Федеральне агентство з освіти
Державна освітня установа
вищої професійної освіти
Тульський державний університет
Кафедра технології поліграфічного виробництва та захисту інформації
Контрольна робота з дисципліни
В«Теорія інформаційної безпеки та методологія захисту інформації В»
Організація захисту інформації
Зміст
Введення
1. Організаційно-правовий захист інформації
2. Методологічні основи захисту інформації
3. Науково-методологічний базис захисту інформації
Висновок
Список використаної літератури
Введення
Гострота проблеми захисту інформаційних технологій в сучасних умовах визначається наступними факторами:
В· високими темпами зростання парку засобів обчислювальної техніки і зв'язку, розширенням областей використання ЕОМ, різноманіттям і повсюдним розповсюдженням інформаційно-керуючих систем, що підлягають захисту;
В· залученням в процес інформаційної взаємодії все більшої кількості людей і організацій, різким зростанням їх інформаційних потреб;
В· ставленням до інформації, як до товару, переходом до ринкових відносинам, з притаманною їм конкуренцією і промисловим шпигунством, В· концентрацією великих обсягів інформації різного призначення і приналежності на електронних носіях;
В· наявністю інтенсивного обміну інформацією між учасниками цього процесу;
В· кількісним і якісним вдосконаленням способів доступу користувачів до інформаційних ресурсів;
Природно, в такій ситуації виникає потреба в захисті обчислювальних систем і інформації від несанкціонованого доступу, крадіжки, знищення та інших злочинних і небажаних дій.
Спостерігається велика різнорідність цілей і завдань захисту - від забезпечення державної безпеки до захисту інтересів окремих організацій, підприємств і приватних осіб, диференціація самої інформації по ступеня її вразливості.
1. Організаційно-правовий захист інформації
Така підсистема призначена для регламентації діяльності користувачів ІС і являє собою упорядковану сукупність організаційних рішень, нормативів, законів і правил, що визначають загальну організацію робіт із захисту інформації в ІС.
Досягнення високого рівня безпеки неможливо без прийняття належних організаційних заходів. З одного боку, ці заходи повинні бути спрямовані на забезпечення правильності функціонування механізмів захисту і виконуватися адміністратором безпеки системи. З іншого боку, керівництво організації, що експлуатує засоби автоматизації, має регламентувати правила автоматизованої обробки інформації, включаючи і правила її захисту, а також встановити міру відповідальності за порушення цих правил.
Організаційно-правовий захист структурно можна уявити так:
Організаційно-правові питання:
В· органи, підрозділи та особи, відповідальні за захист;
В· нормативно-правові, методичні та інші матеріали;
В· міри відповідальності за порушення правил захисту;
В· порядок вирішення спірних ситуацій.
Реєстраційні аспекти:
В· фіксація "підпис" під документом;
В· фіксація фактів ознайомлення з інформацією;
В· фіксація фактів зміни даних;
В· фіксація фактів копіювання змісту.
Юридичні аспекти:
В· Затвердження в якості законів:
В· правил захисту інформації;
В· заходів відповідальності за порушення правил захисту;
В· реєстраційних рішень;
В· процесуальних норм і правил.
Морально-психологічні аспекти:
В· підбір і розстановка кадрів;
В· навчання персоналу;
В· система моральних і матеріальних стимулів;
В· контроль за дотриманням правил.
Для організації та забезпечення ефективного функціонування СЗІ повинні бути розроблені документи, що визначають порядок і правила забезпечення безпеки інформації при її обробці в ІС, а також документи, визначають права і обов'язки користувачів при роботі з електронними документами юридичного характеру (договір про організацію обміну електронними документами).
План захисту інформації може містити такі відомості:
В· призначення ІС;
В· перелік вирішуваних нею завдань;
В· конфігурація;
В· характеристики та розміщення технічних засобів і програмного забезпечення;
В· перелік категорій інформації (пакетів, файлів, наборів і баз даних, в яких вони містяться), що підлягають захисту в ІС;
В· вимоги щодо забезпечення доступності, конфіденційності, цілісності різних категорій інформації;
В· список користувачів і їх повноважень по доступу до ресурсів системи;
В· мета захисту системи та шляхи забезпечення безпеки ІС і циркулюючої в ній інформації;
В· перелік загроз безпеки ІС, від яких потрібен захист, і найбільш ймовірних шляхів нанесення збитку;
В· основні вимоги до організації процесу функціонування ІС і заходам забезпечення безпеки оброблюваної інформації;
В· вимоги до умов застосування і визначення відповідальності, встановлених в системі технічних засобів захисту від НСД;
В· основні правила, що регламентують діяльність персоналу з питань забезпечення безпеки ІС (особливі обов'язки посадових осіб ІС);
В· мета забезпечення безперервності процесу функціонування ІС, своєчасність відновлення її працездатності та шляхи її досягнення;
В· перелік і класифікація можливих кризових ситуацій;
В· вимоги, заходи та засоби забезпечення безперервної роботи і відновлення процесу обробки інформації (порядок створення, зберігання та використання резервних копій інформації та дублюючих ресурсів і т.п.);
В· обов'язки та порядок дій різних категорій персоналу системи в кризових ситуаціях по ліквідації їх наслідків, мінімізації завдається шкоди і відновленню нормального процесу функціонування системи;
В· розмежування відповідальності суб'єктів, що беруть участь у процесах обміну електронними документами;
В· визначення порядку підготовки, оформлення, передачі, прийому, перевірки автентичності та цілісності електронних документів;
В· визначення порядку генерації, сертифікації та поширення ключової інформації (ключів, паролів тощо);
В· визначення порядку вирішення спорів у разі виникнення конфліктів.
Так само варто проводити організаційні та організаційно-технічні заходи по створенню та підтриманню функціонування комплексної системи захисту
Вони включають:
В· разові (одноразово проводяться і повторювані тільки при повному перегляді прийнятих рішень) заходи;
В· заходи, що проводяться при здійсненні або виникненні певних змін у самій захищається АС або зовнішньому середовищі (По необхідності);
В· періодично проводяться (через певний час) заходи;
В· постійно (безперервно або дискретно в випадкові моменти часу) проведені заходи.
Методологічні основи захисту інформації Під методологічними основами захисту інформації прийнято розуміти, по-перше, сукупність наукових принципів, що забезпечують дотримання вимог системно-концептуального підходу при дослідженнях і розробках проблем захисту, і, по-друге - сукупність методів, необхідних і достатніх для оптимальної реалізації цих принципів. Підвищена актуальність формування методологічних основ захисту інформації обумовлюється по украй мірі наступними двома обставинами. В даний час дуже гостро стоїть проблема комплексного захисту інформації, для чого абсолютно необхідний адекватний проблемі науково обгрунтований методологічний базис. Друге обставина полягає в тому, що в процесі більш ніж 30-ти річного розвитку робіт із захисту інформації розроблено велику кількість різних методів виріше...
