Система обеспечения информационной безопасности

Информационная безопасность

Система обеспечения информационной безопасности

  • Антивирусные программы — программы, которые борятся с компьютерными вирусами и возобновляют зараженные файлы.
  • Облачный антивирус (CloudAV) – одно из облачных решений информационной безопасности, что применяет легкое программное обеспечение агента на защищенном компьютере, выгружая большую часть анализа информации в инфраструктуру провайдера. CloudAV – это также решение для эффективного сканирования вирусов на приспособлениях с невысокой вычислительной мощностью для выполнения самих сканирований. Некоторые образцы облачных антивирусных программ – это Panda Cloud Antivirus, Crowdstrike, Cb Defense и Immunet.
  • DLP (Data Leak Prevention) решения – это защита от утечки информации. Предотвращение утечки данных (DLP) представляет собой набор технологий, направленных на предотвращение потери конфиденциальной информации, которая происходит на предприятиях по всему миру. Успешная реализация этой технологии требует значительной подготовки и тщательного технического обслуживания. Предприятия, желающие интегрировать и внедрять DLP, должны быть готовы к значительным усилиям, которые, если они будут выполнены правильно, могут значительно снизить риск для организации.
  • Криптографические системы – преобразование информации таким образом, что ее расшифровка становится возможной только с помощью определенных кодов или шифров (DES – Data Encryption Standard, AES – Advanced Encryption Standard). Криптография обеспечивает защиту информации и другими полезными приложениями, включая улучшенные методы проверки подлинности, дайджесты сообщений, цифровые подписи и зашифрованные сетевые коммуникации. Старые, менее безопасные приложения, например Telnet и протокол передачи файлов (FTP), медленно заменяются более безопасными приложениями, такими как Secure Shell (SSH), которые используют зашифрованные сетевые коммуникации. Беспроводная связь может быть зашифрована с использованием таких протоколов, как WPA/WPA2 или более старый (и менее безопасный) WEP. Проводные коммуникации (такие как ITU-T G.hn) защищены с использованием AES для шифрования и X.1035 для аутентификации и обмена ключами. Программные приложения, такие как GnuPG или PGP, могут применяться для шифрования информационных файлов и электронной почты.
  • Межсетевые экраны (брандмауэры или файрволы) – устройства контроля доступа в сеть, предназначенные для блокировки и фильтрации сетевого трафика. Брандмауэры обычно классифицируются как сетевые или хост-серверы. Сетевые брандмауэры на базе сети расположены на шлюзовых компьютерах LAN, WAN и интрасетях. Это либо программные устройства, работающие на аппаратных средствах общего назначения, либо аппаратные компьютерные устройства брандмауэра. Брандмауэры предлагают и другие функции для внутренней сети, которую они защищают, например, являются сервером DHCP или VPN для этой сети. Одним из лучших решений как для малых, так и для больших предприятий являются межсетевые экраны CheckPoint.
  • VPN (Virtual Private Network). Виртуальная частная сеть (VPN) дает возможность определить и использовать для передачи и получения информации частную сеть в рамках общедоступной сети. Таким образом, приложения, работающие по VPN, являются надежно защищенными. VPN дает возможность подключиться к внутренней сети на расстоянии. С помощью VPN можно создать общую сеть для территориально отдаленных друг от друга предприятий. Что касается отдельных пользователей сети – они также имеют свои преимущества использования VPN, так как могут защищать собственные действия с помощью VPN, а также избегать территориальные ограничения и использовать прокси-серверы, чтобы скрыть свое местоположение.
  • Proxy-server (Прокси-сервер) – это определенный компьютер или компьютерная программа, которая является связывающим звеном между двумя устройствам, например, такими как компьютер и другой сервер. Прокси-сервер можно установить на одном компьютере вместе с сервером брандмауэра, или же на другом сервере. Плюсы прокси-сервера в том, что его кэш может служить для всех пользователей. Интернет-сайты, которые являются наиболее часто запрашиваемыми, чаще всего находятся в кэше прокси, что несомненно удобно для пользователя. Фиксирование своих взаимодействий прокси-сервером служит полезной функцией для исправления неполадок.
  • Системы мониторинга и управления информационной безопасностью, SIEM. Чтобы выявлять и реагировать на возникающие угрозы информационной безопасности, используется решение SIEM, которое выполняет сбор и анализ событий из разных источников, таких как межсетевые экраны, антивирусы, IPS, оперативные системы и т.п. Благодаря системе SIEM у компаний появляется возможность централизованно хранить журналы событий и коррелировать их, определяя отклонения, потенциальные угрозы, сбои в работе ИТ-инфраструктуры, кибератаки и т.д.

Отдельное внимание стоит уделять управлению мобильными устройствами на предприятии, так как многие сотрудники часто используют личные смартфоны, планшеты и ноутбуки в корпоративных целях.

Внедрение специальных решений, таких как VMware AirWatch, IBM MaaS360, Blackberry Enterprise Mobility Suite, VMware Workspace One помогут лучше контролировать мобильные устройства сотрудников и защитить данные компании.

Источник: https://pirit.biz/reshenija/informacionnaja-bezopasnost

1. Система обеспечения информационной безопасности в Российской Федерации

Система обеспечения информационной безопасности

Теорияинформационной безопасности и методологиязащиты информации

1.1 Понятие «система обеспечения информационной безопасности»

Системаобеспечения информационной безопасности(СОИБ) состоит как из системы организационныхи технических мер обеспечения ИБ, таки системы менеджмента информационнойбезопасности, обеспечивающей непрерывноефункционирование СОИБ как системыуправления ИБ.

Цельюсоздания системы обеспечения безопасностиинформационных технологий являетсяпредотвращение или минимизация ущерба(прямого или косвенного, материального,морального или иного), наносимогосубъектам информационных отношенийпосредством нежелательного воздействияна информацию, ее носители и процессыобработки.

1.2 Государственная система обеспечения информационной безопасности рф и ее структура

Системаобеспечения информационной безопасностиРоссийской Федерации предназначенадля реализации государственной политикив данной сфере.

Основныефункции:

•разработканормативной правовой базы в областиобеспечения информационной безопасностиРФ;

•созданиеусловий для реализации прав граждан иобщественных объединений на разрешеннуюзаконом деятельность в информационнойсфере;

•определениеи поддержание баланса между потребностьюграждан, общества и государства всвободном обмене информацией инеобходимыми ограничениями нараспространение информации;

Основныминаправлениями совершенствования системыобеспечения информационной безопасностиРоссийской Федерации являются:

1.систематическое выявление угроз и ихисточников, структуризация целейобеспечения информационной безопасностии определение соответствующих практическихзадач;

2.проведение сертификации общего испециального программного обеспечения,пакетов прикладных программ и средствзащиты информации в существующих исоздаваемых автоматизированных системахуправления и связи, имеющих в своемсоставе элементы вычислительной техники;

3.постоянное совершенствование средствзащиты информации, развитие защищенныхсистем связи и управления, повышениенадежности специального программногообеспечения;

4.совершенствование структуры функциональныхорганов системы, координация ихвзаимодействия.

1.3Коллегиальность в обеспеченииинформационной безопасности:вневедомственная комиссия РФ по защитегосударственной тайны, ее состав,полномочия и порядок обеспечениядеятельность в соответствии с Положениемо Межведомственной комиссии РФ по защитегосударственной тайны (Указ ПрезидентаРФ от 6.10.2004 г. №1286).  

Межведомственнаякомиссия является коллегиальным органом,созданным для координации деятельностифедеральных органов госу­дарственнойвласти и органов государственной властисубъектов Рос­сийской Федерации позащите государственной тайны в интересахразработки и выполнения государственныхпрограмм, нормативных и методическихдокументов, обеспечивающих реализациюфедерально­го законодательства огосударственной тайне.

Межведомственнаякомиссия формирует перечень должностныхлиц органов государственной власти,наделяемых полномочиями по отнесениютех или иных сведений к государственнойтайне, а также перечень сведений,отнесенных к государственной тайне.Комиссия подготавливает предложенияпо правовому регулированию защитыгосударственной тайны. Она определяетпорядок рассекречивания носителейсведений, составляющих государственнуютайну и выпол­няет другие задачи ифункции.

Решениямежведомственной комиссии, принятые всоответствии с ее полномочиями,обязательны для исполнения федеральнымиорга­нами государственной власти,органами государственной властисубъектов Российской Федерации, органамиместного самоуправления предприятиями,учреждениями, организациями, должностнымили­цами и гражданами.

Межведомственнаякомиссия формируется в составепредседателя Межведомственной комиссии,его заместителей (заместительРуководителя Администрации ПрезидентаРоссийской Федерации, осуществляющийорганизационное, информационно-аналитическоеи документационное обеспечениедеятельности Президента РоссийскойФедерации по общим вопросами директорФСТЭК),ответственного секретаря и членовМежведомственной комиссии.

Всостав Межведомственной комиссии входятруководители федеральных органовисполнительной власти, АдминистрацииПрезидента Российской Федерации,Аппарата Правительства РоссийскойФедерации и (или) их заместители.

Принеобходимости в состав Межведомственнойкомиссии могут быть включены другиедолжностные лица.

Межведомственнаякомиссия осуществляет следующиеполномочия:

координируетдеятельность органов государственнойвласти, органов местного самоуправленияи организаций по вопросам реализациифедерального законодательства в областигосударственной тайны;

рассматриваети представляет в установленном порядкеПрезиденту Российской Федерации и вПравительство Российской Федерациипредложения по правовому регулированиювопросов защиты государственной тайныи совершенствованию системы защитыгосударственной тайны в РоссийскойФедерации;

формируетперечень должностных лиц органовгосударственной власти, наделяемыхполномочиями по отнесению сведений кгосударственной тайне;

формируетперечень сведений, отнесенных кгосударственной тайне;

формируетв установленном порядке переченьособорежимных объектов РоссийскойФедерации;

определяетпорядок рассекречивания носителейсведений, составляющих государственнуютайну, в случае ликвидацииорганизации-фондообразователя иотсутствия ее правопреемника;

осуществляетрассекречивание и продление сроковзасекречивания документов ПравительстваСССР и других архивных документов;

рассматриваетв случаях, предусмотренных ЗакономРоссийской Федерации “О государственнойтайне”, запросы органов государственнойвласти, органов местного самоуправления,организаций и граждан о рассекречиваниисведений, отнесенных к государственнойтайне;

рассматриваетвопросы о возможности передачи сведений,составляющих государственную тайну,другим государствам и международныморганизациям;

принимаетрешения о передаче органом государственнойвласти, органом местного самоуправления,организацией сведений, составляющихгосударственную тайну, в случаяхизменения их функций, форм собственности,ликвидации или прекращения работ сиспользованием сведений, составляющихгосударственную тайну, другому органугосударственной власти, органу местногосамоуправления, организации;

организуетразработку и представляет в установленномпорядке в Правительство РоссийскойФедерации предложения о порядкеопределения размеров ущерба, которыйможет быть нанесен безопасностиРоссийской Федерации вследствиенесанкционированного распространениясведений, составляющих государственнуютайну;

организуетразработку и представляет в установленномпорядке в Правительство РоссийскойФедерации предложения по правиламотнесения сведений, составляющихгосударственную тайну, к различнымстепеням секретности;

рассматриваетпо поручениям Президента РоссийскойФедерации и Правительства РоссийскойФедерации экспертные заключения в целяхопределения размеров возможного ущерба,который может быть нанесен безопасностиРоссийской Федерации вследствиенесанкционированного распространениясведений, составляющих государственнуютайну;

рассматриваетпо поручениям Президента РоссийскойФедерации и Правительства РоссийскойФедерации проекты международныхдоговоров Российской Федерации осовместном использовании и защитесведений, составляющих государственнуютайну;

даетзаключения на решения руководителейорганов государственной власти, связанныес изменением действующих в органахгосударственной власти, органах местногосамоуправления и организациях перечнейсведений, подлежащих засекречиванию,которые могут привести к изменениюперечня сведений, отнесенных кгосударственной тайне, приостанавливаетили опротестовывает их решения;

координируетв установленном порядке работы потехническому регулированию в отношениипродукции (работ, услуг), сведения окоторых составляют государственнуютайну, а также работы по организациисертификации средств защиты информации;

координируетв установленном порядке проведениеработ по лицензированию деятельностиорганизаций, связанной с использованиемсведений, составляющих государственнуютайну, созданием средств защитыинформации, а также осуществлениеммероприятий и (или) оказанием услуг позащите государственной тайны;

решаетвопрос о продлении 30-летнего сроказасекречивания сведений, составляющихгосударственную тайну;

даетпо запросу межведомственной комиссии,образуемой для рассмотрения обращенийграждан Российской Федерации в связис ограничениями их права на выезд изРоссийской Федерации, заключение о том,что сведения особой важности илисовершенно секретные сведения, о которыхгражданин был осведомлен на день подачизаявления о выезде из РоссийскойФедерации, сохраняют либо утратилисоответствующую степень секретности;

координируетдеятельность в области подготовки,переподготовки и (или) повышенияквалификации специалистов по вопросамзащиты государственной тайны;

осуществляетразработку методических рекомендацийпо организации и проведению государственнойаттестации руководителей организаций,ответственных за защиту сведений,составляющих государственную тайну,определяет перечень учебных заведений,свидетельство об окончании которыхдает право на освобождение указанныхруководителей от государственнойаттестации;

осуществляетиные полномочия в соответствии сфедеральным законодательством огосударственной тайне.

ПредседательМежведомственной комиссии:

а)организует деятельность Межведомственнойкомиссии;

б)утверждает Регламент Межведомственнойкомиссии;

в)подписывает документы по вопросам,отнесенным к компетенции Межведомственнойкомиссии;

г)докладывает Президенту РоссийскойФедерации и Председателю ПравительстваРоссийской Федерации по вопросам,отнесенным к компетенции Межведомственнойкомиссии;

д)вносит Президенту Российской Федерациии в Правительство Российской Федерациипроекты федеральных законов, указов ираспоряжений Президента РоссийскойФедерации, постановлений и распоряженийПравительства Российской Федерации, атакже проекты документов по вопросам,отнесенным к компетенции Межведомственнойкомиссии;

е)распределяет обязанности междузаместителями председателя Межведомственнойкомиссии по вопросам, отнесенным ккомпетенции Межведомственной комиссии.

Заместителипредседателя Межведомственной комиссии:

а)создают межведомственные рабочие иэкспертные группы для обеспечениядеятельности Межведомственной комиссии;

б)представляют Межведомственную комиссиюво взаимоотношениях с органамигосударственной власти, инымигосударственными органами, органамиместного самоуправления и организациями,имеют право переписки с указаннымиорганами и организациями;

в)запрашивают и получают в установленномпорядке от государственных органов,органов местного самоуправления,организаций, должностных лиц и гражданнеобходимые для осуществления деятельностиМежведомственной комиссии информацию,документы и материалы;

г)пользуются в установленном порядкебазами данных Администрации ПрезидентаРоссийской Федерации, АппаратаПравительства Российской Федерации ифедеральных органов исполнительнойвласти;

д)по поручению председателя Межведомственнойкомиссии:

вносятПрезиденту Российской Федерации и вПравительство Российской Федерациипроекты федеральных законов, указов ираспоряжений Президента РоссийскойФедерации, постановлений и распоряженийПравительства Российской Федерации,заключений и официальных отзывов напроекты федеральных законов, поправокк ним, проекты других документов повопросам, отнесенным к компетенцииМежведомственной комиссии;

подписываютдокументы по вопросам, отнесенным ккомпетенции Межведомственной комиссии;

организуютподготовку заседаний Межведомственнойкомиссии.

Источник: https://studfile.net/preview/2714841/

Обеспечение безопасности информационных систем

Система обеспечения информационной безопасности

В настоящее время в деятельности современных организаций широко применяются информационные системы и технологии. И, как следствие, необходимо сделать всё возможное для обеспечения доступности, целостности, а также конфиденциальности обрабатываемой информации. Необходимо грамотно управлять рисками, способными существенно затруднить достижение миссии организации.

Ключевые слова: информационная безопасность, информационные технологии, доступ, базы данных, конфиденциальность, целостность, доступность, защита, метки безопасности, проверка подлинности, предоставление надежности пути, анализ регистрационной информации.

За последние годы в современном обществе произошло широкое внедрение информационных технологий, что, кроме явных положительных тенденций, породило и ряд проблем, связанных с их деятельностью. С ростом роли информационных систем увеличивается конкуренция, число пользователей, а также несанкционированный доступ к информации, хранящейся и передающейся в этих сетях.

На наш взгляд за последние года информация стала гораздо уязвимей, так как произошел сильный толчок в развитии методов и способов получения каких-либо знаний путем автоматизации процессов хранения и обработки информации. К тому же происходит массовое применение персональных компьютеров, в которых циркулируют данные, применяемые либо со слабой степенью защиты, либо вовсе игнорирующее ее.

Рассмотрим суть проблемы информационной безопасности и определим способы, повышающие защищенность этих систем.

При защите информационных технологий особое внимание нужно уделять сохранности данных от злоумышленных разрушений, искажений и хищений программных средств и информации. Для этих целей разработаны и активно развиваются методы и средства поддержки сохранности, такие как защита от несанкционированного доступа, вирусов и утечки информации.

Все угрозы могут различаться в зависимости от способа и места воздействия, поэтому и подход к их устранению должен быть уникальным.

Выделяют несколько методов защиты информации: физические препятствия, законодательные, управление доступом и криптографическое закрытие, каждый из них помогает предотвратить разрушение, кражу и нелегальный доступ к информационным ресурсам. Рассмотрим их более подробно.

Способ физической защиты создает некое препятствие для нарушителя и ограничивает ему доступ к данным. Яркий минус данного метода состоит в том, что он защищает информацию только от «внешних» пользователей, не реагируя на тех, кто имеет доступ для входа.

Второй же способ, законодательный, содержит в себе определенные законодательные акты, которые несут в себе меры наказания за нарушение правил использования данных.

Третий метод, на наш взгляд, является наиболее действенным, с помощью управления доступом можно регулировать возможность входа в систему. Это осуществляется путем аутентификации пользователя, авторизации, регистрации и реагирования.

Суть криптографии заключается в шифровании данных с помощью определенных программ. Возможность дешифрования получает только санкционированный пользователь.

С целью защиты данных были созданы основополагающие документы, в которых раскрываются основные понятия, требования, методы и средства обеспечения информационной безопасности:

                    «Оранжевая книга»;

                    «Гармонизированные критерии Европейских стран»;

                    Рекомендации Х.800;

                    Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Рассмотрим каждый из них подробней.

В 1983 году в Соединенных Штатах Америки Министерством обороны был опубликован документ под названием «Оранжевая книга», в котором раскрываются понятия и способы защиты информации. Документ четко разъясняет, какие системы считаются надежными и что нужно делать для обеспечения сохранности данных.

Уровень доверия системы защиты осуществляется в выполнении двух принципов: концепция безопасности и гарантированность.

Первый принцип заключается в системе правил и норм, которые использует организация для обеспечения безопасности и защиты данных.

Активным и действующим компонентом защиты является концепция безопасности системы, которая состоит из исследования угроз и возможности их устранения.

Согласно «Оранжевой книге» концепция безопасности разрабатываемой системы должна состоять из отдельных компонентов. Рассмотрим их более подробно.

Ограничение доступа к данным базируется на учете личности группы или субъекта. Лично владелец информации по своему усмотрению может предоставлять и ограничивать доступ, в этом и заключается принцип произвольного управления доступом.

У данного компонента есть как достоинства, например, гибкость, так и недостатки, например, разбросанная форма управления и сложность централизованного контроля.

Однако, наиболее яркий недостаток, это — оторванность прав доступа от данных, то есть появляется возможность копировать секретную информацию в средствах массовой информации (СМИ).

Безопасность повторного использования объектов защищает от преднамеренного или случайного извлечения конфиденциальной информации. В первую очередь, данный тип безопасности должен быть по максимуму обеспечен для областей оперативной памяти.

Метки безопасности бывают двух видов, относительно субъекта и относительно объекта информации для реализации принудительного управления доступом. Метки субъекта содержат в себе данные о его благонадежности, а метки объекта- уровень конфиденциальности информации.

Исходя из «Оранжевой книги», метки безопасности состоят из двух частей: уровень секретности и список категорий.

При работе с метками необходимо заострять внимание на их целостности, то есть все субъекты и объекты должны быть помечены, чтобы не было разрыва данных, а также нужно обеспечивать и контролировать сохранность самой метки.

На сопоставление меток безопасности объектов и субъектов базируется принудительное управление доступом. Название обусловлено тем, что на него не влияют мнения субъектов.

Система безопасности подразумевает правила и методы разграничения доступа, в которой дополнительно функционирует механизм подотчетности. Его целью является контроль за деятельностью пользователей в системе в любой момент времени. Выделяют три вида средств подотчетности, это проверка подлинности, предоставление надежности пути, анализ регистрационной информации.

Второй принцип, именуемый «Гарантированность», раскрывается в степени доверия, которая может быть предоставлена при использовании системы.

Она может выявляться как из тестирования, так и из проверки использования системы в целом и отдельных ее частей, и показывает на сколько точно работают механизмы, ответственные за обеспечение безопасности.

Относительно «Оранжевой книги» выделяют два вида гарантированности — операционная и технологическая. Первая рассматривает архитектурные и реализационные аспекты системы, а вторая способы построения и сопровождения.

Если придерживаться трактовки «Оранжевой книги», то надежное администрирование логически выделяет три роли: системного администратора, системного оператора и администратора безопасности.

Отметим, что технологическая гарантированность должна включать весь жизненный цикл системы безопасности, то есть этапы ее проектирования, реализации, тестирования, внедрения и сопровождения. Все эти действия обязаны безоговорочно выполняться в соответствии с их стандартами для максимального обеспечения защиты от утечки данных и несанкционированного доступа.

Как уже было сказано, за последнее время число информационных систем резко увеличилось, следовательно, увеличилось и число систем информационной защиты.

Для того, чтобы облегчить выбор между огромным перечнем систем обеспечения безопасности, специалисты ранжируют относительно данных из «Оранжевой книги» все эти системы по степени надежности.

Выделяют четыре уровня надежности — D, C, B и A (с постепенным возрастанием надежности).

Далее рассмотрим второй основополагающий документ, в котором отражаются правила, методы и оценки системы информационной безопасности для информационных систем, «Гармонизированные критерии Европейских стран» (ITSEC). Документ был опубликован в 1991 году четырьмя организациями Европейских стран: Франции, Германии, Великобритании и Нидерландов.

Отличительная черта этих критериев состоит в отсутствии априорных требований к факторам, в которых функционирует информационная система. То есть организация при запросе сертификационной услуги четко формулирует цель оценки, в которую входят и условия, при которых будет работать система, и потенциальные угрозы, и ожидаемые функции системы безопасности.

В свою очередь орган сертификации измеряет, насколько полноценно выполняются заданные цели, в какой степени корректны и эффектны механизмы защиты в описанных разработчиком условиях.

Информационная безопасность в Европейских критериях базируется на следующих понятиях:

                    конфиденциальность;

                    целостность;

                    доступность.

В отличие от «Оранжевой книги», критерии функций обеспечения защиты более расширены. В состав разделов входят: идентификация и аутентификация, управление доступом, подотчетность, аудит, повторное использование объектов, точность, надежность обслуживания, обмен данными.

Так как организации сами формулируют цель оценки, европейские критерии облегчают им эту задачу, предоставляя в качестве приложения описание классов функциональности. При этом выделяют три степени мощности обеспечения безопасности: высокая, средняя и базовая.

Рассмотрим третий вид документа для систем информационной безопасности, который называется «Руководящий документ.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (далее по тексту — Концепция защиты СВТ и АС от НСД к информации).

В 1992 году были опубликованы пять руководящих документов, описывающие проблему несанкционированного доступа к данным. Идейной основой послужила «Концепция защиты СВТ и АС от НСД к информации».

Выделяют ряд способов кражи, взлома и НСД к информации- радиотехнические, акустические, программные и т. п.

Основные принципы защиты информации заключаются в обеспечении комплекса программно-технических средств на всех технологических стадиях обработки данных. Кроме этого, должен проводиться контроль эффективности средств защиты НСД и т. п.

Функции системы, описанные в Концепции, по своей сущности близки с положениями «Оранжевой книги».

В документе раскрываются десять классов защиты информационных систем от несанкционированного доступа. Каждый из них содержит в себе минимальные условия по защите. В свою очередь, эти классы делятся на группы:

Первая группа предполагает, что системой пользуются много пользователей, но не все они имеют право доступа ко всем данным.

Вторая группа предполагает, что несколько пользователей имеют равные права использования информацией.

Третья группа предполагает, что в системе работает один пользователь, имеющий доступ ко всем данным

Четвертый документ «Рекомендации Х.800» рассматривает основные функции безопасности, относящиеся к распределенным системам и к роли, которую они могут играть. Так же здесь отображаются основные механизмы для реализации сервисов.

Документ был создан по причине того, что за последнее время произошло совершенствование не только информационных систем, но и угроз, связанных с ними. С этими новыми проблемами не справлялись традиционные механизмы защиты, поэтому возникла острая необходимость в создании новых функций системы защиты.

По нашему мнению, выбор способов и методов защиты информации в автоматизированных системах представляет собой сложную задачу, так как необходимо учитывать различные угрозы, стоимость программных систем защиты и условия, в которых эти системы будут работать. На наш взгляд, при выборе способа обеспечения безопасности, лучше всего руководствоватьсядокументом «Гармонизированные критерии Европейских стран» (ITSEC).

Литература:

  1.                «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (утв. решением Гостехкомиссии РФ 30.03.1992).
  2.                Конвергенция средств защиты информации / А. С. Марков, А. А. Фадин // Защита информации. Инсайд. 2013. № 4.
  3.                Программно-аппаратная защита информации. Учебное пособие: П. Б. Хорев — Москва, Форум, Инфра-М, 2015 г.- 352 с.
  4.                Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978–5-8041–0378–2.
  5.                http://www.infobez.com — сайт «Безопасность информационных систем».

Источник: https://moluch.ru/archive/103/23806/

Book for ucheba
Добавить комментарий