Безопасность информации
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий (атак), чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры [8, 28, 40].
Объектами посягательств могут быть сами технические средства, являющиеся материальными объектами, а также программное обеспечение и базы данных.
Управление информационной безопасностью - процесс комплексный, и включающий ряд технических, организационных и правовых мер, которые должны быть зафиксированы в корпоративной политике по безопасности.
К техническим мерам можно отнести:
· защиту от несанкционированного доступа к системе,
· резервирование особо важных обеспечивающих подсистем,
· организацию вычислительных сетей с возможностью распределения ресурсов в случае нарушения работоспособности отдельных звеньев,
· установку оборудования для обнаружения и тушения пожаров,
· использование конструкционные мер защиты от хищений, саботажа, диверсий, взрывов,
· установку резервных систем электропитания,
· оснащение помещений замками,
· физическое разграничение доступа персонала в помещения,
· установку систем сигнализации и т.д.
К организационным мерам относятся:
· охрана информационных систем,
· тщательный подбор персонала,
· исключение случаев ведения особо важных работ только одним человеком,
· наличие плана восстановления работоспособности системы после выхода ее из строя,
· организация и обслуживание предприятия информатики посторонними лицами, не заинтересованными в сокрытии фактов нарушения ее работы,
· универсальность средств защиты для всех пользователей (включая высшее руководство),
· разделение полномочий в области доступа к данным,
· возложение ответственности на лиц, которые должны обеспечить безопасность работы предприятия информатики.
К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав, совершенствование законодательства в области информационных технологий.
Все большую известность при построении корпоративных систем управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», в соответствии с которыми компании могут формализовать и структурировать процессы управления ИБ по следующим направлениям:
· разработка политики и организация ИБ,
· организация управления внутренними активами и ресурсами компании, составляющими основу ее ключевых бизнес-процессов,
· защита персонала и снижение внутренних угроз компании,
· физическая безопасность в компании и безопасность окружающей среды,
· управление средствами связи и эксплуатацией оборудования,
· разработка и обслуживание аппаратно-программных систем,
· управление непрерывностью бизнес-процессов в компании,
· соблюдение правовых норм по безопасности.
Существует ряд общепризнанных методик, помогающих эффективно управлять информационной безопасностью. Известна и широко используется методология моделирования угроз (Microsoft Threat Modeling Methodology), методика оценки риска DREAD, модель деления угроз на категории STRIDE (http://msdn.microsoft.com/ru-ru/magazine/cc700352.aspx).
У компании IBM - это методология Method for Architecting Secure Solutions (MASS), которая помогает выявить проблемы защиты, создать прочную архитектуру и выработать надежную политику защиты (www.redbooks.ibm.com).
Из известных и популярных методик необходимо вспомнить подход компании ISS к информационной безопасности, получивший название ADDME.
К программно - техническим способам и средствам обеспечения информационной безопасности относятся следующие средства защиты информации
· средства защиты от несанкционированного доступа:
· средства авторизации;
· мандатное управление доступом;
· избирательное управление доступом;
· управление доступом на основе ролей;
· журналирование (проведение аудита).
· системы анализа и моделирования информационных потоков
· системы мониторинга сетей:
· системы обнаружения и предотвращения вторжений (IDS/IPS).
· системы предотвращения утечек конфиденциальной информации (DLP - системы).
· анализаторы протоколов.
· антивирусные средства.
· межсетевые экраны.
· криптографические средства:
· шифрование;
· цифровая подпись.
· системы резервного копирования.
· системы бесперебойного питания:
· источники бесперебойного питания;
· резервирование нагрузки;
· генераторы напряжения.
· системы аутентификации:
· пароль;
· ключ доступа (физический или электронный);
· сертификат;
· биометрия.
· средства предотвращения взлома корпусов и краж оборудования.
· средства контроля доступа в помещения.
· инструментальные средства анализа систем защиты:
· мониторинговый программный продукт.
Дата добавления: 2018-11-26; просмотров: 626;