Создание защищенной информационной системы и систем информатизации

Содержание

 

Введение………………………………………………………………….......……2

1. Информатизация и ее составляющие……………………………………........3

2.Информационная безопасность и защита информации………….....…...…...4

3. Угрозы безопасности информационных технологий и систем………...……7

4. Методы защиты информационных технологий и

    информационных систем..................................................................................10

5. Этапы создания информационной системы....................................................14

6. Создание защищенной информационной системы для предприятия..........16

Заключение…………………………………………………………….................22

Список литературы………………………………………………........................23

 

Введение

Сегодня в индустрии туризма нашли широкое применение современные информационные технологии в сфере бронирования, резервирования, интегрированные коммуникационные сети, системы мультимедиа, информационные системы менеджмента и др. Но главенствующее влияние туристического рынка оказывают технологии продвижения туристических продуктов и услуг, т.е. маркетинг и реклама туристических предприятий в сети Интернет. Туристский бизнес, являясь одной из самых динамичных сфер экономики, представляет собой высоко насыщенную информационную отрасль. Другими словами, сбор, хранение, обработка и передача актуальной информации являются важнейшим и необходимым условием функционирования любого туристского предприятия. Успех бизнеса некоторых отраслей экономики напрямую зависит от скорости передачи и обмена информацией, от ее актуальности, своевременности получения, адекватности и полноты. Не менее важным является сохранение полученной информации, невозможность ее утечки или потери. Поэтому создание и постоянное поддержание защищенных информационных систем является необходимой основой для нормального функционирования бизнеса.

Цель данной работы - изучение средств защиты информационных технологий и информационных систем. Главной задачей является создание защищенной информационной системы для предприятия.

Предмет исследования – использование защищенной информационной системы в деятельности предприятия.

Объектом исследования является предприятие, в рамках которого используется защищенная информационная система.

 

1. Информатизация  и ее составляющие

Информатизация – это процесс создания, развития и всеобщего применения информационных средств и технологий, обеспечивающих кардинальное улучшение качества труда и условий жизни в обществе.

Информатизация тесно связана с внедрением информационно - вычислительных систем, с повышением уровня автоматизации организационно - экономической, технологической, административно - хозяйственной, проектно- конструкторской, научно- исследовательской и других видов деятельности. [10]

В свою очередь информатизация подразделяется на информационные ресурсы (отдельные документы, отдельные массивы документов, документация в информационных системах) и информационные системы.

Термин информационная система (ИС) используется как в широком, так и в узком смысле.

В широком смысле информационная система есть совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать надлежащих людей надлежащей информацией. [1]

В узком смысле информационной системой называют только подмножество компонентов ИС в широком смысле, включающее базы данных, СУБД (система управления базами данных) и специализированные прикладные программы. Информационные системы подразделяются на традиционные (реализуются на базе информационных технологий с использованием традиционных методов информационного взаимодействия) и автоматизированные (реализуются на базе информационных технологий с использованием средств вычислительной техники, информатики и связи).[5]

В дальнейшем, в работе будет использоваться понятие информационной системы, как одной из систем информатизации.

 

2. Информационная безопасность и защита информации

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Защищенной считают информацию, не претерпевшую незаконных изменений в процессе передачи, хранения и сохранения, не изменившую такие свойства, как достоверность, полнота и целостность данных.

Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности. Любая система защиты информации имеет свои особенности и в то же время должна отвечать общим требованиям. Общими требованиями к системе защиты информации являются следующие:

1. Система защиты информации  должна быть представлена как  нечто целое. Целостность системы  будет выражаться в наличии  единой цели ее функционирования, информационных связей между  ее элементами, иерархичности построения подсистемы управления системой защиты информации.

2. Система защиты информации  должна обеспечивать безопасность  информации, средств информации  и защиту интересов участников  информационных отношений.

3. Система защиты информации в целом, методы и средства защиты должны быть по возможности «прозрачными» для пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации и в то же время быть непреодолимыми для несанкционированного доступа злоумышленника к защищаемой информации.

4. Система защиты информации  должна обеспечивать информационные  связи внутри системы между  ее элементами для согласованного  их функционирования и связи  с внешней средой, перед которой  система проявляет свою целостность и поступает как единое целое. [2]

 Таким образом, обеспечение безопасности информации, в том числе в компьютерных системах, требует сохранения некоторых ее свойств. На практике под этим понимается поддержание целостности, доступности и конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных. Меры информационной безопасности можно разделить на три группы в соответствии с тем, направлены ли они на предупреждение, обнаружение или ликвидацию последствий нападений.

Проблемы обеспечения безопасности носят комплексный характер, включают необходимость сочетания законодательных, организационных и программно-технических мер. Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.).

Ключевые механизмы безопасности программно-технического уровня:

• идентификация и аутентификация (проверка личности);

• управление доступом (контроль действий, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами));

• протоколирование и аудит (сбор, накопление и анализ информации о событиях, происходящих в информационной системе предприятия);

• криптография (шифрование данных);

• экранирование (функции разграничения доступа, протоколирование информационного обмена.).

Строго говоря, всем защитным мерам должен предшествовать анализ угроз. Информационная безопасность начинается не тогда, когда случилось первое нарушение, а когда идет формирование будущей компьютерной системы. [2]

 

3. Угрозы безопасности информационных технологий и систем

Под угрозой безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации.

Угрозы делятся на непреднамеренные (источником могут быть выход из строя аппаратных средств, неправильные действия работников ИС или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д.) и умышленные (преследуют цель нанесения ущерба управляемой системе или пользователям). [7]

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные технологии и системы:

1) Ошибки пользователей.

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются угрозами (неправильно введенные данные, ошибка в программе, вызвавшая крах системы), иногда они создают слабости, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). Самый радикальный способ борьбы с непреднамеренными отгибами — максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

2) Утечка информации - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации. Большую часть в данном аспекте представляет, так называемый «человеческий фактор». То есть сотрудники организации, что не удивительно, потому что кто, как не они имеют достаточно полномочий и возможностей для завладения информацией.

3) Кражи и подлоги.

По данным газеты USA Today, в результате подобных противоправных действий с использованием персональных компьютеров американским организациям ежегодно наносится суммарный ущерб в размере не менее 1 млрд долларов. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Весьма опасны так называемые обиженные сотрудники — нынешние и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику (Например: повредить оборудование; встроить логическую бомбу, которая со временем разрушит программы и/или данные; ввести неверные данные; удалить данные; изменить данные и т. д.) Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

4) Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь следует выделить нарушения инфраструктуры — аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т. п. Опасны, разумеется, стихийные бедствия и события, воспринимаемые как стихийные бедствия — пожары, наводнения, землетрясения, ураганы.

5) Хакерские атаки.

Хакерские атаки являют собой покушение на систему безопасности, для захвата контроля над удаленной или локальной вычислительной системой, либо для ее дестабилизации, либо отказа в обслуживании. Для осуществления хакерской атаки хакеры часто используют уязвимости в программном обеспечении для внедрения в компьютерную систему. Целью таких атак являются кража конфиденциальной информации или установка вредоносных программ. Помимо этого, хакеры также могут использовать взломанные персональные компьютеры для рассылки спама.

6) Программные вирусы.

Современный компьютерный вирус – это практически незаметный для обычного пользователя "враг", который постоянно совершенствуется, находя все новые и более изощренные способы проникновения в информационные системы. Необходимость борьбы с компьютерными вирусами обусловлена возможностью нарушения ими всех составляющих информационной безопасности. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Вирусные эпидемии способны блокировать работу организаций и предприятий. [4]

 

4. Методы защиты информационных технологий и информационных систем

 Существуют следующие методы защиты информационных технологий и информационных систем:

1) Криптографические методы.

Основные направления  использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде. Криптографические методы подразделяются на:

- Симметричные криптосистемы (для шифрования, и для дешифрования используется один и тот же ключ). Все многообразие существующих криптографических методов можно свести к следующим классам преобразований (рис.1):

Рис.1. Виды симметричных криптографических методов

 

Подстановки - вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по более или менее сложному правилу. Для обеспечения высокой криптостойкости требуется использование больших ключей.