Автор работы: Пользователь скрыл имя, 11 Мая 2013 в 00:41, курсовая работа
Защита информации может решаться разными методами, но наибольшей надежностью и эффективностью обладают (а для каналов связи являются единственно целесообразными) системы и средства, построенные на базе криптографических методов. В случае использования иных методов большую сложность составляет доказательство достаточности реализованных мер и обоснование надежности системы защиты от несанкционированного доступ
Введение 3
1. Понятие информационных угроз и их виды 4
2. Принципы построения системы информационной безопасности 15
3. Механизмы шифрования 21
4. Организация системы защиты информации экономических систем 24
Заключение 28
Список литературы 29
На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.
По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные).
Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АИС и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования.
Очевидно, что в структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего, надо решить правовые и организационные вопросы.
Результатом этапа планирования является план защиты —документ, содержащий перечень защищаемых компонентов АИС и возможных воздействий на них, цель защиты информации в АИС, правила обработки информации в АИС, обеспечивающие ее защиту от различных воздействий, а также описание разработанной системы защиты информации.
При необходимости, кроме плана защиты на этапе планирования может быть разработан план обеспечения непрерывной работы и восстановления функционирования АИС, предусматривающий деятельность персонала и пользователей системы по восстановлению процесса обработки информации в случае различных стихийных бедствий и других критических ситуаций.
Сущность этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации зафиксированных в плане защиты правил обработки информации. Содержание этого этапа зависит от способа реализации механизмов защиты в средствах защиты.
Этап сопровождения заключается в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружить нарушения безопасности.
В том случае, когда состав системы претерпел существенные изменения (смена вычислительной техники, переезд в другое здание, добавление новых устройств или программных средств), требуется повторение описанной выше последовательности действий.
Стоит отметить тот немаловажный факт, что обеспечение защиты АИС —это итеративный процесс, завершающийся только с завершением жизненного цикла всей системы.
На последнем
этапе анализа риска
выигрыша от применения предполагаемых мер защиты. Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты приносит очевидный выигрыш, а во втором – лишь дополнительные расходы на обеспечение собственной безопасности.
Сущность этого этапа заключается в анализе различных вариантов построения системы защиты и выборе оптимального из них по некоторому критерию (обычно по наилучшему соотношению «эффективность/стоимость»).
Политика безопасности определяется как совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.
При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
- невозможность миновать защитные средства;
- усиление самого слабого звена;
- невозможность перехода в небезопасное состояние;
- минимизация привилегий;
- разделение обязанностей;
- эшелонированность обороны;
- разнообразие защитных средств;
- простота и управляемость информационной системы;
- обеспечение всеобщей поддержки мер безопасности.
При этом важно ответить на вопрос: как относиться к вложениям в информационную безопасность –как к затратам или как к инвестициям? Если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат является важной для компании проблемой. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность в целом и ИБ в частности играет далеко не последнюю роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Разница в том, что затраты –это, в первую очередь, «осознанная необходимость», инвестиции –это перспектива окупаемости. И в этом случае требуется тщательная оценка эффективности таких инвестиций и экономическое обоснование планируемых затрат.
Не следует забывать и о том, что далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки.
Кроме того, четкое понимание целей, ради которых создается СЗИ, и непосредственное участие постановщика этих целей в процессе принятия решений также является залогом высокого качества и точности оценки эффективности инвестиций в ИБ.
Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.
Заключение
Защита
информации может решаться разными
методами, но наибольшей надежностью
и эффективностью обладают (а для
каналов связи являются единственно
целесообразными) системы и средства,
построенные на базе криптографических
методов. В случае использования
иных методов большую сложность
составляет доказательство достаточности
реализованных мер и
Необходимо
иметь в виду, что подлежащие защите
сведения могут быть получены "противником"
не только за счет проникновения в
ЭВМ, которые с достаточной степенью
надежности могут быть предотвращены
(например, все данные хранятся только
в зашифрованном виде), но и за
счет побочных электромагнитных излучений
и наводок на цепи питания и
заземления ЭВМ, а также проникновения
в каналы связи. Все без исключения
электронные устройства, блоки и
узлы ЭВМ в той или иной мере
излучают побочные сигналы, причем они
могут быть достаточно мощными и
распространяться на расстояния от нескольких
метров до нескольких километров. Наибольшую
опасность представляет получение
"противником" информации о ключах.
Восстановив ключ, можно предпринять
успешные действия по завладению зашифрованными
данными, которые, как правило, оберегаются
менее серьезно, чем соответствующая
открытая информация. С этой точки
зрения выгодно отличаются именно аппаратные
и программно-аппаратные средства защиты
от несанкционированного доступа, для
которых побочные сигналы о ключевой
информации существенно ниже, чем
для чисто программных
Итак, определяющим фактором при выборе и использовании средств защиты является надежность защиты.
Список литературы
1. Титоренко Г.А. Автоматизированные информационные технологии в экономике. М.: ЮНИТИ, 2008.
2. Быкова Е.В., Стоянова Е.С. Финансовое искусство коммерции. М.: Перспектива, 2009.
3.Тихомиров В.П., Хорошилов А.В. Введение в информационный выбор. М.: Финансы и статистика, 2009.
4. Глазьев В.П. Операционные технологии межбанковского финансового рынка. М.: ЮНИТИ, 2009.
5. Ясенев Н.В. Учебно-методическое пособие "Информационная безопасность в экономических системах" 2006.
6 .Кирсанов, К.А. Информационная безопасность: Учеб. пособие - М.: МАЭП, 2000.
7 .Конеев И.Р. Информационная безопасность предприятия - СПб.: БХВ-Петербург, 2003.
Информация о работе Защита информации в экономических информационных системах