Please enable JavaScript.
Coggle requires JavaScript to display documents.
Шляхи забезпечення безпеки інформації - Coggle Diagram
Шляхи забезпечення безпеки інформації
концепція захисту інформації
Вразливість інформації в автоматизованих комплексах обумовлена великою концентрацією обчислювальних ресурсів, їх територіальною розподіленністю, довгостроковим збереженням великого об’єму даних на магнітних та оптичних носіях, одночасним доступом до ресурсів багатьох користувачів.
система поглядів
на проблему інформаційної безпеки і шляхи її рішення з урахуванням сучасних тенденцій
є методологічною основою політики розробки
практичних заходів для її реалізації
На базі сформульованих у концепції цілей, задач і можливих шляхів їх рішення формуються конкретні плани забезпечення інформаційної безпеки
труднощі
немає єдиної теорії захисту систем
виробники засобів захисту, в основному, пропонують окремі компоненти для рішення приватних задач, залишаючи питання формування системи захисту і сумісності цих засобів на розсуд споживачів;
для забезпечення надійного захисту необхідно розв’язати цілий комплекс технічних і організаційних проблем і розробити відповідну документацію.
стратегія та архітектура захисту інформації
стратегія
основа комплексу заходів щодо
інформаційної безпеки
У ній визначаються мета, критерії, принцип і процедури, необхідні для побудови надійної системи захисту
Найважливішою особливістю загальної стратегії інформаційного захисту є дослідження системи безпеки
напрямки
аналіз засобів захисту
визначення факту вторгнення
концепція безпеки інформації
стратегія безпеки інформації
політика безпеки інформації
ресурси
цілі
заходи
задачі підприємства (держави)
принципи забезпечення
шляхи підтримання
корпоративні інтереси
розробка
проводиться в три етапи
визначення цінності об'єкта захисту інформації
повинна бути чітко визначена цільова установка захисту, тобто які реальні цінності, виробничі процеси, програми, масиви даних необхідно захищати. На цьому етапі доцільно диференціювати за значимістю окремі об'єкти, що вимагають захисту
аналіз потенційних дій зловмисників
повинен бути проведений аналіз злочинних дій, що потенційно можуть бути зроблені стосовно об'єкта, що захищається.
Потім потрібно проаналізувати найбільш ймовірні дії зловмисників стосовно основних об'єктів, що потребують захисту
Важливо визначити ступінь реальної небезпеки таких найбільш широко розповсюджених злочинів, як економічне шпигунство, саботаж, крадіжки зі зломом.
Оцінка надійності встановлених засобів захисту інформації в об'єкті
аналіз обставин, у тому числі місцевих
специфічних умов, виробничих процесів, уже встановлених технічних засобів захисту
політика захисту
це загальний документ, де перераховуються правила доступу, визначаються шляхи реалізації політики та описується базова архітектура середовищ а захисту
Концепція захисту повинна містити перелік організаційних, технічних і інших заходів, що забезпечують максимальну безпеку при заданому залишковому ризику і мінімальні витрати на їх реалізацію
Власне документ складається із декількох сторінок тексту. Він формує основу фізичної архітектури мережі, а інформація, що знаходиться в ньому, визначає вибір продуктів захисту. При цьому, документ може і не включати список необхідних закупок, але вибір конкретних компонентів після його складання повинен бути очевидним
структура
контроль доступу
заборона на доступ користувача до матеріалів, якими йому не дозволено користуватися
ідентифікація та аутентифікація
(використання паролів або інших механізмів для перевірки статусу користувача
контрольний журнал
(журнал дозволяє визначити, коли і де відбулося порушення захисту
облік
запис усіх дій
користувача в мереж
акуратність
захист від будь-яких випадкових порушень
надійність
запобігання монополізації ресурсів системи одним користувачем)
обмін даними
захист усіх комунікацій
види забезпечення безпеки інформації
правові
розробка норм, що встановлюють відповідальність за комп'ютерні злочини, захист авторських прав програмістів, удосконалювання карного і цивільного законодавства, а також судочинства
організаційно-адміністративні
охорона комп'ютерних систем
підбір персоналу
виключення випадків ведення особливо важливих робіт тільки однією людиною
наявність плану відновлення працездатності центру після виходу його з ладу
обслуговування обчислювального центру сторонньою організацією або особами незацікавленими в приховуванні фактів порушення роботи центру
універсальність засобів захисту від усіх користувачів (включаючи вище керівництво)
покладання відповідальності на осіб, що повинні забезпечити безпеку центру, вибір місця розташування центру і т.п
інженерно-технічні
захист від несанкціонованого доступу до комп'ютерної системи
резервування важливих комп'ютерних систем
забезпечення захисту від розкрадань і диверсій
резервне електроживлення, розробку і реалізацію спеціальних програмних і апаратних комплексів безпеки тощо
фізичні засоби
містять у собі різні інженерні засоби, що перешкоджають фізичному проникненню зловмисників на об'єкти захисту, що захищають персонал (особисті засоби безпеки), матеріальні засоби і фінанси, інформацію від протиправних дій
апаратні засоби
відносяться прилади, пристрої, пристосування та інші технічні рішення, які використовуються в інтересах забезпечення безпеки. У практиці діяльності будь-якої організації знаходить широке застосування різна апаратура: від телефонного апарату до розроблених автоматизованих інформаційних систем, що забезпечують її виробничу діяльність.
Основна задача апаратних засобів - стійка безпека комерційної діяльності
криптографічні засоби
ця спеціальні математичні та алгоритмічні засоби захисту інформації, переданої по мережах зв'язку, збереженої та обробленої на комп'ютерах з використанням методів шифрування
програмні засоби
це спеціальні програми, програмні комплекси і системи захисту інформації в інформаційних системах різного призначення і засобах обробки даних.