Выдержка из работы:
Некоторые тезисы из работы по теме Основные направления, принципы и методы обеспечения информационной безопасности(диплом +доклад на защиту+ презентация)
Введение
Характерной особенностью настоящего времени является компьютеризация практически всех сфер деятельности человека. Особенно этот процесс важен для управления различными объектами, который осуществляется с помощью автоматизированных систем (АС). К таким объектам можно отнести военные объекты, экологически опасные производства, атомные станции, объекты связи, финансово-кредитной сферы, системы управления воздушным и наземным транспортом, а также системы обработки и хранения секретной и конфиденциальной информации, которые могут присутствовать в любой коммерческой фирме. Такие объекты характеризуются тем, что размеры ущерба или других последствий, которые могут возникнуть в результате нарушения их работоспособности, сбоев и отказов в работе, оказываются неприемлемыми для общества или компании. В связи с этим в АС на первый план выходят задачи обеспечения надежности их функционирования и, в частности, обеспечение их информационной безопасности (ИБ).
По рекомендациям исследовательских фирм , от 60 до 80% всех усилий по обеспечению безопасности следует направлять на разработку политики безопасности и сопутствующих ей документов потому, что политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности (конечно, если ей следовать). Кроме того, если политика сформулирована, то она является и руководством по развитию и совершенствованию системы защиты.
Накопленная к настоящему времени статистика в области компь¬ютерных преступлений свидетельствует, что более 60% от общего числа потенциальных угроз составляют внутренние угрозы информационной безопасности, связанные со злоупотреблениями полномочиями пользователей. Информация является активами компании, но не всегда руководство компании осознает ценность информационных активов, которыми обладает, но конкуренты вполне могут заплатить очень много, чтобы изучить или даже похитить эти активы.
Правила информационной безопасности играют ключевую роль в обеспечении защиты систем и сети. Продуманные, реализованные и внедренные правила информационной безопасности помогут почувствовать разницу между наметками безопасности и организованной системой безопасности, которая эффективно функционирует.
Несмотря на то, что политика не отвечает на вопрос, каким обра¬зом должны достигаться технологические цели, все же, определив должным образом, что необходимо обезопасить, мы тем самым обес¬печиваем надлежащее управление процессом. В правилах безопасно¬сти описано, что должно быть защищено и какие ограничения накла¬дываются на управление. Несмотря на то, что в них не обсуждается ни номенклатура производимого продукта, ни производственные циклы, все же правила безопасности помогут лучше ориентироваться и при выборе продукта, и при выборе путей развития компании. Реализация требований политики обеспечит более высокую защищенность всей системы.
Целью работы является рассмотрение основных принципов обеспечения информационной безопасности. В ходе работы планируется выполнить следующие задачи:
• Рассмотрение сути информационной безопасности;
• Анализ основных угроз;
• Рассмотрение существующих проблем обеспечения информационной безопасности;
• Рассмотрение существующих методов обеспечения информационной безопасности;
• Анализ способов экономической эффективности обеспечения информационной безопасности;
• Выработка рекомендаций по выбору средств обеспечения информационной безопасности;
• Рассмотрение окупаемости систем информационной безопасности на конкретном примере.
Работа включает три главы. В первой проводится теоретическое исследование, во второй – анализ методов оценки экономической эффективности, в третьей – рассмотрение конкретного примера.
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Информационная безопасность предприятия обеспечивается в случае сохранения следующих свойств информационной системы:
• доступность (возможность за приемлемое время получить требуемую информационную услугу);
• целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
• конфиденциальность (защита от несанкционированного ознакомления).
Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это наносит ущерб всем субъектам информационных отношений.
В настоящее время автоматизированные системы (АС) становятся критически важными элементами в обеспечении требуемого уровня выполнения бизнес-процессов предприятий. В конкретных ситуациях алгоритмы действий по защите информации могут существенно различаться. Вместе с тем, в ранее проведенных исследованиях были выявлены и проанализированы основные мероприятия по анализу защищенности корпоративной сети: изучение исходных данных поАС; оценка рисков безопасности ресурсов АС; анализ политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности, оценка их соответствия требованиям существующих нормативных документов; ручной анализ конфигурационных файлов маршрутизаторов и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры; сканирование внешних сетевых адресов ЛВС из сети Интернет; сканирование ресурсов ЛВС изнутри; анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.
Оценка экономической эффективности СИБ ЭИС представляет собой комплекс различных подходов и методов: как классических, общих подходов к оценке экономической эффективности, так и специфических, с учетом особенностей применения для СИБ ЭИС. Исходной посылкой при разработке моделей эффективности СИБ является предположение, что с одной стороны, при нарушении системы защиты информации наносится ущерб, с другой стороны формирование и обеспечение информационной безопасности сопряжено с расходованием средств. Отношение стоимости защиты и потерь от ее нарушения с учетом необходимого уровня защищенности и допустимых потерь, позволяет определить экономический эффект от использования СИБ.
Заключение
В настоящее время информационная безопасность (ИБ) является неотъемлемым аспектом существования коммерческих, государственных и частных организаций. Защита информации имеет серьезные причины, ведь в случае утечки информации организации могут понести не поправимый ущерб, а именно, финансовые потери, которые в конечном итоге могут привнести к деструкции организации.
Разворачивающееся вокруг информационного ресурса соперничество, борьба за достижение и удержание информационного превосходства начинают занимать все более значимое место в общей геополитической конкуренции развитых стран мира. На новом этапе истории мира, когда возможности экстенсивного роста за счет механического присоединения новых ресурсов путем вооруженного захвата территории других стран и всех имеющихся на этой территории богатств оказались исчерпанными и неэффективными, встал вопрос о более приемлемых формах и способах геополитической конкуренции в информационной сфере.
Становится очевидным, что с глобализацией информационной сферы эффективность национальных систем обеспечения информационной безопасности становится решающим фактором в политике любого субъекта геополитической конкуренции. И, напротив, неэффективность системы информационной безопасности может стать фактором, способным привести к крупномасштабным авариям и катастрофам, последствия которых могут вызвать, в частности, дезорганизацию государственного управления, крах национальной финансовой системы и т. п.
Основополагающая идея информационной безопасности как социального явления заключается в установлении и реализации морально-этических, нормативно-правовых и организационных отношений между людьми, обеспечивающих сбалансированность интересов человека, общества и государства в информационной сфере.
В настоящее время подавляющее большинство информации обрабатывается с помощью различных технических средств – компьютерного оборудования, а передается по линиям связи различного рода и принципа действия. И если хранящаяся в одном и том же месте информация является тяжело доступной для злоумышленника, то при передаче ее по линиям связи ее защита, как правило, значительно слабее. В связи с этим насущным вопросом для организаций различного рода является именно обеспечение защиты информации при ее передаче.
В настоящей работе приведено теоретическое обоснование необходимости обеспечения информационной безопасности, проанализированы угрозы и проблемы обеспечения защиты информации, в аналитической части проведено исследование по вопросу оправданности затрат на обеспечение информационной безопасности, а в третьей главе на конкретном примере показано, что при выборе соответствующих размеру организации, ее информационным активам и угрозам систем информационной безопасности срок окупаемости их составляет небольшое количество времени.
Список использованной литературы
1. Автоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. - М.: ЮНИТИ, 2005 г.- 399 с.
2. Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб.пособие. Воронеж: Воронеж.гос. техн. ун-т, 2006.-193 с.
3. Бузов Г.А., Калинин СВ., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие.- М.- Горячая линия-Телеком.-2005.-416 с.
4. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2002г.-272с.
5. Домарев В.В. "Безопасность информационных технологий. Системный подход" - К.:ООО ТИД «Диасофт», 2004.-992 с.
6. Казарин О.В. Безопасность программного обеспечения компьютерных систем, Москва, МГУЛ, 2003, 212 с.
7. Карпунин М.Г., Моисеева Н.К. «Основы теории и практики функционально-iстоимостного анализа». — М. Высшая школа, 1988.
8. Кнорринг Г.М. Справочная книга для проектирования электрического освещения / Г.М.Кнорринг, И.М.Фадин, Сидоров В.Н. — 2-е изд., перераб. и доп. — СПб.: Энергоатомиздат, 1992 .— 448с.
9. Кульгин М. В.,Технология корпоративных сетей. Энциклопедия. СПб, Питер, 2001, 300 с.
10. Лапонина О. Р., Межсетевое экранирование, Бином, 2007 г.-354с.
11. Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2002 г, 304 с.
12. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. -2004.-280 с.
13. Малюк А.А., Пазизин СВ., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. -2-е изд.-М.: Горячая линия-Телеком.-2004.- 147 с.
Моисеева Н.К. «Практикум по проведению функционально Олифер В.Г., Олифер Н.А. ,Компьютерные сети. Принципы, тех-нологии, протоколы, 2-е изд, СПб, Питер-пресс, 2002 год, 465 с.
14. Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие-М.: Радио и связь, 2001г.-368с.
15. Руководящий документ Ростехкомиссии РФ «Средства вычислительной техники. межсетевые экраны.защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»
16. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2008 г.- 320 с.
17. Стандарт ЦБ РФ "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", (принят и введен в действие распоряжением ЦБ РФ от 18 ноября 2004 г. N Р-609).
18. Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных» от 27 июля 2006 года
19. Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. Учебное пособие. М.: Гостехкомиссия России, 1998. - 320 с.
20. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации(под редакцией Ковтанюка) К.: Издательство Юниор, 2003г.-504с.
21. Щеглов А.Ю., Защита компьютерной информации от несанкционированного доступа: Изд. «Наука и техника», 2004, 384 с
22. Яковлев В.В., Корниенко А.А. Информационная безопасность и защита информации в корпоративных сетях железнодорожного транспорта, Издательство: Маршрут, 2002 год- 327 с.
Ярочкин В.И. Информационная безопасность. Учебное пособие,. — М.: Междунар. отношения, 2000. — 400 с.: ил.