- •Т 30 Теоретические основы компьютерных информационных технологий: Учеб. Пособие / в. В. Тебекин. – Мн.: Част. Ин-т упр. И пред., 2005. – 172 с.
- •Содержание
- •Тема 1. Основы информационных технологий 6
- •Тема 2. Сетевые информационные технологии 47
- •Тема 3. Корпоративные информационные технологии и системы автоматизации экономической деятельности 82
- •Тема 4. Технологии обеспечения безопасности информационных систем 112
- •Тема 5. Основы проектирования компьютерных информационных технологий и систем 147
- •Тема 1. Основы информационных технологий
- •1. Основные понятия информационных технологий (ит)
- •1.1. Информационное общество и информатизация
- •1.2. Информационные технологии
- •1.2.2. История развития информационных технологий
- •1.2.3. Этапы развития компьютерных информационных технологий
- •1.2.4. Классификация компьютерных информационных технологий
- •1.3. Информационные ресурсы
- •2. Информационные системы
- •2.1. Определение информационной системы
- •2.2. Классификация информационных систем
- •Признак структурированности задач
- •Функциональный признак
- •Уровень управления
- •Классификация по степени автоматизации
- •Характер использования информации
- •Классификация по сфере применения
- •2.3. Виды обеспечения информационной системы
- •Техническое обеспечение (то)
- •Программное обеспечение (по)
- •Математическое обеспечение
- •Информационное обеспечение
- •Организационное обеспечение
- •Правовое обеспечение
- •2.4. Аппаратное (техническое) обеспечение ис
- •3. Программное обеспечение информационных систем
- •3.1. Программная конфигурация
- •3.2. Операционные системы и их классификация
- •3.3. Служебное программное обеспечение [33]
- •3.4. Прикладные программные средства [30, 33]
- •Тема 2. Сетевые информационные технологии
- •4. Основные понятия и принципы построения компьютерных сетей
- •4.1. Определение и классификация компьютерной (вычислительной) сети
- •Классификация компьютерных сетей
- •Технологии и сети
- •4.2. Принципы передачи информации в лвс
- •4.2.1. Эталонная модель osi [11, 40]
- •Уровни модели osi
- •4.2.2. Протоколы и интерфейсы
- •4.2.3 Уровни модели osi Физический уровень
- •Канальный уровень
- •Сетевой уровень
- •Транспортный уровень
- •Сеансовый уровень
- •Представительский уровень
- •Прикладной уровень
- •4.3. Программные и аппаратные компоненты вычислительной сети
- •4.4. Физическая и логическая схемы лвс
- •5. Глобальная сеть Интернет
- •5.1. История Интернет
- •5.2. Основные принципы работы сети Интернет
- •5.3. Основные ресурсы Интернет [30, 33]
- •Распределенная гипертекстовая информационная система www
- •Тема 3. Корпоративные информационные технологии и системы автоматизации экономической деятельности
- •6. Корпоративные информационные системы
- •6.1. Общие понятия о корпоративной информационной системе
- •6.1.1. Определение корпоративной информационной системы
- •6.1.2. Задачи и цели кис
- •6.1.3. Принципы построения кис
- •6.1.4. Классификация кис
- •6.2. Архитектура кис
- •Почтовый сервер (Mail server) – сервер, обеспечивающий прием и передачу электронных писем пользователей, а также их маршрутизацию.
- •6.3. Основные компоненты кис (аппаратно-программная реализация)
- •6.4. Обобщенная структура кис
- •7. Системы автоматизации офисной деятельности
- •7.1. Основные понятия автоматизации
- •Автоматизация объекта осуществляется средствами автоматизации.
- •7.2. Системы автоматизации офисной деятельности
- •Электронная печать (Stamp of approval) – специальный код сообщения, который присоединяется к электронной подписи и является ее составной частью.
- •7.3. Средства офисной автоматизации и организации коллективной работы в сети
- •Ввод информации в систему
- •Хранение информации, навигация, поиск и фильтрация документов
- •Коллективная работа с документами
- •Коллективная работа в сети
- •Вывод информации из системы
- •Тема 4. Технологии обеспечения безопасности информационных систем
- •8. Информационная безопасность, политика информационной безопасности
- •8.1. Основные понятия информационной безопасности
- •8.2. Виды и особенности угроз информационной безопасности
- •8.3. Политика информационной безопасности организации
- •9.1. Административные (организационные) меры защиты информации
- •9.2. Физическая и техническая защита информационных систем
- •9.3. Технические средства и способы защиты информации
- •9.4. Аппаратные (компьютерные) средства защиты [10]
- •9.5. Программные средства защиты [4, 10, 26, 28]
- •9.5.1. Защита ресурсов ис от несанкционированного доступа
- •9.5.2. Резервное копирование и архивация информации
- •9.5.3. Защита от вредоносных программ (компьютерных вирусов)
- •Кв, нарушающие целостность информации
- •Кв, нарушающие конфиденциальность информации
- •9.5.4. Шифрование информации
- •9.6. Критерии оценки защищенности систем информационной безопасности [4, 7, 43]
- •Тема 5. Основы проектирования компьютерных информационных технологий и систем
- •10. Технологии проектирования систем и процессов
- •10.1. Проектирование автоматизированных систем обработки информации
- •10.2. Понятие о реинжиниринге бизнес-процессов
- •Среди широко используемых систем можно выделить следующие.
- •10.4. Технологии искусственного интеллекта (ии)
- •Функциональная сппр (данные формы представления).
- •Сппр с использованием независимых витрин данных (данные витрины данных формы представления).
- •Сппр на основе двухуровневого хранилища данных (данные хранилище данных формы представления).
- •Сппр на основе трехуровневого хранилища данных (см. Рис. 10.1)
- •Литература
- •Источники информации b интернет
- •Тебекин Владислав Владимирович теоретические основы компьютерных информационных технологий
- •220086, Г. Минск, ул. Славинского, 1, корп. 3.
8.3. Политика информационной безопасности организации
Политика информационной безопасности представляет собой документ, на основе которого строится комплексная система обеспечения безопасности информации организации (корпорации). Политика безопасности осуществляется в соответствии со спецификой корпорации и законодательной базой государства.
Для разработки документа о политике информационной безопасности используется как отечественный, так и зарубежный опыт. Ключевым документом по вопросам информационной безопасности считается версия 2.0 от 22.05.1998 г. Британского стандарта BS 7799 1995 «Общие критерии оценки безопасности информационных технологий» (ISO17799).Он содержит практические правила по управлению информационной безопасностью и используется в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.
Практические правила разбиты на следующие 10 разделов:
-
политика безопасности;
-
организация защиты;
-
классификация ресурсов и их контроль;
-
безопасность персонала;
-
физическая безопасность;
-
администрирование компьютерных систем и вычислительных сетей;
-
управление доступом;
-
разработка и сопровождение информационных систем;
-
планирование бесперебойной работы организации;
-
контроль выполнения требований политики безопасности.
Формирование политики информационной безопасности включает в себя этапы: анализ рисков, определение стратегии защиты, составление документов политики информационной безопасности, разработка программы реализации политики информационной безопасности.
Анализ рисков. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. При анализе рисков выполняются следующие мероприятия: инвентаризация, классификация, выявление угроз, оценка рисков.
Инвентаризация проводится для определения объема необходимой защиты, контроля защищенности, а также для других областей: охрана труда, техника безопасности, страхование, финансы. Инвентаризации подлежат:
-
ресурсы данных: накопители файлов, базы данных, документация – учебные пособия, инструкции и описания по работе с элементами ИС, документы служебного и производственного уровня и т. д.;
-
программные ресурсы: системное и прикладное программное обеспечение, утилиты и т. д.;
-
материально-техническая база, обеспечивающая информационные ресурсы: вычислительное и коммуникационное оборудование, носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения и т. п.;
-
коммунальное и хозяйственное обеспечение: отопление, освещение, энергоснабжение, кондиционирование воздуха;
-
человеческие ресурсы (наличие необходимых специалистов, уровень их профессионализма, психологические качества, связи в коммерческом мире и т. д.).
Классификация информационных ресурсов производится после инвентаризации. Ценность каждого ресурса обычно представляется как функция нескольких дискретных переменных.
В качестве основной переменной, например, выбирают степень конфиденциальности информации со следующими значениями:
-
информация, содержащая государственную тайну, – 3;
-
информация, содержащую коммерческую тайну, – 2;
-
конфиденциальная информация (информация, не представляющая собой коммерческой или государственной тайны, хотя огласка ее нежелательна), –1;
-
свободная (открытая) информация – 0.
Следующими переменными могут быть выбраны отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности (конфиденциальности, целостности, доступности). При этом вводится n-бальная система оценки.
Выявление угроз. Определяются носители и потенциальные источники утечки информации, формулируются угрозы, частота (статистика) их появления, вычисляется вероятность их появления.
Вероятности реализации разных видов угроз различны, и их определение требует анализа большого статистического материала. Так, например:
-
уничтожение всей информации в результате пожара (стихийного бедствия) может быть 1 раз в 40 лет;
-
несанкционированное чтение или копирование сотрудником закрытых сведений (активная угроза) может быть 1 раз в 4 года;
-
искажение информации в файле памяти ЭВМ из-за сбоя в аппаратуре или системных программах (пассивная угроза) может быть 1 раз в 10 дней [10].
Следует заметить, что определение вероятностей появления различных угроз имеет очень большое значение для построения системы защиты информационных ресурсов корпорации.
Оценка рисков. Для каждого из информационных ресурсов определяются его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения ее применимости к данному ресурсу, вероятности возникновения и возможного ущерба.
Определение стратегии защиты производится по следующим направлениям:
предотвращение (предупреждение) ущерба (например, авторизация персонала на доступ к информации и технологии);
обнаружение угроз – обеспечение раннего обнаружения преступлений и злоупотреблений, даже если механизмы защиты были обойдены;
минимизация размера потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;
восстановление – обеспечение эффективного восстановления информации в случае ее потери.
Составление документов политики информационной безопасности
Стандарт рекомендует включать в состав документа, характеризующего политику безопасности организации, следующие разделы:
-
введение, где определяется отношение высшего руководства к проблемам информационной безопасности корпорации;
-
организационный раздел, содержащий описание подразделений, комиссий, групп и т. д., отвечающих за работы в области информационной безопасности, планы и график работы;
-
классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
-
штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т. п.);
-
раздел физической защиты;
-
раздел управления информацией, описывающий подход к управлению компьютерами и компьютерными сетями;
-
раздел правил разграничения доступа к производственной информации;
-
раздел, характеризующий порядок разработки и сопровождения систем;
-
раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
-
юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
Разработка программы реализации политики информационной безопасности
На этом этапе выделяются ресурсы, назначаются ответственные, формируется план действий, определяется порядок контроля выполнения программы и т. п.
Итак, политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности информации. Это основной документ корпорации, который доводится до всех сотрудников.
9. Методы и средства обеспечения информационной безопасности
Совокупность методов и средств, обеспечивающих целостность, конфиденциальность, достоверность, аутентичность и доступность информации в условиях воздействия на нее угроз естественного или искусственного характера, образует защиту информации (Data protection).
Методы и средства обеспечения информационной безопасности (защиты информации) можно разделить на:
-
административные (организационные) меры;
-
физические и технические средства и способы;
-
аппаратно-программные средства.