Автор работы: Пользователь скрыл имя, 19 Января 2013 в 11:47, реферат
Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.
Введение… ………………………………………………………………………...1
1.Основные понятия……………………………………………………………....2
2.Недостатки существующих стандартов и рекомендаций…………………….3
3.Наиболее распространенные угрозы…………………………………………5
4.Управленческие меры обеспечения информационной безопасности……….7
5.Политика безопасности…………………………………………………………7
6.Политика безопасности гипотетической организации……………………11
6.1.Область применения………………………………………………….11
6.2.Позиция организации…………………………………………………11
6.3Распределение ролей и обязанностей………………………………...12
6.4Законопослушность……………………………………………………12
Заключение……………………………………………………………………….14
Список литературы………………………………………………………………15
Министерство сельского хозяйства Российской Федерации
ФГБОУ ВПО Тюменская государственная сельскохозяйственная академия
Механико-технологический институт
Кафедра «Безопасность
Реферат
на тему: «Информационная безопасность»
754 группа
.
Тюмень 2012 г.
Содержание
Введение… ……………………………………………………
1.Основные понятия………………………………
2.Недостатки существующих стандартов и рекомендаций…………………….3
3.Наиболее распространенные угрозы…………………………………………5
4.Управленческие меры обеспечения информационной безопасности……….7
5.Политика безопасности………………………………………………
6.Политика безопасности гипотетической организации……………………11
6.1.Область применения……………………
6.2.Позиция организации…………………
6.3Распределение ролей и обязанностей………………………………...12
6.4Законопослушность…………………………
Заключение……………………………………………………
Список литературы…………………………………
Введение
Говоря об информационной
безопасности, в настоящее время
имеют в виду, собственно говоря,
безопасность компьютерную. Действительно,
информация, находящаяся на электронных
носителях играет все большую
роль в жизни современного общества.
Уязвимость такой информации обусловлена
целым рядом факторов: огромные объемы,
многоточечность и возможная
анонимность доступа, возможность "информационных
диверсий"... Все это делает задачу
обеспечения защищенности информации,
размещенной в компьютерной среде,
гораздо более сложной
Вследствие этого настоящая работа посвящена именно проблеме обеспечения информационной безопасности именно в компьютерной среде. Если говорить о безопасности информации, сохраняющейся на "традиционных" носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно "традиционных" носителей.
Если говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме. Поэтому принципы обеспечения информационной безопасности в данной работе рассматриваются на примерах деятельности отдельной организации.
1.Основные понятия
Прежде всего, примем понятие информационной безопасности - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база еще отстает от потребностей практики. Имеющиеся в России законы и указы носят в основном запретительный характер. В то же время следует учитывать, что в нашей стране доминирует зарубежное аппаратно-программное обеспечение. В условиях ограничений на импорт и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие быть абсолютно законопослушными, оказываются по существу в безвыходном положении - у них нет возможности заказать и получить "под ключ" современную систему, имеющую сертификат безопасности.
Так сложилось, что в России интерес к вопросам информационной безопасности исходит в основном от банковских кругов. Это и хорошо, и плохо. Хорошо потому, что интерес есть. Плохо потому, что компьютеры стоят не только в банках, а банковскую информацию никак не отнесешь к самой ценной.
Общество в целом зависит от компьютеров, поэтому сегодня проблема информационной безопасности - это проблема всего общества. В других странах это поняли довольно давно. Так, в США в 1987 году был принят закон о компьютерной безопасности - Computer Security Act, вступивший в силу в сентябре 1988 года. Этот закон предусматривает комплекс мер по обучению пользователей, имеющих дело с критичной информацией, по подготовке разъяснительных руководств и т.д., без чего сознательное поддержание режима безопасности просто невозможно. И данный закон действительно выполняется.
Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен обеспечить управленческий уровень, - это выработать политику обеспечения информационной безопасности, определяющую общему направлению работ.
Применительно к персоналу, работающему с информационными системами, используются организационные и программно-технические меры обеспечения информационной безопасности. Сюда следует отнести методики подбора персонала, его обучения, обеспечения дисциплины, а также средства "защиты от дурака". Важным элементом являются также меры по физической защите помещений и оборудования.
Для поддержания режима информационной
безопасности особенно важны программно-технические
меры, поскольку основная угроза компьютерным
системам исходит от них самих: сбои
оборудования, ошибки программного обеспечения,
промахи пользователей и
- идентификация и
- управление доступом;
- протоколирование и аудит;
- криптография;
- экранирование.
2. Недостатки существующих стандартов и рекомендаций
Стандарты и рекомендации образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности. В то же время этот базис ориентирован, в первую очередь, на производителей и "оценщиков" систем и в гораздо меньшей степени - на потребителей.
Стандарты и рекомендации статичны, причем статичны, по крайней мере, в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми.
Иными словами, стандарты и рекомендации не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса:
- как приобретать и
комплектовать информационную
- как практически сформировать
режим безопасности и
Как уже отмечалось, стандарты и рекомендации несут на себе "родимые пятна" разработавших их ведомств. На первом месте в "Оранжевой книге" (документе, освещающем проблемы информационной безопасности в США) и аналогичных Руководящих документах Гостехкомиссии при Президенте РФ стоит обеспечение конфиденциальности. Это, конечно, важно, но для большинства гражданских организаций целостность и доступность - вещи не менее важные. Не случайно в приведенном определении информационной безопасности конфиденциальность поставлена на третье место.
Таким образом, стандарты
и рекомендации являются лишь отправной
точкой на длинном и сложном пути
защиты информационных систем организаций.
С практической точки зрения интерес
представляют по возможности простые
рекомендации, следование которым дает
пусть не оптимальное, но достаточно
хорошее решение задачи обеспечения
информационной безопасности. Прежде
чем перейти к изложению
Несмотря на отмеченные недостатки,
у "Оранжевой книги" есть огромный
идейный потенциал, который пока
во многом остается невостребованным.
Прежде всего, это касается концепции
технологической
3. Наиболее распространенные угрозы
Прежде чем переходить к рассмотрению средств обеспечения информационной безопасности, рассмотрим самые распространенные угрозы, которым подвержены современные компьютерные системы. Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.
Само понятие "угроза" в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности - вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ считается серьезной опасностью. В общем случае проблему информационной безопасности следует рассматривать и с учетом опасности нелегального доступа.
Самыми частыми и самыми
опасными, с точки зрения размера
ущерба, являются непреднамеренные ошибки
пользователей, операторов, системных
администраторов и других лиц, обслуживающих
информационные системы. Иногда такие
ошибки являются угрозами: неправильно
введенные данные, ошибка в программе,
а иногда они создают слабости,
которыми могут воспользоваться
злоумышленники - таковы обычно ошибки
администрирования. Согласно исследованиям,
65% потерь - следствие непреднамеренных
ошибок. Пожары и наводнения можно
считать пустяками по сравнению
с безграмотностью и
На втором месте по размерам ущерба располагаются кражи и подлоги. Согласно имеющимся данным, в 1992 году в результате подобных противоправных действий с использованием ПК американским организациям был нанесен суммарный ущерб в размере 882 млн. долл. Можно предположить, что подлинный ущерб намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз свидетельствует о том, что внутренняя угроза гораздо опаснее внешней.
Весьма опасны так называемые "обиженные сотрудники" - действующие и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:
- повредить оборудование;
- встроить логическую
бомбу, которая со временем
разрушит программы и/или
- ввести неверные данные;
- удалить данные;
- изменить данные.
"Обиженные сотрудники",
даже бывшие, знакомы с порядками
в организации и способны
Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь, следует выделить нарушения инфраструктуры: аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т.п. Опасны, разумеется, стихийные бедствия и техногенные катастрофы. Принято считать, что на долю огня, воды и аналогичных "врагов", среди которых самый опасный - низкое качество электропитания, приходится 13% потерь, нанесенных информационным системам.