Автор работы: Пользователь скрыл имя, 11 Марта 2014 в 16:03, контрольная работа
В широком использовании информации в современном обществе делает вполне закономерной проблему защиты. В условиях развивающегося рынка информационных продуктов и услуг, информация становится полноценным товаром, подобно другим товаром она нуждается в надежной защите. Каждое предприятие должно создавать соответствующие правила по защите информации. Руководители заботиться об определении политики безопасности, должен решаться вопрос о технологии ее реализации в автоматизированном контуре. Для реализации сформулированных правил и норм политики безопасности необходимо использовать (или разработать) некоторую формальную модель, которая допускает эффективное программирование на каком-либо формальном языке.
Введение………………………………………………………………………….3
1.Сущность и цели политики безопасности……………………………………4
2.Наиболее распространенные угрозы………………………………………..6
3.Стратегия применения средств обеспечения информационной безопасности……………………………………………………………………..11
4.Отличия подходов к созданию политики безопасности в России и на Западе……………………………………………………………………………14
Заключение……………………………………………………………………..16
Список литературы…………………………………………………………….17
- определение ценности информационных ресурсов и оценка ущерба от конкретных действий или событий часто может быть выполнена только на качественном уровне;
- эффективность методов и средств обеспечения информационной безопасности зависит от большого числа случайных и трудно предсказуемых факторов, таких как поведение злоумышленника, воздействие природных явлений, случайные сбои и необнаруженные ошибки в системе обработки информации и т. п.;
- организационные меры по обеспечению информационной безопасности связанны с действиями людей, эффективность которых также трудно оценить количественно.
В реальной практике обычно используются качественные оценки или оценки в ранговых шкалах. Например, можно рассмотреть проектные решения, которые обеспечат требуемый уровень защиты:
- от наиболее опасных из известных угроз;
- от всех идентифицированных угроз;
- от всех потенциально возможных угроз.
Во многих случаях системы обработки данных создаются не «с нуля», а развивают имеющиеся системы обеспечения бизнес-процессов организации с возможной автоматизацией некоторых процессов. При разработке средств обеспечения информационной безопасности баз данных проектные решения в значительной степени зависят от возможностей по изменению элементов существующих систем. Можно выделить несколько вариантов, в значительной степени определяющих существо возможных проектных решений:
- никакое вмешательство в информационную систему не допускается (требование предъявляется к функционирующим системам обработки информации, остановка или модификация которых недопустима);
- допускается частичное изменение архитектуры информационной системы (возможна временная остановка процессов функционирования и модификация используемых технологий для встраивания некоторых механизмов защиты);
- требования, обусловленные необходимостью обеспечения информационной безопасности, принимаются в полном объеме при проектировании и эксплуатации системы обработки информации.
4.Отличия подходов к созданию политики безопасности в России и на Западе.
Ни в одном западном материале по информационной безопасности вы не встретите термин «концепция информационной безопасности». По отношению к отдельным компаниям его просто не существует. Если это понятие и встречается, то только по отношению к целым государствам. В России все не так. Любая уважающая себя компания или государственное ведомство тратит немалые ресурсы на разработку этого документа, который, согласно общепринятому толкованию, излагает систему взглядов, целей и задач, основных принципов и способов достижения требуемого уровня защищенности информации. На Западе никто не спорит, что такая единая система нужна, но там она носит название «политика безопасности» (Security Policy).
Но не только этим отличаются российские и зарубежные специалисты. Мы очень большое внимание уделяем форме, а не содержанию этого документа. У нас политику сам заказчик пишет редко – обычно ее за большие деньги заказывают интегратору, который не без основания полагает, что его работу будут оценивать по объему. Поэтому на свет регулярно появляются фолианты по 100–200 страниц, которые можно почти без изменений издавать как учебные пособия по информационной безопасности. Практической ценности подобные документы, увы, почти не имеют. На Западе лишь редкие компании имеют документ, похожий на наши «концепции». Если они и есть, то это скорее некое заявление о безопасности (Security Statement), которое рассчитано на не специалистов по защите информации и лишь отражает внимание руководства компании к данной проблеме, не вдаваясь в технические детали (пример такого Security Statement может быть найден по адресу: http://www.japan-telecom. co.jp/english/security/).
Для специалистов же есть набор конкретных документов, рассматривающих отдельные вопросы обеспечения информационной безопасности предприятия: политика аудита, парольная политика, политика оценки рисков, политика защиты web-сервера, политика работы с электронной почтой и т. п. Все по делу, никакой «воды», исключительно конкретика. К примеру, некоторые из политик компании Cisco. Парольная политика – 3 страницы, 6700 знаков. Политика анализа рисков – 2 страницы, 4600 знаков. Политика защиты сетевого оборудования – 1 страница, 2800 знаков. Самая большая политика – классификация информации – насчитывает всего 8 страниц и 18 200 знаков. При необходимости политика может ссылаться на дополнительные инструкции и руководства. Например, в случае с уже упомянутой парольной политикой в подразделе «Создание паролей» идет ссылка на специальное руководство по правильному выбору паролей (1 страница, 2900 знаков).
Малейшие изменения в какой-либо из политик не требуют пересмотра всех в целом. Изменения касаются только одного документа и не затрагивают остальных аспектов обеспечения безопасности информационных ресурсов. По российской практике необходим пересмотр огромного документа в целом. С учетом того, что обычно его визирует руководство компании или ведомства, любые коррективы подчас приводят к длительному ожиданию подписи непонятного, но внушающего уважение многостраничного «труда».
Заключение
Становится, очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.
Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.
Список литературы
1.Белкин П.Ю. и др. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных. М.: Радио и связь, 2003.
2. ГерасименкоВ.А., Малюк А.А. Основы защиты информации. М.: МИФИ, 1997.
3.Мафтик С. Механизмы защиты в сетях ЭВМ. М.:Мир, 1993.
4. Гайкович В., Першин А., Безопасность электронных банковских систем. - Москва, "Единая Европа", 1994.