершения нарушений режима работы с конфиденциальной
7
Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (ред. от 31.12.2014)// Собрание
законодательства РФ.2002. N 1 (ч. 1). Ст. 3
8
Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 N 14-ФЗ (ред. от 31.12.2014)//
Собрание законодательства РФ.1996. N 5. Ст. 410
9
Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ (ред. от 03.02.2015)// Собрание
законодательства РФ.1996. N 25. Ст. 2954
Размещено на http://www.allbest.ru/
информацией. Каналы утечки информации в информационных системах
обработки конфиденциальных данных разобьем на группы.
К
первой
дистанционного
группе
скрытого
относят
каналы,
видеонаблюдения
образующиеся
или
за
счет
фотографирования,
применения подслушивающих устройств, перехвата электромагаитных
излучений и наводок и так далее.
Во вторую группу включают наблюдение за информацией в процессе
обработки с целью ее запоминания, хищение ее носителей, сбор
производственных отходов, содержащих обрабатываемую информацию,
преднамеренное считывание данных из файлов других пользователей, чтение
остаточной информации, то есть данных, остающихся на магнитных
носителях после выполнения заданий, и так далее.
К третьей группе относят незаконное подключение специальной
регистрирующей аппаратуры к устройствам системы или линиям связи,
злоумышленное изменение программ таким образом, чтобы эти программы
наряду с основными функциями обработки информации осуществляли также
несанкционированный сбор и регистрацию защищаемой информации,
злоумышленный вывод из строя механизмов защиты.
К
четвертой
информации
путем
группе
относят
подкупа
или
несанкционированное
шантажа
получение
должностных
лиц
соответствующих служб, сотрудников, знакомых, обслуживающего персона
или родственников, знающих о роде деятельности.
Также необходимо отметить, что низкий уровень конфиденциальности
в первую очередь связан с нарушениями в организации пропускного режима.
Эти нарушения могут быть результатом реализации угрозы «Подкуп
персонала», которая реализуется через уязвимость «Мотивированность
персонала на совершение деструктивных действий». Уровень данной
уязвимости может быть снижен путем соответствующей работы с
персоналом и путем усиления контроля за работой сотрудников.
На уровень целостности и доступности наибольшее влияние оказывают
Размещено на http://www.allbest.ru/
также повреждения каналов передачи данных. К этим повреждениям может
привести сбой, который, в свою очередь, может произойти из-за низкой
надежности каналов. Повысить надежность можно путем усиления работы
службы
технической
поддержки
и
путем
заземления
основного
и
вспомогательного оборудования, используемого при обработке информации.
Эти данные послужат основанием для разработки рекомендаций по
усилению
мер,
направленных
на
обеспечение
конфиденциальности,
целостности и доступности информации. Необходимо усилить контроль над
работой сотрудников, провести тренинги для сотрудников, посвященные ИБ;
заземлить основное и вспомогательное оборудование, используемое при
обработке информации; усилить специалистами службы технической
поддержки и внести изменения в должностные инструкции работников
данной службы.
Реализация указанных превентивных мер защиты, а также ликвидация
существующих
повреждений
позволят
повысить
уровень
конфиденциальности, целостности и доступности до состояния ВС.
Модель
нарушителя
информационной
безопасности
неразрывно
связана с моделью угроз информационной безопасности, т.к. нарушитель
информационной безопасности часто является как источником угроз, так и
следствием.
1. Внутренний нарушитель
К данному типу нарушителя могут быть отнесены различные категории
персонала самого объекта защиты, к ним можно отнести следующих
сотрудников10:
- лица, имеющие санкционированный доступ к максимальному объему
информации
10
(уполномоченные
сотрудники,
такие
как
начальство,
Чебанов А.С., Жук Р.В., Власенко А.В., Сазонов С.Ю. Модель нарушителя комплексной системы
обеспечения информационной безопасности объектов защиты //Известия Юго-Западного государственного
университета. Серия: Управление, вычислительная техника, информатика. Медицинское приборостроение.
2013. № 1. С. 171-173.
Размещено на http://www.allbest.ru/
управляющий состав). Под данную категорию попадает практически весь
персонал объекта защиты;
- лица, имеющие санкционированный доступ к определенному объему
информации (сотрудники структурных подразделений);
- лица, имеющие санкционированные доступ к максимальному объему
(администраторы автоматизированных систем) или определенному объему
(сотрудники
отделов
информации
в
информационных
процессе
технологий,
обеспечения
программисты)
работоспособности
и
функционирования информационных систем.
Необходимо
понимать,
что
администратор
информационной
безопасности имеет различные права и возможности по сравнению с
администратором информационной системы. Стоит учитывать тот факт, что,
несмотря на тип нарушителя «Внутренний», все сотрудники, определенные в
нем, могут иметь удаленный доступ к ресурсам объекта информатизации.
По способам воздействия внутренний нарушитель может быть
разделен на две категории:
- Случайный (непреднамеренный).
Данный нарушитель зачастую даже не предполагает о причинённом
ущербе в случае своих действий. Под категорию случайного нарушителя
может попадать одновременно весь персонал объекта защиты, независимо,
имеет ли он прямой доступ к информации либо осуществляет косвенную
деятельность,
связанную
с
поддержанием
функционирования
информационных систем объекта защиты. Можно выделить несколько
примеров, таких как:
-обслуживающий персонал помещений;
-сотрудники одного из структурных подразделений;
-персонал,
обслуживающий
информационные
ресурсы
объекта
информатизации и т.д.
- Инсайдер (заинтересованное лицо).
Опасность, которую несет в себе данная категория нарушителя, в том,
Размещено на http://www.allbest.ru/
что ущерб от его действий может достигать достаточно внушительных
размеров. В отличие от случайного нарушителя, он сложно идентифицируем
и может осуществлять свою деятельность долгое время.
На сегодняшний момент существуют различные концепции по
описанию инсайдеров на предприятии, по разбиению состава сотрудников на
группы риска, но большинство инсайдеров делятся на сотрудников11:
- заинтересованных в оплате предоставляемой информации об объекте
защиты;
- имеющих личные мотивы по отношению к компании - объекту
защиты.
Наряду с данной классификацией имеется еще одна особенность,
применимая как к внутреннему, так и к внешнему нарушителю, - наличие
возможностей.
Возможности внутреннего нарушителя существенным образом зависят
от действующих в пределах контролируемой зоны объекта защиты
режимных и организационно-технических мер защиты, в том числе по
допуску физических лиц с информационными ресурсами и контролю порядка
проведения работ на объекте защиты.
2. Внешний нарушитель
Это
наиболее
распространенный
вид
нарушителя.
На
регламентирование построения комплексной системы защиты информации и
применение
средств
защиты
информации
направлено
большинство
существующих нормативных документов Российской Федерации.
В
основном
к
данному
виду
можно
отнести
следующих
представителей:
-правоохранительные
органы
и
органы
исполнительной
власти
Российской Федерации;
-конкуренты;
11
Ажмухамедов И.М. Системный анализ и оценка уровня угроз информационной безопасности //Вопросы
защиты информации. 2013. № 2 (101). С. 81-87.
Размещено на http://www.allbest.ru/
-криминальные структуры;
-физические
лица,
непосредственно
занимающиеся
анализом
информационной безопасности объекта защиты.
Основными критериями деления внешних нарушителей на категории
являются:
- возможность доступа к каналам связи, выходящим за границы
контролируемой
зоны
объекта
защиты
(всевозможные
излучения,
оптический канал, линии передачи информации);
- возможность доступа в пределы контролируемой зоны объекта
защиты (санкционированный доступ, несанкционированный доступ путем
маскировки и т.д.);
- наличие информации об объекте защиты;
- имеющиеся средства реализации атак на объект защиты (сканеры
уязвимости, подавители сигнала и т.д.).
4. Рекомендации по организации системы защиты информации на
предприятиях пищевой промышленности
Защита
информации,
подразумевает
соблюдение
правовых,
организационных, технических, технологических и иных специальных мер,
обеспечивающих информационную безопасность (утечку, хищение, утрату,
искажение,
подделку
информации,
несанкционированный
доступ
и
распространение).
Меры по защите информации должны включать в себя:
- определение перечня информации, составляющей коммерческую
тайну;
- ограничение свободного доступа к такой информации;
- договорное регулирование отношений с работниками, имеющими
доступ к сведениям, составляющим коммерческую тайну;
- нанесение на материальные носители информации, составляющей
Размещено на http://www.allbest.ru/
коммерческую тайну, грифа «Коммерческая тайна» с указанием ее
обладателя;
- запрет бесконтрольного использования копировально-множительной
техники;
- соблюдение мер предосторожности при пересылке конфиденциальной
информации;
- принятие мер физической защиты (дверные замки, решетки или
специальные жалюзи на окнах, сейфы и др.);
- административные мероприятия (наличие службы безопасности,
пропускной режим и др.);
- использование технических средств контроля с применением
радиотехнических, акустических, электронных и других систем, применение
которых не противоречит законодательству Российской Федерации.
Обеспечить защиту информации позволяет также соблюдение строгого
контроля над действиями лиц, осуществляющих подготовку секретных
документов и работу с ними. Такие документы должны выдаваться с
разрешения руководителя организации или предприятия под расписку только
лицам, имеющим допуск к работе с ними. Нарушение требований защиты
коммерческой тайны расценивается как несанкционированный доступ к
информации
и
влечет
за
собой
предусмотренную
действующим
законодательством ответственность.
Обязательное
условие
решения
проблемы
обеспечения
информационной безопасности — централизованное управление процессом
обработки конфиденциальной информации, которое предусматривает12:
- координацию действий структурных подразделений предприятия по
реализации
политики
обеспечения
информационной
безопасности
организации (предприятия);
- сосредоточение совокупности корпоративных ресурсов предприятия
12
Щербакова Е.П. Внутренний аудит и информационная безопасность коммерческих организаций
//Академический вестник. 2013. № 3 (25). С. 151-157.
Размещено на http://www.allbest.ru/
на решении задач, предусмотренных указанным планом;
- контроль за своевременностью и полнотой выполнения политики
информационной безопасности.
В системах обеспечения информационной безопасности (СОИБ)
выделяют три составляющие: организационную, нормативно-правовую и
техническую. При этом наибольшее число проблем возникает при
формировании технической составляющей. В процессе ее формирования
следует реализовать ряд базовых принципов.
Один из важнейших — функциональная интеграция программнотехнических комплексов защиты с программно-техническими комплексами
передачи и обработки информации, имеющими собственные встроенные
средства защиты с
развитой функциональностью рабочих станций и серверов, активное
сетевое оборудование.
Второй принцип — физическое или виртуальное разделение ЛВС и
информационных ресурсов структурных единиц организации с жестким
распределением прав доступа к ресурсам между персоналом.
Существенное сокращение затрат на внедрение СОИБ обеспечивает
базовый
принцип
защиты
с
использованием
типовых
комплексов
технических средств защиты информации.
Механизмы защиты позволяют администратору безопасности решать
задачи:
- усиление защиты от НСД в систему;
- разграничение доступа пользователей к ресурсам;
- обеспечение гарантированного удаления информации;
- разграничение доступа к запуску программ;
- контроль целостности объектов файловой системы;
- контроль целостности реестра;
- очистка памяти после завершения работы приложений;
- контроль вывода информации на печать, маркировка документов;
Размещено на http://www.allbest.ru/
- разграничение доступа пользователей к администрированию СЗИ;
- просмотр информационных сообщений СЗИ в ходе работы;
- контроль событий безопасности защищаемой информации.
Механизм
контроля
печати
осуществляет
маркировку
конфиденциальных документов, выводимых на печать, то есть вывод
настраиваемого
штампа
в
колонтитулах
на
страницах
печатаемых
документов.
Механизм
гарантированного
удаления
запрещает
удаление
стандартным способом отмеченных файлов. Удаление файлов происходит
трехкратным затиранием содержимого по алгоритму, исключающему
считывание остаточной информации на диске после удаления.
Механизм очистки памяти очищает (обнуляет) освобождаемых СЗИ
областей оперативной памяти и удаляемых данных на СЗИ.
Механизм
контролируемых
контроля
файлов
целостности
по
алгоритму
проверяет
CRC-32
и
целостность
при
ошибке
восстанавливает их. Этот же механизм используется для контроля
целостности и надежного восстановления свойств СЗИ после сбоев и отказов
оборудования.
Механизм контроля целостности реестра проверяет целостность
разделов (ветвей), параметров (ключей) и значений параметров реестра
Windows сравнением с эталоном и при ошибке информирует пользователя.
Размещено на http://www.allbest.ru/
Заключение
Анализ состояния дел в области информационной безопасности
показывает, что в ряде развитых государств сложилась и успешно
функционирует
вполне
устоявшаяся
инфраструктура
системы
информационной безопасности СИБ, т.е. системы мер, обеспечивающей
такое состояние конфиденциальной информации, при котором исключаются
ее разглашение, утечка, несанкционированный доступ (внешние угрозы), а
также искажение, модификация, потеря (внутренние угрозы).
Тем не менее, как свидетельствует реальность, злоумышленные
действия над информацией не только не прекращаются, а имеют достаточно
устойчивую тенденцию к росту. Опыт показывает, что для успешного
противодействия этой тенденции необходима стройная и управляемая
система обеспечения безопасности информации (ОБИ).
Поскольку информация является продуктом информационной системы
(ИС), т.е. организационно-упорядоченной совокупности информационных
ресурсов,
технологических
средств,
процессы
в
или
традиционном
удовлетворения
информационных
материальными
объектами
реализующих
информационные
автоматизированном
потребностей
информационной
режимах
для
пользователей,
то
безопасности
являются
элементы таких ИС:
- потребители и персонал;
- материально-технические средства (МТС) информатизации;
- информационные ресурсы (ИР) с ограниченным доступом.
Под информационной безопасностью далее будем понимать состояние
защищенности информационных ресурсов, технологий их формирования и
использования, а также прав субъектов информационной деятельности.
Реализация процесса защиты информации в каждом из означенных
контуров происходит примерно по следующим этапам:
1. Определение объекта защиты:
Размещено на http://www.allbest.ru/
- права на защиту ИР;
- стоимостная оценка ИР и его основных элементов;
- длительность жизненного цикла ИР;
-
траектория
информационного
процесса
по
функциональным
подразделениям фирмы;
2. Выявление угроз:
- источников угроз (конкурентов, преступников, сотрудников и т.п.);
- целей угроз (ознакомление, модификация, уничтожение и т.п.);
- возможных каналов реализации угроз (разглашение, утечка, НСД и
т.п.);
3. Определение необходимых мер защиты;
4. Оценка их эффективности и экономической целесообразности;
5. Реализация принятых мер с учетом выработанных критериев
(приоритетов);
6. Доведение принятых мер до персонала (в части касающейся),
контроль за их эффективностью и устранение (предотвращение) последствий
угроз.
Размещено на http://www.allbest.ru/
Глоссарий
1.
переборе
Brute-force атака - вид перебора пароля, который заключается в
все
возможных
паролей.
При
достаточной
скорости
и
недостаточной защищенности криптоалгоритма, brute-force атака может
быстро узнать пароль аккаунта.
2.
Buffer Overflow - самый популярный вид ошибки в программах
UNIX, которые позволяют при некоторых характеристиках (suid-флаг и т.п.)
получить права доступа высшей категории.
3.
Denial-of-service (DoS) - общий вид атаки на сервера в Интернете,
главной целью которой является остановка обслуживания или искажения
обслуживания этим сервером своих пользователей. Это добиваются путем
перезагрузки сервера, "зависания" сервера, прекращение его работы и т.п.
4.
Exploit (эксплоит) - небольшая программа, часто написанная на
языке C с использованием ассемблера (если она под UNIX), которая
используя заранее известный недочет в другой программе, позволяет
получить какую-либо привилегию.
5.
FreeBSD - самый распространенный UNIX-сервер в Интернете.
Известен своей маштабируемостью, но и не защищенностью по умолчанию.
6.
Human denial-of-service (HDoS) - вид атаки на человека с общими
принципами как у DoS-атаки, когда главной целью остановка реагирования
или искажения реагирования человека на определенные факторы
7.
Атака на компьютерную систему - это действие, предпринимаемое
злоумышленником, которое заключается в поиске и использовании той или
иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим,
что такое толкование атаки (с участием человека, имеющего злой умысел),
исключает присутствующий в определении угрозы элемент случайности, но,
как показывает опыт, часто бывает невозможно различить преднамеренные и
случайные действия, и хорошая система защиты должна адекватно
реагировать на любое из них.
Размещено на http://www.allbest.ru/
8.
Аутентификация - процедура проверки является ли человек тем, за
кого он себя выдал при идентификации.
9.
Веб-мастер (веб-админ) - человек, который регулирует работу веб-
сайта.
10. Веб-сайт - сервер в Интернет, который предоставляет для
пользователей Интернета доступ к той информации, которую на него
выложит веб-мастер.
11. Врата сортировки - характеристика бессознательного человека,
которыми обладает каждый индивидуум и с помощью которых можно
расположить человека к себе.
12. Е-майл, e-mail - адрес (в нек. случаях письмо) электронной почты.
13. Идентификация - процедура опознавания человека объектом
информатизации.
14. Лога сервера - файл(ы) на компьютере, в которых фиксируются
события указанные по критериям оценки опасности этих событий. Часто
применяется при обнаружении попыток взлома сервера.
15. Метамодель (метапрограмма) - базовые фильтры восприятия
человека, на которых держится его мировосприятие.
16. Объект информатизации - комплекс, состоящий из программноаппаратных частей компьютера или других видов техники, который хранит,
обрабатывает и выдает информацию.
17. Права доступа - определенный вид характеристики учетной записи
и файлов, которая определяет нормативы доступа (право на чтение,
изменение, удаление и т.п.) к информации при объекте информатизации.
18. Принцип уподобления - метод, при котором, социальный инженер
"уподобляется" жертве. То есть зеркально копирует все вербальные и не
вербальные жесты и позы жертвы, что начинает "управлять" позами, а
соответственно расположенностью жертвы.
19. Социальная инженерия - наука и методология, изучающая
управление
метамоделью
поведения
человека,
а
также
изучающая
Размещено на http://www.allbest.ru/
разрушение и построение соответствующих новых метамоделей.
20. Социальный инженер - человек, который в совершенстве освоил
техники и методы социальной инженерии.
21. Угроза безопасности компьютерной системы - это потенциально
возможное происшествие, неважно, преднамеренное или нет, которое может
оказать нежелательное
воздействие
на
саму систему,
а
также
на
информацию, хранящуюся в ней.
22. Угроза отказа в обслуживании возникает всякий раз, когда в
результате некоторых действий блокируется доступ к некоторому ресурсу
вычислительной системы. Реально блокирование может быть постоянным,
так чтобы запрашиваемый ресурс никогда не был получен, или оно может
вызвать только задержку запрашиваемого ресурса, достаточно долгую для
того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс
исчерпан.
23. Угроза раскрытия заключается том, что информация становится
известной тому, кому не следовало бы ее знать. В терминах компьютерной
безопасности угроза раскрытия имеет место всякий раз, когда получен
доступ
к
некоторой
конфиденциальной
информации,
хранящейся
в
вычислительной системе или передаваемой от одной системы к другой.
Иногда вместо слова "раскрытие" используются термины "кража" или
"утечка" .
24. Угроза целостности
включает в себя любое умышленное
изменение (модификацию или даже удаление) данных, хранящихся в
вычислительной системе или передаваемых из одной системы в другую.
Обычно считается, что угрозе раскрытия подвержены в большей степени
государственные
структуры,
а
угрозе
целостности
-
деловые
или
коммерческие.
25. Учетная запись (аккаунт) - совокупность имени и пароля
конкретного человека для определенного объекта информатизации в целях
обеспечения идентификации и аутентификации этого человека.
Размещено на http://www.allbest.ru/
26. Уязвимость компьютерной системы - это некая ее неудачная
характеристика, которая делает возможным возникновение угрозы. Другими
словами, именно из-за наличия уязвимостей в системе происходят
нежелательные события.
Размещено на http://www.allbest.ru/
Список использованной литературы
1.
Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (ред.
от 31.12.2014)// Собрание законодательства РФ.2002. N 1 (ч. 1). Ст. 3
2.
Гражданский кодекс Российской Федерации (часть вторая) от
26.01.1996 N 14-ФЗ (ред. от 31.12.2014)// Собрание законодательства
РФ.1996. N 5. Ст. 410
3.
Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ (ред.
от 03.02.2015)// Собрание законодательства РФ.1996. N 25. Ст. 2954
4.
Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О
коммерческой тайне"// Собрание законодательства РФ.2004. N 32. Ст. 3283
5.
Указ Президента РФ от 12.05.2009 N 537 (ред. от 01.07.2014) "О
Стратегии национальной безопасности Российской Федерации до 2020
года"// Собрание законодательства РФ.2009. N 20. Ст. 2444
6.
Доктрина информационной безопасности Российской Федерации//
Российская газета", N 187, 28.09.2009
7.
Ажмухамедов И.М. Системный анализ и оценка уровня угроз
информационной безопасности //Вопросы защиты информации. 2013. № 2
(101). С. 81-87.
8.
Погуляев В.В. Постатейный комментарий к Федеральному закону "О
коммерческой тайне". М.: Юстицинформ, 2012. С.43
9.
Финансы и безопасность. Интеллектуальный подход. - М.: Центр
страте¬гического планирования, 2011. С.65
10.
Чебанов А.С., Жук Р.В., Власенко А.В., Сазонов С.Ю. Модель
нарушителя комплексной системы обеспечения информационной
безопасности объектов защиты //Известия Юго-Западного государственного
университета. Серия: Управление, вычислительная техника, информатика.
Медицинское приборостроение. 2013. № 1. С. 171-173.
11.
Шахалов И.Ю., Дорофеев А.В. Основы управления информационной
безопасностью современной организации //Правовая информатика. 2013. №
Размещено на http://www.allbest.ru/
3. С. 4-14.
12.
Щербакова Е.П. Внутренний аудит и информационная безопасность
коммерческих организаций //Академический вестник. 2013. № 3 (25). С. 151157.
Размещено на Allbest.ru
Скачать