КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Тема 13. Информационная инфраструктура рынка
ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА И ЕЕ ЗАЩИТА
Информация (от лат. informatio, разъяснение, изложение, осведомленность) — сведения о чём-либо, независимо от формы их представления. Информацию можно разделить на виды по различным критериям: по способу восприятия: · Визуальная — воспринимаемая органами зрения. · Аудиальная — воспринимаемая органами слуха. · Тактильная — воспринимаемая тактильными рецепторами. · Обонятельная — воспринимаемая обонятельными рецепторами. · Вкусовая — воспринимаемая вкусовыми рецепторами. по форме представления: · Текстовая — передаваемая в виде символов, предназначенных обозначать лексемы языка. · Числовая — в виде цифр и знаков, обозначающих математические действия. · Графическая — в виде изображений, предметов, графиков. · Звуковая — устная или в виде записи и передачи лексем языка аудиальным путём. СВОЙСТВА ИНФОРМАЦИИ: Содержательность информации отражает семантическую ёмкость, равную отношению величины семантической информации в сообщении к объёму обрабатываемых данных. Информационной системой (или информационно-вычислительной системой) называют совокупность взаимосвязанных аппаратно-программных средств для автоматизации накопления и обработки информации. В информационную систему данные поступают от источника информации. Эти данные отправляются на хранение либо претерпевают в системе некоторую обработку и затем передаются потребителю.
n Информационная инфраструктура — система организационных структур, систем, обеспечивающих функционирование и развитие информационного пространства страны и средств информационного взаимодействия.
n Интернет n Дистанционное образование n Сетевые СМИ n Реклама и др. n Слой 1. Пользовательский (потребительский) слой — слой потребителей информационного ресурса с правилами их взаимодействия с информационной структурой. n Слой 2. Функциональный слой с совокупностью услуг, предоставляемых пользователям (потребителям) различными поставщиками информации. n Слой 3. Информационный слой, в котором непосредственно содержится информационный ресурс. n Слой 4. Коммуникационный слой, рассматриваемый как единая информационная магистраль (информационная сеть). Классификация информационных систем Классификация информационных систем по степени автоматизации: 1. Ручные информационные системы характеризуются отсутствием современных технических средств переработки информации и выполнением всех операций человеком. Например, о деятельности менеджера в фирме, где отсутствуют компьютеры, можно говорить, что он работает с ручной ИС; 2. Автоматизированные информационные системы (АИС) — наиболее популярный класс ИС. Предполагают участие в процессе накопления, обработки информации баз данных, программного обеспечения, людей и технических средств; 3. Автоматические информационные системы выполняют все операции по переработке информации без участия человека, различные роботы. Примером автоматических информационных систем являются некоторые поисковые машины Интернет, например Google, где сбор информации о сайтах осуществляется автоматически поисковым роботом и человеческий фактор не влияет на ранжирование результатов поиска.
Обычно термином ИС в наше время называют автоматизированные информационные системы. Классификация информационных систем по характеру использования информации: 1. Информационно-поисковые системы — система для накопления, обработки, поиска и выдачи интересующей пользователя информации; 2. Информационно-аналитические системы — класс информационных систем, предназначенных для аналитической обработки данных с использованием баз знаний и экспертных систем; 3. Информационно-решающие системы — системы, осуществляющие накопления, обработки и переработку информации с использованием прикладного программного обеспечения: - управляющие информационные системы с использованием баз данных и прикладных пакетов программ, - советующие экспертные информационные системы, использующие прикладные базы знаний; 4. Ситуационные центры (информационно-аналитические комплексы). Классификация информационных систем по архитектуре: 1. Локальные ИС (работающие на одном электронном устройстве, не взаимодействующем с сервером или другими устройствами); 2. Клиент-серверные ИС (работающие в локальной или глобальной сети с единым сервером); 3. Распределенные ИС (децентрализованные системы в гетерогенной многосерверной сети). Классификация информационных систем по сфере применения: 1. Информационные системы организационного управления — обеспечение автоматизации функций управленческого персонала; 2. Информационные системы управления техническими процессами — обеспечение управления механизмами, технологическими режимами на автоматизированном производстве; 3. Автоматизированные системы научных исследований — программно-аппаратные комплексы, предназначенные для научных исследований и испытаний; 4. Информационные системы автоматизированного проектирования — программно-технические системы, предназначенные для выполнения проектных работ с применением математических методов; 5. Автоматизированные обучающие системы — комплексы программно-технических, учебно-методической литературы и электронные учебники, обеспечивающих учебную деятельность; 6. Интегрированные информационные системы - обеспечение автоматизации большинства функций предприятия;
7. Экономическая информационная система - обеспечение автоматизации сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций управления. 8. Медицинская информационная система — информационная система, предназначенная для использования в лечебном или лечебно-профилактическом учреждении. 9. Географическая информационная система — информационная система, обеспечивающая сбор, хранение, обработку, доступ, отображение и распространение пространственно – координированных данных (пространственных данных) Классификация информационных систем по признаку структурированности решаемых задач: 1. Модельные информационные системы позволяют установить диалог с моделью в процессе ее исследования (предоставляя при этом недостающую для принятия решения информацию), а также обеспечивает широкий спектр математических, статистических, финансовых и других моделей, использование которых облегчает выработку стратегии и объективную оценку альтернатив решения. Пользователь может получить недостающую ему для принятия решения информацию путем; 2. Использование экспертных информационных систем связано с обработкой знаний для выработки и оценки возможных альтернатив принятия решения пользователем. Реализуется на двух уровня. Существуют три основных принципа ИБ: · доступность; · конфиденциальность; · целостность. Причины потери информации n Сбои в работе оборудования n Инфицирование компьютерными вирусами n Неправильное хранение архивных данных n Несанкционированный доступ n Некорректная работа Несанкционированный доступ n Хакеры – особый вид IT специалистов, занимающихся взломом паролей, воровством и порчей информации. n Основной инструмент – программа взломщик, делящая на 2 компонента: программа доступа к удаленным компьютерам по телефонным сетям и словарь вероятных кодов и паролей. Стратегии безопасности информации
n Шифрование информации n Установка системы паролей Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что: · организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной; · активам организации наносится незначительный ущерб; · организация несет незначительные финансовые потери; · персоналу наносится незначительный вред. Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что: · компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной; · активам организации причиняется значительный ущерб; · компания несет значительные финансовые потери; · персоналу наносится значительный вред, не создающий угрозы жизни или здоровью. Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть: · компания теряет способность выполнять все или некоторые из своих основных функций; · активам организации причиняется крупный ущерб; · организация несет крупные финансовые потери; · персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью. Категорировать необходимо и пользовательскую, и системную информацию, представленную как в электронной форме, так и в виде "твердой" копии. Открытая информация может не иметь категории конфиденциальности. Например, сведения, содержащиеся на общедоступном web-сервере организации, не имеют категории конфиденциальности, а их доступность и целостность оцениваются как умеренные. При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой ИС, т.е. берется максимум категорий по всем видам информации и активов. Для получения интегральной оценки следует взять максимум категорий по основным аспектам информационной безопасности. Базовые требования безопасности к информации и ИС: · Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур. · В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных. · Применительно к закупке систем и сервисов в компании необходимо: o выделить достаточный объем ресурсов для адекватной защиты ИС; o при разработке систем учитывать требования ИБ; o ограничивать использование и установку программного обеспечения; o обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов. В области сертификации, аккредитации и оценки безопасности в организации следует проводить: o постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности; o периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность; o разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС; o авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами. В области кадровой безопасности необходимо: o обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности; o обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников; o применять соответствующие официальные санкции к нарушителям политики и процедур безопасности. Организация должна обеспечить информирование и обучение сотрудников: o чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п.; o чтобы персонал имел должную практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью. Необходимым условием выполнения требований безопасности являются выбор и реализация соответствующих регуляторов безопасности, то есть выработка и применение экономически оправданных контрмер и средств защиты. Регуляторы безопасности подразделяются на административные, процедурные и программно-технические и служат для обеспечения доступности, конфиденциальности и целостности информационной системы и обрабатываемых, хранимых и передаваемых ею данных. Выбор регуляторов безопасности осуществляется на основе результатов категорирования данных и информационной системы. Кроме того, следует учесть, какие регуляторы безопасности уже реализованы и для каких имеются конкретные планы реализации, а также требуемую степень доверия к эффективности действующих регуляторов. Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов, ассоциированных с требуемым уровнем ИБ. Применяя трехуровневую шкалу, используют три базовых набора, соответственно, для минимального (низкого, базового), умеренного и высокого уровня информационной безопасности. Минимальные требования доверия для регуляторов безопасности предъявляются к определенным процессам и действиям. Специалисты, разрабатывающие и реализующие регуляторы, определяют и применяют (выполняют) эти процессы и действия для повышения степени уверенности в том, что регуляторы реализованы корректно, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности. На минимальном уровне информационной безопасности необходимо, чтобы регуляторы безопасности были задействованы и удовлетворяли явно заданным в их определении функциональным требованиям. На умеренном уровне информационной безопасности дополнительно должны выполняться следующие условия. Специалисты, разрабатывающие (реализующие) регуляторы, предоставляют описание их функциональных свойств, достаточно детальное, чтобы было возможно выполнять анализ и тестирование регуляторов. Как неотъемлемая составная часть регуляторов разработчиками документируются и предоставляются распределение обязанностей и конкретные действия, благодаря которым после завершения разработки (реализации) регуляторы должны удовлетворять предъявляемым к ним функциональным требованиям. Технология, по которой разрабатываются регуляторы, должна поддерживать высокую степень уверенности в их полноте, непротиворечивости и корректности. На высоком уровне информационной безопасности, кроме всего вышеуказанного, необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами. От разработчиков требуются свидетельства того, что после завершения разработки (реализации) выполнение предъявляемых к регуляторам требований будет непрерывным и непротиворечивым в масштабах всей информационной системы, и будет поддерживаться возможность повышения эффективности регуляторов. Обеспечение информационной безопасности — сложный, многоаспектный процесс, требующий принятия множества решений, анализа множества факторов и требований, порой противоречивых. Наличие категорий и минимальных требований безопасности, а также предопределенного каталога регуляторов безопасности, способно служить базой для системного подхода к обеспечению ИБ, подхода, требующего разумных трудовых и материальных затрат и способного дать практически приемлемые результаты для большинства организаций.
Дата добавления: 2014-10-23; Просмотров: 581; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |