Смекни!
smekni.com

Безопасность информации в информационных системах (стр. 2 из 2)

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение. Ни одна система безопасности не гарантирует защиту данных на уровне 100%, поскольку является результатом компромисса между возможными рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных. Так в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стандартных средств фильтрации обычного маршрутизатора, в других же можно пойти на беспрецедентные затраты. Главное, чтобы принятое решение было обосновано экономически.

Базовые технологии безопасности

В различных программных и аппаратных продуктах, предназначенных для защиты данных, часто используются одинаковые подходы, приемы и технические решения. К таким базовым технологиям безопасности относятся аутентификация, авторизация, аудит и технология защищенного канала.

Шифрование – это краеугольный камень всех служб информационной безопасности, будь то система аутентификации или авторизации, средства создания защищенного канала или способ безопасного хранения данных.

Любая процедура шифрования, превращающая информацию из обычного «понятного» вида в «нечитабельный» зашифрованный вид, естественно должна быть дополнена процедурой дешифрования, которая будучи примененной к зашифрованному тексту, снова приводит ее в понятный вид. Пара процедур - шифрование и дешифрование – называется криптосистемой.

Информацию, над которой выполняются функции шифрования и дешифрования, будем условно называть «текст», учитывая, что это может быть также числовой массив или графические данные.

В современных алгоритмах шифрования предусматривается наличие параметра – секретного ключа. В криптографии принято правило Керкхоффа: «Стойкость шифра должна определяться только секретностью ключа». Так все стандартные алгоритмы шифрования широко известны, их детальное описание содержится в легко доступных документах, но от этого их эффективность не снижается. Злоумышленнику может быть все известно об алгоритме шифрования, кроме секретного ключа. Но существует также немало фирменных алгоритмов, описание которых не публикуется.

Алгоритм шифрования является раскрытым, если найдена процедура, позволяющая подобрать ключ за реальное время. Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостью.

Существует два класса криптосистем – симметричные и асимметричные. В симметричных системах шифрования (классическая криптография) секретный ключ зашифровки совпадает с секретным ключом расшифровки. В ассиметричных схемах шифрования (криптография с открытым ключом) открытый ключ зашифровки не совпадает с секретным ключом расшифровки.

Компьютерные вирусы

Защита от компьютерных вирусов - отдельная проблема, решению которой посвящено много исследований.

Для современных вычислительных сетей, состоящих из персональных компьютеров, огромную опасность представляют хакеры. Этот термин, в начале обозначавший энтузиаста-программиста, в настоящее время применяется для описания человека, который употребляет свои знания и опыт для вторжения в вычислительные сети и сети связи с целью исследования их возможностей, получения конфиденциальных данных либо совершения вредоносных действий.

Предпосылкой для появления компьютерных вирусов служило отсутствие в операционных системах эффективных средств защиты информации от несанкционированного доступа. В связи с этим различными фирмами и программистами разработаны программы, которые в определенной степени восполняют указанный недочет. Эти программы постоянно находятся в оперативной памяти (являются "резидентными") и "перехватывают" все запросы к операционной системе на выполнение различных "подозрительных" действий, то есть операций, которые употребляют компьютерные вирусы для собственного "размножения" и порчи информации в системе.

При каждом запросе на такое действие на экран компьютера выводится сообщение о том, какое действие хочет выполнить та или иная программа. Пользователь может или разрешить выполнение этого действия, или запретить его.

Политика безопасности гипотетической организации

Чтобы сделать изложение более конкретным, рассмотрим политику обеспечения информационной безопасности гипотетической локальной сети, которой владеет организация.

В сферу действия политики обеспечения информационной безопасности попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью , в том числе на пользователей, субподрядчиков и поставщиков.

Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

- обеспечение уровня безопасности, соответствующего требованиям нормативных документов;

- исследование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности)

- обеспечение безопасности в каждой функциональной области локальной сети;

- обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

- обеспечение анализа регистрационной информации;

- предоставление пользователям достаточной информации для сознательного поддержания режима безопасности

- выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;

- обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей

Перечисленные ниже группы людей отвечают за реализацию сформулированных ранее целей.

- руководитель организации отвечает за выработку соответствующей политики обеспечения информационной безопасности и проведение ее в жизнь;

- руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними;

- администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики обеспечения информационной безопасности;

- пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Нарушение политики обеспечения информационной безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Поскольку наиболее уязвимым звеном любой информационной системы является человек, особое значение приобретает воспитание законопослушности сотрудников по отношению к законам и правилам информационной безопасности. Случаи нарушения этих законов и правил со стороны персонала должны рассматриваться руководством для принятия мер, вплоть до увольнения.

Заключение

Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.

Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.


Список использованных источников

1. Информатика [Текст] : Учебник / Под ред. проф. Н.В. Мака-
ровой. - М. :Финансы и статистика, 1997. - 768 с. : ил. - ISBN 5-
279-01841-4.

2. Острейковский, В.А. Информатика [Текст] : Учебник для вузов /
Осрейковский В.А. - М. : Высш. шк., 2001. - 511 с. : ил. - ISBN 5-
06-003533-06.

3. Безопасность электронных банковских систем [Текст] / В. Г. Гайкович., А.Л. Першин. – Москва, 2003.

4. Сетевые операционные системы [Текст]: Учебник для вузов / В. Г. Олифер, Н. А. Олифер. – СПб.: Питер, 2003. – 539 с.: ил. ISBN 5-272-00120-6

5.INTUIT.ru: Интернет Университет Информационных Техно-
логий - дистанционное образование [Электронный ресурс]. - Элек-
трон, дан. - Режим доступа: http//www.INTUIT.ru, свободный.