Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4612 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Ивановский филиал РЭУ им. Г.В. Плеханова
Предмет:
Информационная безопасность
Файл:
[2 курс] Информационная безопасность.docx
Скачиваний:
6
Добавлен:
20.08.2020
Размер:
116.09 Кб
Скачать
►Содержание►

Преподаватель: Ершов Борис Леонидович

Организационные мероприятия

Подбор персонала информационной системы

  1. Компетентность (выявляется при личном собеседовании, после изучения резюме, портфолио и рекомендации людей/органов уполномоченных на такие рекомендации)

  2. Лояльность организации

  3. Уязвимости для внешних воздействий (и слабые стороны)

    • Алкоголь

    • Семейная жизнь

    • Стремление к халяве

    • Оплошности в семье/работе/перед законом

Отдача приказа на выделение оборудования/помещения

  1. Организация охраны

  2. Определение круга пользователей, их прав и обязанностей

Разработка документации

    1. Правила внутреннего распорядка

    2. Должностные инструкции

    3. Приказ о допуске пользователей к системе

    4. Приказ о полномочиях в системе

Обучение и консультирование пользователей

Организация эксплуатации локальной сети предприятия и выхода в интернет

Технические мероприятия

Защита периметра организации

К периметру относятся: наружные стены здания, двери, окна, крыша, коммуникационные (подземные) ходы, коммуникации (телефон, интернет), электропитание + заземление.

Защита внутренних помещений

Установка нормальных дверей; ограничение доступа к части здания; для комнат совещаний и переговоров – звукоизоляция;

Ограничение доступа к элементам инфраструктурам, документации и информационным массивам

Установка средств фильтрации и ограничения трафика

Это означает установку элементы инфраструктуры, для которых можно запрограммировать желаемые и не желаемые элементы.

Аудит оборудования и программных средств

Применение средств обнаружения атак и противодействие им

Применение средств защиты от копирования и исследования программных средств

Совершенствование структуры информационной сети

Разграничение доступа и идентификация

ИР

СЕРВЕР

Пi (права I)

Права доступа – перечень разрешенных операций с информацией, размещенных в конкретных файлах и каталогах. Например, R – только чтение, WR – чтение и запись, WRD – уничтожение, WRDS – изменение структуры.

Пользователь запрашивает ресурс, сервер спрашивает «А вы ли это?», пользователь отправляет секрет, сервер отправляет ресурс.

Идентификация – однозначное опознание пользователя.

  1. логин и пароль

  2. технические средства (например, USB-ключ)

  3. биометрические показатели (отпечатки пальцев, сканы сетчатки глаз, голос, результаты анализа крови)

Криптографическая защита

Это обработка информации по специальному алгоритму, который имеет своей целью:

    1. сделать информацию непонятной для посторонних лиц (шифрограммы)

    2. получение шифрограммы определенной длины, чувствительной к содержанию исходной информации (электронно-цифровая подпись)

    3. сокрытие информации в обрабатываемой информации (стеганография)

Схема информационного обмена и возможные угрозы ему

Измененное сообщение => послал это

=> не посылал

Неотправленное сообщение => я посылал это

<= Не получал

Получил это <= Измененное сообщение

Злоумышленник может перехватить и разгласить информацию.

Злоумышленник может перехватить и удалить информацию.

Злоумышленник может навязывать сообщение и ответ на него.

Блокирование доступа к информации.

Угрозы, уязвимости и атаки

Уязвимость – некоторая особенность системы в целом или ее элементов, которая позволяет нарушить информационную защищенность.

Угроза – гипотетические событие, которое может нарушить информационную защищенность.

К числу угроз можно отнести:

  • Угрозу разглашения конфиденциальной информации

  • Природное событие

Атака – это успешная или отраженная реализация угрозы.

Классификация угроз

Признаки классификации: виды, происхождение, предпосылки появления, источники.

По видам:

  1. Нарушение физической целостности данных

  2. Нарушение логической структуры (меняются структуры каталогов, замена ссылок на продолжение)

  3. Угроза изменения содержания

  4. Нарушение конфиденциальности

  5. Нарушение права собственности

По происхождению:

  1. Случайные

  2. Преднамеренные

По предпосылкам появления:

  1. Объективные – не зависит от персонала, который обслуживает или пользуется системой

  2. Субъективные – обусловлены особенностями персонала (например, стикер с логином/паролем на экране)

По источникам:

  1. Люди (злоумышленники вне системы, и внутренние злоумышленники (insider))

  2. Технические устройства модели защиты информации

  3. Модели, алгоритмы и программы

  4. Технологические схемы обработки данных

  5. Внешняя среда

Понятие политики безопасности и ее жизненный цикл.

Политика безопасности – сложный документ, который в общих чертах описывает обеспечение информационной безопасности в пределах организации. Он должен быть написан простым языком, понятным рядовым пользователям.

Содержание:

  1. Общее положение – описывается период действия, на что распространяется, ответственные, цели обеспечения безопасности

  2. Идентификация пользователя (в здании/в информационных системах)

  3. Политика управления паролями

  4. Защита от компьютерных вирусов

  5. Правила установки и контроля сетевых соединений

  6. Правила работы с электронной почтой

  7. Правила обеспечения безопасности информационных ресурсов (резервное копирование)

  8. Определение прав и обязанностей пользователей с точки зрения обеспечения информационной безопасности

Жизненный цикл – описание различных операций с политикой безопасности в течение всего времени его существования.

  1. Разработка документа политики безопасности

  2. Принятие и утверждение

  3. Введение в действие

  4. Обучение персонала

  5. Применение

  6. Контроль исполнения

  7. Обеспечение соблюдения

  8. Периодический пересмотр

  9. Доработка

(затем цикл повторяется)

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности