Побуждение

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).

Управление доступом — метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации.

Управление доступом включает следующие функции защиты:

— идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

— аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

— проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

— разрешение и создание условий работы в пределах установленного регламента;

— регистрацию (протоколирование) обращений к защищаемым ресурсам;

— реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка — метод защиты информации в автоматизированной информационной системе путем ее криптографического закрытия.

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

Принуждение — такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение — такой метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.

Указанные выше методы обеспечения информационной безопасности организации реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства (т.е. по сути направления защиты):

- физические,

- аппаратные,

- программные,

- аппаратно-программные,

- криптографические,

- организационные,

- законодательные,

- морально-этические.

Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.

Аппаратные средства защиты — это различные электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д.

Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям.

Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например честность) либо оформленные в некий свод (устав) правил или предписаний.

4. Жизненный цикл информационных систем. Основные стадии и этапы разработки ИС и их содержание

Жизненный цикл — период создания и использования информационной системы, охватывающий её различные состояния, начиная с момента возникновения необходимости в данной информационной системе и заканчивая моментом ее полного выхода из эксплуатации.

Жизненный цикл заканчивается, как правило, не в результате физического износа информационной системы, а в результате морального устаревания.

В жизненном цикле выделяют следующие стадии:

1. Предпроектное обследование (Сбор материалов для проектирования и Анализ материалов и разработка документации)

2. Проектирование

- предварительное проектирование: выбор проектных решений по всем аспектам разработки информационной системы; описание всех компонентов информационной системы; оформление и утверждение технического проекта.

- детальное проектирование: выбор и разработка математических методов и алгоритмов программ; корректировка структур баз данных; создание документации на поставку и установку программных продуктов; выбор комплекса технических средств информационной системы; создание документации на поставку и установку технических средств; разработка технорабочего проекта информационной системы.

3. Разработка информационной системы (получение и установка технических средств; разработка, тестирование и доводка программ; получение и установка программных средств; разработка инструкций по эксплуатации программного обеспечения, технических средств, должностных инструкций для персонала).

4. Ввод информационной системы в эксплуатацию (ввод в опытную эксплуатацию технических средств; ввод в опытную эксплуатацию программных средств; обучение и сертифицирование персонала; проведение опытной эксплуатации всех компонентов и системы в целом; сдача в эксплуатацию и подписание актов приемки-сдачи работ).

5. Эксплуатация информационной системы (повседневная эксплуатация; сопровождение программных, технических средств и всего проекта).

5. Создание политики безопасности и Разработка концепции информационной безопасности.

Политика безопасности — это совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

ü невозможность миновать защитные средства;

ü усиление самого слабого звена;

ü невозможность перехода в небезопасное состояние;

ü минимизация привилегий;

ü разделение обязанностей;

ü эшелонированность обороны;

ü разнообразие защитных средств;

ü простота и управляемость информационной системы;

ü обеспечение всеобщей поддержки мер безопасности.

Этапы построения организационной политики безопасности:

— внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;

— определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.

Перечень требований к системе информационной безопас-ности, эскизный проект, план защиты (далее — техническая документация), содержит набор требований безопасности ин-формационной среды объекта, которые могут ссылаться на соответствующий профиль защиты, а так лее содержать тре-бования, сформулированные в явном виде.

____

Концепция — руководящая идея (система конструктивных принципов, способ понимания, ведущий замысел).

При формировании и реализации полноценной концепции безопасности руководитель предприятия (или начальник службы безопасности) должен провести анализ штатной структуры фирмы, определить приоритетность своих сотрудников в зависимости от их ценности для предприятия: квалификации, взаимозаменяемости, степени осведомленности о деятельности организации, личного вклада в общее дело, перспективности, доступа к финансам, материальным и интеллектуальным ценностям.

В ходе разработки мер защиты информации следует учитывать, что разработчики концепции совместно с руководителем предприятия должны определить: - какая информация подлежит обязательной защите в соответствии с действующим законодательством; - какая информация является коммерческой тайной и имеет право на защиту; - кто и при каких обстоятельствах имеет право доступа к перечисленным видам информации.

При анализе следует учитывать информацию, хранящуюся как на бумажных носителях, так и в электронном виде.

В концепции должны быть предусмотрены способы защиты от реальных угроз, в том числе:

- организационные (административные, экономические, юридические);

- технические (установка охранно-пожарной сигнализации, использование систем контроля и управления доступом, применение технических средств защиты информации, внедрение интегрированных систем безопасности);

- физические (работа сторожей и контролеров, телохранителей и инкассаторов, служебных собак);

- оперативные (использование оперативных методов работы, оперативно-технических средств, например «полиграфа» для входного контроля и периодической проверки лояльности персонала).

Концепция обязательно должна содержать объективную оценку рентабельности системы безопасности в условиях реально прогнозируемых угроз.

6. Деловая (конкурентная) разведка. Функции. Цикл. Этика. Бенчмаркинг. Международный опыт. Международные ресурсы.

Конкурентная разведка — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа); а также структурное подразделение предприятия, выполняющее эти функции.

Конкурентная разведка — это особый вид информационно-аналитической работы, позволяющий собирать обширнейшую информацию о юридических и физических лицах без применения специфических методов оперативно-розыскной деятельности, являющихся исключительной прерогативой государственных правоохранительных органов и спецслужб.

Функции конкурентной разведки:

· Опережение конкурентов в тендерах.

· Оценка потенциальных рисков и благоприятных возможностей при инвестициях.

· Опережение шагов в конкурентов в рамках маркетинговых кампаний с помощью продуманных упреждающих действий, выработанных на основе данных, предоставленных конкурентной разведкой.

· Получение выгод от слияний и поглощений. Как правило, возможности слияний и поглощений выявляются конкурентной разведкой и, если бы не её работа, они могли бы остаться незамеченными. Это особенно важно в высокотехнологичных отраслях.

· Раннее предупреждение о появлении нового конкурента, новой технологии, нового канала сбыта.

· Выявление "как выглядит компания со стороны" (например с точки зрения клиентов, конкурентов, госорганов).

· Выявление каналов утечки информации.

· Влияние на информационное поле вокруг компании.

Важно понимать отличие конкурентной разведки от промышленного шпионажа.

Промышленный шпионаж — форма недобросовестной конкуренции, при которой осуществляется незаконное получение, использование, разглашение информации, составляющей коммерческую, служебную или иную охраняемую законом тайну с целью получения преимуществ при осуществлении предпринимательской деятельности, а равно получения материальной выгоды.

Дата добавления: 2013-12-13; Просмотров: 425; Нарушение авторских прав?; Мы поможем в написании вашей работы!