Автор работы: Пользователь скрыл имя, 12 Февраля 2013 в 14:48, контрольная работа
Проблема защиты информации уходит корнями в давние времена. Уже тогда люди начали разрабатывать способы защиты информации.
Содержание
1.
Введение
3
2.
Защита информации: основные понятия и определения
4
3.
Уровни информационной безопасности
8
4.
Методы защиты информации
14
5.
Заключение
17
6.
Список литературы
18
Уровни информационной безопасности
В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому что так поступать не принято.
Различают на законодательном уровне две группы мер:
На практике обе группы мер важны в равной степени, но хотелось бы выделить аспект осознанного соблюдения норм и правил информационной безопасности. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.
Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
В России ведется огромная работа в данном направлении. Вот небольшой перечень ныне действующих законов, регулирующих вопросы в области защиты информации:
Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Закон РФ № 5485–1 от 21.07.1993 «О государственной тайне»;
Федеральный закон ФЗ № 126-ФЗ от 18.06.2003 «О связи»;
Федеральный закон РФ № 98-ФЗ от 29.07.2004 «О коммерческой тайне»;
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
Федеральный закон Российской Федерации от 6 марта 2006 г. N 35-ФЗ «О противодействии терроризму».
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
Главная
цель мер административного уровня
- сформировать программу работ в
области информационной безопасности
и обеспечить ее выполнение, выделяя
необходимые ресурсы и
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Данное понятие гораздо шире простого набора правил разграничения доступа (именно это означал термин "security policy"). С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации.
К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:
Для
политики верхнего уровня цели организации
в области информационной безопасности
формулируются в терминах целостности,
доступности и
На
верхний уровень выносится
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов - отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.
Политика среднего уровня должна для каждого аспекта освещать следующие темы:
Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.
Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?
Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.
Роли
и обязанности. В "политический"
документ необходимо включить информацию
о должностных лицах, ответственных
за реализацию политики безопасности.
Например, если для использования
неофициального программного обеспечения
сотрудникам требуется
Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.
Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.
Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:
При
формулировке целей политики нижнего
уровня можно исходить из соображений
целостности, доступности и
Из
целей выводятся правила
Данный раздел посвящен рассмотрению мер безопасности, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой, поэтому "человеческий фактор" заслуживает особого внимания.