Политика безопасности

    Федеральное государственное бюджетное образовательное  учреждение

    высшего профессионального образования

    “ХГУ им. Н. Ф. Катанова”

    Институт  истории и права 
 
 
 
 
 

    Реферат по дисциплине “Информатика”

    “Политика безопасности” 
 
 
 
 
 

Выполнил: студент первого курса БЮ-111 Шаройкина  Вера

Проверил: старший преподаватель кафедры  ТФ и ИТ Остапенко Г. Г. 
 
 

Абакан 2011

Содержание

Введение

1.Определение  политики безопасности....................................................................4

2.Структура политики  безопасности........................................................................6

3.Оценка рисков..........................................................................................................9

3.1.Идентификация  активов...........................................................................................................9

3.2Идентификация  угроз........................................................................................10

4. Основные виды  нарушения режима сетевой безопасности

5.Защита режима  сетевой безопасности

Заключение

Список использованной литературы

Заключение 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение

Политики безопасности лежат в основе организационных  мер защиты информации. От их эффективности  в наибольшей степени зависит  успешность любых мероприятий по обеспечению информационной безопасности. Часто приходится сталкиваться с неоднозначностью понимания термина «политика безопасности». В современной практике обеспечения информационной безопасности термин «политика безопасности» может употребляться как в широком, так и в узком смысле слова. В широком смысле, политика безопасности определяется как система документированных управленческих решений по обеспечению информационной безопасности организации. В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения информационной безопасности. Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения информационной безопасности при взаимодействии с сетью Интернет».

Я считаю, что  выбраная мною тема актуальна в наше время. Все чаще в литературе говорится о комплексных мерах защиты информации в компаниях. В первую очередь, для обеспечения необходимого уровня защищенности организации должны быть созданы правила безопасности. Документом, закрепляющим такие правила, выступает Политика безопасности. В ней закрепляются основополагающие принципы построения защищенной интрасети, а также правила поведения всех участников информационного обмена. В рамках Политики информационной безопасности разрабатываются положения и инструкции, в которых более подробно и детально излагаются основные принципы. Целью мой работы является изучение структуры политики безопасности, основные виды угроз. Также я хочу предложить способы защиты от различных видов угроз. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Чтобы было понятно, о чем пойдет речь, думаю, что стоит  начать с того, что же такое политика безопасности и от чего она зависит.

Политика безопасности организации - это совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Политика безопасности зависит:

• от конкретной технологии обработки информации;
• от используемых технических и программных средств;
• от расположения организации.

В основе защиты доступа к коду (CAS) лежит идея, что сборкам можно лежит идея, что сборкам можно присваивать  те или иные уровни доверия и ограничивать работу кода внутри этих сборок лишь некоторым  набором операций. Безопасность доступа  к коду еще называется безопасностью  на основе подтверждения. Название подтверждение  связано со следующим фактом: для  принятия решений, что же можно делать коду, общеязыковая среда выполнения CLR использует некоторую информацию (подтверждение). Частью подтверждения  может быть место, откуда код загружается, или цифровая подпись кода (кто  именно его подписал). Политика безопасности — это конфигурируемый набор  правил, используемый общеязыковой средой выполнения CLR для принятия таких  решений. Эта политика устанавливается  администраторами. Она может устанавливаться  на уровне предприятия, машины, пользователя или прикладной области.

Разрешения

Политика безопасности определяется с помощью разрешений. Разрешения — это объекты, используемые для описания прав и полномочий сборок на доступ к другим объектам или  на выполнение некоторых действий. Сборки могут запрашивать определенные разрешения. Именно политикой безопасности определяется, какие именно разрешения будут предоставлены сборке.  
Вот, например, некоторые из тех классов, которые предоставляют разрешения:

• SecurityPermission управляет доступом к системе безопасности. В понятие управления доступом входит право вызывать неуправляемый код, управлять потоками, принципалами, прикладными областями, подтверждениями и т п.,
• FilelOPermission управляет доступом к файловой системе;
• ReflectionPermission управляет доступом к метаданным, не являющимся общедоступными, а также к динамической генерации модулей, типов и членов.

Все классы разрешений являются производными от базового класса CodeAccess-Permission, поэтому они ведут  себя одинаково.  
Запрос на некоторые разрешения можно формировать с помощью значений параметров сборки. Общеязыковая среда выполнения CLR использует метаданные для определения того, какие именно разрешения запрашиваются. Затем, используя личность кода и уровень доверия, общеязыковая среда выполнения CLR на основе политики безопасности решит, можно ли предоставить эти разрешения.  
Код перед выполнением определенных ветвей может с помощью программных средств требовать (то есть запрашивать), чтобы вызывающий его код имел те или иные разрешения. Если требование не выполняется, то общеязыковая среда выполнения CLR запускает исключение System: : Security: : SecurityException. Требуя любое разрешение, надо быть готовым перехватить это исключение и работать в ситуации, когда разрешение не предоставлено. Большинству программистов не нужно требовать разрешений, потому что библиотеки каркаса .NET делают это от вашего имени за вас. Впрочем, вы все равно должлы быть готовы обеспечить обработку исключений.  
Код может делать за прос также на то, чтобы предоставленные ему разрешения были ограничены или отменены. Это важно для кода, который использует компоненты или Web-сценарии от сторонних производителей. Поскольку у такого кода может быть меньший уровень доверия, чем у полностью написанного вами, то, пока он выполняется, возможно, придется ограничить имеющиеся у него права. После завершения выполнения кода можно восстановить разрешения на прежнем уровне.  
Определение личности кода равнозначно вопросу опознавания в традиционной системы безопасности. А. вот вопрос о разрешениях решается на основе разрешений, предоставленных сборке ил и отнятых у нее.  
Многие из классов, поддерживающих разрешения, находятся в пространстве имен System: :Secunty: : ^Permissions (Система::Безопасность::Разрешения). Кроме того, разрешения поддерживаются и некоторыми классами из пространств имен System: :Net (Система::Сеть) и Sys tem:: Data (Система-Данные). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Содержание политики безопасности

Политика безопасности — это документ "верхнего" уровня, в котором должно быть указано:

• ответственные лица за безопасность функционирования фирмы;
• полномочия и ответственность отделов и служб в отношении безопасности;
• организация допуска новых сотрудников и их увольнения;
• правила разграничения доступа сотрудников к информационным ресурсам;
• организация пропускного режима, регистрации сотрудников и посетителей;
• использование программно-технических средств защиты;
• другие требования общего характера.

Таким образом, политика безопасности — это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться  на принцип разумной достаточности.

Например, в политике может быть указано, что все прибывающие  на территорию фирмы сдают мобильные  телефоны вахтеру (такие требования встречаются в некоторых организациях). Будет ли кто-нибудь следовать этому  предписанию? Как это проконтролировать? К чему это приведет с точки  зрения имиджа фирмы? Ясно, что это  требование нежизнеспособное. Другое дело, что можно запретить использование  на территории мобильных телефонов  сотрудникам фирмы, при условии  достаточного количества стационарных телефонов.

Принцип разумной достаточности означает, что затраты  на обеспечение безопасности информации должны быть никак не больше, чем  величина потенциального ущерба от ее утраты. Анализ рисков, проведенный  на этапе аудита, позволяет ранжировать  эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный  бюджет системы обеспечения безопасности, то задачу распределения этого ресурса  можно поставить и решить как  условную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить  разграничению зоны ответственности  между службой безопасности и IT-службой  предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической  грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь "творческими" личностями, как правило, стараются  игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность  по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные  обязанности каких бы то ни было сотрудников. Эти обязанности должны разрабатывать-ся на основе политики, но не внутри нее.

Как описано  в "NIST Computer Security Handbook", обычно политика должна включать в себя следующие  части:.

Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики - это может помочь добиться соблюдения политики. В отношении политики безопасности в Интернете организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с Интернетом (напрямую или опосредованно) или собственно соединения Интернет. Эта политика также может определять, учитываются ли другие аспекты работы в Интернете, не имеющие отношения к безопасности, такие как персональное использование соединений с Интернетом.

Описание  позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться Интернетом и при каких условиях.

Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.

Роли  и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в Интернете, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.

Соблюдение  политики. Для некоторых видов политик Интернета может оказаться уместным описание, с некоторой степенью детальности, нарушений , которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.