Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южно-Уральский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
КУРС_лекций_ИБП_12.doc
Скачиваний:
12
Добавлен:
11.09.2019
Размер:
880.64 Кб
Скачать
►Содержание►

Введение

«В конце концов, весь смысл таких лекций состоит в том, чтобы вызвать интерес к рассматриваемым в них вопросам. Преподаватель сочтет себя вполне удовлетворенным, если хотя бы некоторые слушатели, охотно расстающиеся и с ним и с его лекциями, вместе с тем получат некоторое представление о предмете и захотят поучиться у более опытных наставников ...»

Морони М., математик, автор книги «Факты из цифр», в которой просто и в весьма доступной форме рассматриваются основные теоретические положения, методы и формулы математической статистики.

Автор полностью согласен, как с выше приведенным высказыванием, так и со специалистами, утверждающими, что простое прочтение и усвоение изложенного лекционного материала не сделает Вас профессионалом в данной предметной области, не ответит на все вопросы, которые могут возникнуть в процессе осуществления Вами финансово-хозяйственной деятельности.

Полученные знания плюс каждодневная практика – вот формула успеха.

Предлагаемый же лекционный материал, на данном этапе, преследует лишь одну цель – дать представление о возможностях применения специальных знаний для обеспечения безопасности Вашего бизнеса. Это должно помочь Вам сохранить возможность выживания в условиях несовершенства законодательной базы, при практически полностью отсутствии нравственных устоев в обществе, массовом «правовом нигилизме» населения страны, повышенной агрессивности современного российского бизнеса.

Логика структуры изложения материала определялась тем, что обеспечение безопасности финансово-хозяйственной деятельности российского предприятия является комплексной проблемой, связанной с решением сложных разноплановых задач тесно взаимосвязанных между собой. Всякий раз удивляешься, когда обнаруживаешь, какое большое количество различных моментов, имеющих отношение к деловым партнерам или конкурентам, могут прямо или косвенно влиять на экономические интересы предприятия.

Перед Вами своего рода «философия безопасного бизнеса», взгляд (возможно частный) на рассматриваемую проблему.

Думая над тем, как оказать помощь читателю, занятому работой по обеспечению безопасности предпринимательской деятельности, исходят из пред­посылки, что эти люди приходят в бизнес с хорошей подготовкой в области естественных или общественных наук, или обладают другими специальными знаниями. Специальная подготовка может быть различной, например, в области экономики, финансов, информационных технологий, метеорологии, географии отдельных районов страны и т.д.

В то же время, хочется обратить внимание на тот момент, что никто не навязывает Вам готовых решений. Предлагаемые варианты, заключения, классификации носят сугубо рекомендательный характер.

Это Ваш бизнес и только Вам решать, как поступить в той или иной создавшейся ситуации.

5. Система информационной безопасности предприятия.

5.1 Основные определения. Информация1 и ее свойства.

Основные определения, используемые в рамках настоящего курса, введены 1 февраля 2008 года Национальным стандартом РФ ГОСТ Р 50922-2006 (взамен ГОСТ Р 50922-1996) «Защита информации. Основные термины и определения» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 373-ст).

термин

определение

1

Цель защиты информации

это желаемый результат защиты информации (например, предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации).

2

Политика безопасности (информации в организации)

совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

3

Объект защиты

информация, носитель информации или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

4

Способ защиты информации

порядок и правила применения определенных принципов и средств защиты информации: защита информации от утечки, от несанкционированного воздействия, от непреднамеренного воздействия, от разглашения, от несанкционированного доступа, от преднамеренного воздействия, от [иностранной] разведки.

5

Защита информации

деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Различают: правовую, техническую, криптографическую и физическую ЗИ.

6

Угроза (безопасности информации)

совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

7

Фактор, воздействующий на защищаемую информацию

явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

8

Источник угрозы безопасности информации

субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

9

Мониторинг безопасности информации

постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

10

Эффективность защиты информации

степень соответствия результатов защиты информации поставленной цели.

11

Показатель эффективности защиты информации

мера или характеристика для оценки эффективности защиты информации.

12

Норма эффективности защиты информации

значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

Свойства информации2.

Информация это осмысленные сведения, основанные на собранных, оцененных и истолкованных фактах, изложенных таким образом, что ясно видно их значение для принятия оптимального решения по какой-либо конкретной задаче текущей политики.

Данные факты, понятия или команды, представленные в формализованном виде и позволяющие осуществлять их передачу или обработку как вручную, так и с помощью средств автоматизации.

I. Ценность информации.

Защите подлежит не вся информация, а только та, обладание которой позволит ее владельцу получить какой-либо выигрыш: моральный, материальный, политический. Ценность информации - это степень ее важности, необходимости для принятия информационных решений.

Ценность информации является критерием при принятии любого решения об ее защите.

II. Важность информации.

Предлагается следующее деление информации по уровню важности:

  • жизненно важная незаменимая информация – информация, наличие которой необходимо для функционирования организации;

  • важная информация — информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;

  • полезная информация — информация, которую трудно восстановить, однако организация может функционировать и без нее;

  • несущественная информация — информация, которая больше не нужна организации.

На практике отнесение информации к одной из этих категорий может представлять собой трудную задачу, так как одна и та же информация может быть использована многими подразделениями организации, каждое из которых может отнести эту информацию к различным категориям важности. Ценность информации, а, следовательно, категория важности обычно изменяются со временем и зависят от степени отношения к ним различных групп потребителей и потенциальных нарушителей. Существуют следующие группы лиц, связанные с обработкой информации:

обладатель информации — гражданин (физическое лицо), организация, Российская Федерация, субъект Российской Федерации, муниципальное образование;

источник — организация или лицо, поставляющее информацию;

нарушитель — организация или лицо, стремящееся незаконно получить информацию.

Отношение этих групп к значимости одной и той же информации может быть различно: для одной группы информация может быть важная, для другой — нет.

ПРИМЕР. Важная оперативная информация, такая, как список заказов на данную неделю и график производства, может иметь высокую ценность для держателя, тогда как для источника (например, заказчика) или нарушителя низка.

Приведенные категории важности могут быть применены к любой информации. Это также согласуется с существующим принципом деления информации по уровням конфиденциальности.

III. Уровень конфиденциальности3 (секретности) это административная или законодательная мера, соответствующая мере ответственности лица за утечку или утрату конкретной конфиденциальной информации, регламентируемой специальным документом, с учетом государственных, военно-стратегических, коммерческих, служебных или частных интересов.

Такой информацией может быть государственная, военная, коммерческая, служебная тайна.

Практика показала, что защищать необходимо не только конфиденциальную информацию. Несекретная информация, подвергнутая несанкционированным изменениям (например, модификации команд управления), может привести к утечке или потере связанной с ней конфиденциальной информации, а также к невыполнению автоматизированной системой заданных функций по причине получения ложных данных, которые могут быть не обнаружены пользователем системы. Суммарное количество, или статистика несекретных данных, в итоге может оказаться секретным. Аналогично сводные данные одного уровня конфиденциальности в целом могут являться информацией более высокого уровня конфиденциальности.

Для защиты от подобных ситуаций широко применяется разграничение доступа к информации по функциональному признаку. При одинаковой степени важности информации, обрабатываемой в системе обработки данных, информация делится в соответствии с функциональными обязанностями и полномочиями пользователей, устанавливаемыми администрацией организации—владельца автоматизированной системы обработки данных (АСОД).

Носители информации.

Носитель информации материальный объект, в том числе физическое поле, в котором информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Часто путают саму информацию и её носитель, что приводит к непониманию сути проблемы защиты и, следовательно, невозможности её решения. Информация – это сведения, которые зафиксированы (записаны) тем или иным расположением (состоянием) материального носителя. Например, порядком расположения букв на странице или величиной намагниченности ленты.

Носителем информации может быть любой материальный объект, который всегда несёт на себе некую информацию (далеко не всегда имеющую для нас значение). Чтобы отличать информацию от её носителя, надо твёрдо помнить, что информация – это сугубо нематериальный объект. Всё, что является материальным объектом, информацией быть не может, а является её носителем.

Важно различать два вида защиты – защита носителей и защита непосредственно информации.

Защита носителей информации включает ряд методов (мы рассматриваем только компьютерные носители), которые можно подразделить на программные, аппаратные и комбинированные. Метод защиты самой информации только один – использование криптографии, то есть, шифровка данных.

Рис. 4.1 Жизненный цикл информации

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности