Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Принципы построения системы информационной безопасности объекта




Классификация современных биометрических средств защиты информации

 

В настоящее время отечественной промышленностью и рядом зарубежных фирм предлагается достаточно широкий набор различных средств контроля доступа к информации, и выбор оптимального их сочетания в каждом конкретном случае вырастает в самостоятельную проблему. На российском рынке в настоящее время представлены как отечественные, так и импортные БСЗИ, существуют и совместно разработанные средства.

По конструктивным особенностям можно отметить системы, выполненные в виде моноблока, нескольких блоков и в виде приставок к компьютерам. Сравнительный анализ показывает, что наиболее надежными системами контроля доступа к информации, в которых не используются карточки, ключи, жетоны, пароли и которые нельзя выкрасть или потерять, являются биометрические системы контроля доступа к информации.

Будучи наиболее дорогостоящими, они обеспечивают и наиболее высокий уровень безопасности. Раньше они в основном использовались в государственных учреждениях и там, где предъявляются особые требования к безопасности. В настоящее время биометрические системы контроля доступа к информации завоевывают популярность в банках, фирмах, связанных с обеспечением безопасности в телекоммуникационных сетях, в информационных отделах фирм и т. д.

Расширение применения систем этого типа можно объяснить как снижением их стоимости, так и повышением требований к уровню безопасности. Подобные системы на российском рынке появились благодаря фирмам Identix, SAC Technologies, Eyedentify, O’gara security international, Biometric Identification Inc., Recognition Systems, Trans-Ameritech, «Эдванс», «ААМ Системз», «Полми групп», «Маском» и др.

 

 

Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов. Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности.

Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации.

Таким образом, обеспечение информационной безопасности не может быть разовым мероприятием. Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации. Комплексный характер защиты информации обусловлен действиями злоумышленников. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения. Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм - систему информационной безопасности.

Только в этом случае появляются системные свойства, не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования. Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.

Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты. С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.

Защита информации должна быть:

• централизованной: необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;

• плановой: планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;

• конкретной и целенаправленной: защите подлежат абсолютно конкретные информационной ресурсы, представляющие интерес для конкурентов;

• активной: защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментов, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;

• надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта: методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;

• нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;

• открытой для изменения и дополнения мер обеспечения безопасности информации;

• экономически эффективной: затраты на систему защиты не должны превышать размеры возможного ущерба. Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут полезны создателям систем информационной безопасности:

• средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;

• каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;

• возможность отключения защиты в особых случаях, например когда механизмы защиты реально мешают выполнению работ;

• независимость системы защиты от субъектов защиты;

• разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;

• отсутствие на предприятии излишней информации о существовании механизмов защиты.

Все перечисленные позиции должны лечь в основу формирования системы защиты информации. Теперь, владея основными концептуальными положениями, необходимо освоить механизм выработки детальных предложений по формированию политики и построению системы информационной безопасности.

Последовательность действий при разработке системы обеспечения информационной безопасности объекта Прежде чем приступать к разработке системы информационной безопасности, необходимо определить, что же для организации (физического лица) является интеллектуальной собственностью. С точки зрения делового человека, интеллектуальной собственностью являются информационные ресурсы, знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль.

Способ управления производством, технологический процесс, список клиентов, профиль научных исследований, анализ конкурентоспособности - вот лишь некоторые примеры. Незнание того, что составляет интеллектуальную собственность - уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации.

Затем, вне зависимости от размеров организации и специфики ее информационной системы, необходимо:

• определить границы управления информационной безопасностью объекта;

• провести анализ уязвимости;

• выбрать контрмеры, обеспечивающие информационную безопасность; определить политику информационной безопасности;

• проверить систему защиты;

• составить план защиты;

• реализовать план защиты (управление системой защиты).

 




Поделиться с друзьями:


Дата добавления: 2014-01-07; Просмотров: 1295; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.022 сек.