Структура информационной системы

Системы защиты информации (СЗИ). Компоненты (СЗИ)

ЛЕКЦИЯ 17

Компоненты системы защиты информации. Структура информационной системы. Защищенная ИС и система защиты информации. Компоненты системы защиты информации. Основные направления обеспечения безопасности информационных систем. Классификация способов защиты конфиденциальной информации. Мероприятия по защите информации. Общие процедуры обеспечения сохранности информации. Совокупность методов, средств и мероприятий по защите информации. Правовое регулирование в области безопасности информации. Направления деятельности государства в области защиты информации. Законодательная база информатизации общества. Общая характеристика организационных методов защиты информации в ИС. Опыт законодательного регулирования проблем. защиты информации в других странах.

Структура информационной системы в общем случае может включать пять основных компонент:

1.Пользователи (потребители). Пользователь – субъект, обращающийся в информационную систему за получением необходимой ему информации;

2.Информационные ресурсы. Документы и массивы документов в разных формах и видах (библиотеки, архивы, фонды, базы данных, базы знаний, а равно другие формы организации хранения и поиска информации), содержащие информацию по всем направлениям жизнедеятельности общества;

3. Носители информации:

· на бумажной основе;

· звуконосители;

· фотоносители;

· видеоносители;

· магнитные носители;

· специальные технические носители.

4. Средства хранения и обработки информации:

- традиционные технические средства (телефон, радио, звукоусилительные системы, полиграфия);

- автоматизированные системы сбора и обработки информации.

5. Средства передачи информации:

· проводные;

· радио;

· волоконно-оптические.

Защищенная ИС и система защиты информации

Защищенной ИС будем называть ИС, в которой реализованы механизмы выполнения правил, удовлетворяющих установленному на основе анализа угроз перечню требований по защите информации и компонентов этой ИС.

При этом механизмы выполнения указанных правил чаще всего реализуются в виде системы защиты информации.

Следовательно, под системой защиты информации (СЗИ) будем понимать совокупность механизмов защиты, реализующих установленные правила, удовлетворяющие указанным требованиям.

Таким образом, список угроз информации определяет основу для формирования требований к защите. Когда такие требования известны, могут быть определены соответствующие правила обеспечения защиты. Эти правила, в свою очередь, определяют необходимые функции и средства защиты, объединенные в комплексную СЗИ. Чем полнее будет список требований к защите и соответствующих правил защиты, тем эффективнее будет СЗИ для данной ИС.

Для того чтобы построить защищенную ИС, целесообразно провести анализ угроз информации, составить перечень требований к защите, сформулировать правила организации непосредственной защиты и реализовать их выполнение путем создания комплексной СЗИ.

Компоненты системы защиты информации

1. Защита информации от утечки по техническим каналам:

· защита телефонных каналов;

· поиск закладных устройств;

· закрытие акустических каналов утечки;

· защита информации от утечки по каналам побочных электромагнитных излучений и наводок.

2. Безопасность информационных технологий:

· защита информации от несанкционированного доступа;

· защита информации в системах связи;

· защита юридической значимости;

· защита информации от утечки по каналам побочных электромагнитных излучений и наводок;

· защита информации от компьютерных вирусов и других опасных воздействий;

· защита от несанкционированного копирования и распространения программ и компьютерной информации.

3. Организационно-режимные мероприятия:

· разработка и издание правил, инструкций и указаний по обеспечению безопасности;

· внедрение программы обеспечения безопасности, включая классификацию степени секретности информации;

· разработка и обеспечение выполнения программы обучения основам информационной безопасности в масштабах всей организации;

· разработка и сопровождение перечня минимальных требований к процедурам контроля за доступом ко всем компьютерным системам;

· изучение, оценка, выбор и внедрение аппаратных и программных средств обеспечения информационной безопасности;

· координация разработки и распространения информации по безопасности между службами организации.

Основные направления обеспечения безопасности

информационных систем

Направления обеспечения безопасности – это нормативно-правовые категории, определяющие комплексные меры защиты интересов коммерческого предприятия.

1. Правовая защита:

а) международное право включает патенты, авторское право;

б) государственное право включает Конституцию, кодексы, законы, подзаконные акты, инструкции, указы и приказы.

2. Организационная защита регламентирует производственную деятельность и взаимоотношения исполнителей на нормативно-правовой основе, исключающей нанесение ущерба коммерческой деятельности.

Включает:

а) подбор и расстановку кадров;

б) режим и охрану предприятия;

в) обеспечение сохранения конфиденциальной информации.

3. Техническая защита использует различные технические средства, препятствующие нанесению ущерба коммерческой деятельности.

Включает:

а) физические средства (замки, решетки, заборы);

б) аппаратные средства;

в) программные средства;

г) математические (криптографические) методы.

Классификация способов защиты конфиденциальной информации

1. По целям действий включает:

а) предупреждение;

б) выявление;

в) обнаружение;

г) пресечение;

д) ликвидация последствий.

2. По направлениям:

а) правовая защита;

б) организационная защита;

в) инженерно-техническая защита.

3. По видам угроз:

а) от разглашения;

б) от утечки;

в) от несанкционированного доступа.

4. По объектам:

а) территория;

б) здание;

в) помещение;

г) аппаратура;

д) элементы.

5. По уровням охвата: