Тема 13. Информационная инфраструктура рынка

ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА И ЕЕ ЗАЩИТА

Информация (от лат. informatio, разъяснение, изложение, осведомленность) — сведения о чём-либо, независимо от формы их представления.

Информацию можно разделить на виды по различным критериям:

по способу восприятия:

· Визуальная — воспринимаемая органами зрения.

· Аудиальная — воспринимаемая органами слуха.

· Тактильная — воспринимаемая тактильными рецепторами.

· Обонятельная — воспринимаемая обонятельными рецепторами.

· Вкусовая — воспринимаемая вкусовыми рецепторами.

по форме представления:

· Текстовая — передаваемая в виде символов, предназначенных обозначать лексемы языка.

· Числовая — в виде цифр и знаков, обозначающих математические действия.

· Графическая — в виде изображений, предметов, графиков.

· Звуковая — устная или в виде записи и передачи лексем языка аудиальным путём.

СВОЙСТВА ИНФОРМАЦИИ:

Содержательность информации отражает семантическую ёмкость, равную отношению величины семантической информации в сообщении к объёму обрабатываемых данных.
Репрезентативность информации связана с правильностью её отбора и формирования в целях адекватного отражения свойств объекта.
Достаточность (полнота) информации означает, что она содержит минимальный, но достаточный для принятия правильного решения набор показателей. Как неполная, так и избыточная информация снижает эффективность принимаемых пользователем решений.

Информационной системой (или информационно-вычислительной системой) называют совокупность взаимосвязанных аппаратно-программных средств для автоматизации накопления и обработки информации. В информационную систему данные поступают от источника информации. Эти данные отправляются на хранение либо претерпевают в системе некоторую обработку и затем передаются потребителю.

n Информационная инфраструктура — система организационных структур, систем, обеспечивающих функционирование и развитие информационного пространства страны и средств информационного взаимодействия.

n Интернет

n Дистанционное образование

n Сетевые СМИ

n Реклама и др.

n Слой 1. Пользовательский (потребительский) слой — слой потребителей информационного ресурса с правилами их взаимодействия с информационной структурой.

n Слой 2. Функциональный слой с совокупностью услуг, предоставляемых пользователям (потребителям) различными поставщиками информации.

n Слой 3. Информационный слой, в котором непосредственно содержится информационный ресурс.

n Слой 4. Коммуникационный слой, рассматриваемый как единая информационная магистраль (информационная сеть).

Классификация информационных систем

Классификация информационных систем по степени автоматизации:

1. Ручные информационные системы характеризуются отсутствием современных технических средств переработки информации и выполнением всех операций человеком. Например, о деятельности менеджера в фирме, где отсутствуют компьютеры, можно говорить, что он работает с ручной ИС;

2. Автоматизированные информационные системы (АИС) — наиболее популярный класс ИС. Предполагают участие в процессе накопления, обработки информации баз данных, программного обеспечения, людей и технических средств;

3. Автоматические информационные системы выполняют все операции по переработке информации без участия человека, различные роботы. Примером автоматических информационных систем являются некоторые поисковые машины Интернет, например Google, где сбор информации о сайтах осуществляется автоматически поисковым роботом и человеческий фактор не влияет на ранжирование результатов поиска.

Обычно термином ИС в наше время называют автоматизированные информационные системы.

Классификация информационных систем по характеру использования информации:

1. Информационно-поисковые системы — система для накопления, обработки, поиска и выдачи интересующей пользователя информации;

2. Информационно-аналитические системы — класс информационных систем, предназначенных для аналитической обработки данных с использованием баз знаний и экспертных систем;

3. Информационно-решающие системы — системы, осуществляющие накопления, обработки и переработку информации с использованием прикладного программного обеспечения:

- управляющие информационные системы с использованием баз данных и прикладных пакетов программ,

- советующие экспертные информационные системы, использующие прикладные базы знаний;

4. Ситуационные центры (информационно-аналитические комплексы).

Классификация информационных систем по архитектуре:

1. Локальные ИС (работающие на одном электронном устройстве, не взаимодействующем с сервером или другими устройствами);

2. Клиент-серверные ИС (работающие в локальной или глобальной сети с единым сервером);

3. Распределенные ИС (децентрализованные системы в гетерогенной многосерверной сети).

Классификация информационных систем по сфере применения:

1. Информационные системы организационного управления — обеспечение автоматизации функций управленческого персонала;

2. Информационные системы управления техническими процессами — обеспечение управления механизмами, технологическими режимами на автоматизированном производстве;

3. Автоматизированные системы научных исследований — программно-аппаратные комплексы, предназначенные для научных исследований и испытаний;

4. Информационные системы автоматизированного проектирования — программно-технические системы, предназначенные для выполнения проектных работ с применением математических методов;

5. Автоматизированные обучающие системы — комплексы программно-технических, учебно-методической литературы и электронные учебники, обеспечивающих учебную деятельность;

6. Интегрированные информационные системы - обеспечение автоматизации большинства функций предприятия;

7. Экономическая информационная система - обеспечение автоматизации сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций управления.

8. Медицинская информационная система — информационная система, предназначенная для использования в лечебном или лечебно-профилактическом учреждении.

9. Географическая информационная система — информационная система, обеспечивающая сбор, хранение, обработку, доступ, отображение и распространение пространственно – координированных данных (пространственных данных)

Классификация информационных систем по признаку структурированности решаемых задач:

1. Модельные информационные системы позволяют установить диалог с моделью в процессе ее исследования (предоставляя при этом недостающую для принятия решения информацию), а также обеспечивает широкий спектр математических, статистических, финансовых и других моделей, использование которых облегчает выработку стратегии и объективную оценку альтернатив решения. Пользователь может получить недостающую ему для принятия решения информацию путем;

2. Использование экспертных информационных систем связано с обработкой знаний для выработки и оценки возможных альтернатив принятия решения пользователем. Реализуется на двух уровня.

Существуют три основных принципа ИБ:

· доступность;

· конфиденциальность;

· целостность.

Причины потери информации

n Сбои в работе оборудования

n Инфицирование компьютерными вирусами

n Неправильное хранение архивных данных

n Несанкционированный доступ

n Некорректная работа

Несанкционированный доступ

n Хакеры – особый вид IT специалистов, занимающихся взломом паролей, воровством и порчей информации.

n Основной инструмент – программа взломщик, делящая на 2 компонента: программа доступа к удаленным компьютерам по телефонным сетям и словарь вероятных кодов и паролей.

Стратегии безопасности информации

n Шифрование информации

n Установка системы паролей

Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал.

Ограниченность вредоносного воздействия означает, что:

· организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;

· активам организации наносится незначительный ущерб;

· организация несет незначительные финансовые потери;

· персоналу наносится незначительный вред.

Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:

· компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;

· активам организации причиняется значительный ущерб;

· компания несет значительные финансовые потери;

· персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.

Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:

· компания теряет способность выполнять все или некоторые из своих основных функций;

· активам организации причиняется крупный ущерб;

· организация несет крупные финансовые потери;

· персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.

Категорировать необходимо и пользовательскую, и системную информацию, представленную как в электронной форме, так и в виде "твердой" копии. Открытая информация может не иметь категории конфиденциальности. Например, сведения, содержащиеся на общедоступном web-сервере организации, не имеют категории конфиденциальности, а их доступность и целостность оцениваются как умеренные.

При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой ИС, т.е. берется максимум категорий по всем видам информации и активов. Для получения интегральной оценки следует взять максимум категорий по основным аспектам информационной безопасности.

Базовые требования безопасности к информации и ИС:

· Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.

· В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных.

· Применительно к закупке систем и сервисов в компании необходимо:

o выделить достаточный объем ресурсов для адекватной защиты ИС;

o при разработке систем учитывать требования ИБ;

o ограничивать использование и установку программного обеспечения;

o обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.

В области сертификации, аккредитации и оценки безопасности в организации следует проводить:

o постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности;

o периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность;

o разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС;

o авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.

В области кадровой безопасности необходимо:

o обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности;

o обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников;

o применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.

Организация должна обеспечить информирование и обучение сотрудников:

o чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п.;

o чтобы персонал имел должную практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью.

Необходимым условием выполнения требований безопасности являются выбор и реализация соответствующих регуляторов безопасности, то есть выработка и применение экономически оправданных контрмер и средств защиты. Регуляторы безопасности подразделяются на административные, процедурные и программно-технические и служат для обеспечения доступности, конфиденциальности и целостности информационной системы и обрабатываемых, хранимых и передаваемых ею данных.

Выбор регуляторов безопасности осуществляется на основе результатов категорирования данных и информационной системы. Кроме того, следует учесть, какие регуляторы безопасности уже реализованы и для каких имеются конкретные планы реализации, а также требуемую степень доверия к эффективности действующих регуляторов.

Адекватный выбор регуляторов безопасности можно упростить, если производить его из предопределенных базовых наборов, ассоциированных с требуемым уровнем ИБ. Применяя трехуровневую шкалу, используют три базовых набора, соответственно, для минимального (низкого, базового), умеренного и высокого уровня информационной безопасности.

Минимальные требования доверия для регуляторов безопасности предъявляются к определенным процессам и действиям. Специалисты, разрабатывающие и реализующие регуляторы, определяют и применяют (выполняют) эти процессы и действия для повышения степени уверенности в том, что регуляторы реализованы корректно, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.

На минимальном уровне информационной безопасности необходимо, чтобы регуляторы безопасности были задействованы и удовлетворяли явно заданным в их определении функциональным требованиям.

На умеренном уровне информационной безопасности дополнительно должны выполняться следующие условия. Специалисты, разрабатывающие (реализующие) регуляторы, предоставляют описание их функциональных свойств, достаточно детальное, чтобы было возможно выполнять анализ и тестирование регуляторов. Как неотъемлемая составная часть регуляторов разработчиками документируются и предоставляются распределение обязанностей и конкретные действия, благодаря которым после завершения разработки (реализации) регуляторы должны удовлетворять предъявляемым к ним функциональным требованиям. Технология, по которой разрабатываются регуляторы, должна поддерживать высокую степень уверенности в их полноте, непротиворечивости и корректности.

На высоком уровне информационной безопасности, кроме всего вышеуказанного, необходимо предоставить описание проекта и реализации регуляторов, включая функциональные интерфейсы между их компонентами. От разработчиков требуются свидетельства того, что после завершения разработки (реализации) выполнение предъявляемых к регуляторам требований будет непрерывным и непротиворечивым в масштабах всей информационной системы, и будет поддерживаться возможность повышения эффективности регуляторов.

Обеспечение информационной безопасности — сложный, многоаспектный процесс, требующий принятия множества решений, анализа множества факторов и требований, порой противоречивых. Наличие категорий и минимальных требований безопасности, а также предопределенного каталога регуляторов безопасности, способно служить базой для системного подхода к обеспечению ИБ, подхода, требующего разумных трудовых и материальных затрат и способного дать практически приемлемые результаты для большинства организаций.

Дата добавления: 2014-10-23; Просмотров: 575; Нарушение авторских прав?; Мы поможем в написании вашей работы!