Министерство по развитию информационных технологий и коммуникаций республики узбекистан каршинский филиал ташкентского университета
Автоматизированные системы обработки информации
Download 0.91 Mb. Pdf ko'rish
|
УК Практика Введение в управление рисками ИБ 2022 готовая
|
Автоматизированные системы обработки информации (АСОИ)
представляют собой сложную систему, состоящую из большого количества субъектов с разным уровнем автономности, взаимосвязанных и обменивающихся информацией. Практически каждая организация может выполнить или потерпеть неудачу из-за внешних воздействий. Учредителей АСОИ можно разделить на следующие группы: - аппаратные средства - ЭВМ и его компоненты (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, сети связи) и др.; программного обеспечения - покупные программы, исходные, объектные, загрузочные модули, операционные системы и системные программы, утилиты, программы анализа и т.п. к. ; - данные - информация, временно и постоянно хранимая на магнитных носителях, печатная информация, архивы, системные журналы и т.п. к. ; - сотрудник - поставщик услуг и пользователи. Угрозы АСОИ принято разделять на две группы: Случайные и запланированные. Анализ проектирования, подготовки и внедрения АСОИ показывает, что информация подвергается различным случайным воздействиям на всех этапах внедрения АСОИ. При эксплуатации АСОИ причинами аварийных воздействий могут быть: - перерыв в электроснабжении; - перерыв в электроснабжении; - перебои и сбои в работе оборудования, программного обеспечения - ошибки; - ошибки, допущенные работниками сервиса и пользователями; - неисправности, возникающие в сетях связи в результате воздействия внешней среды. Запланированные риски направлены на причинение вреда пользователям источников информации. Их можно разделить на два типа: пассивные (неактивные) и активные (активные). К пассивным рискам можно отнести несанкционированный доступ к источникам информации без ущерба для их 43 работоспособности. Активные угрозы направлены на нарушение нормальной работы системы путем воздействия на источники информации, аппаратное и программное обеспечение. Запланированные риски связаны с целенаправленными действиями правонарушителя. В качестве нарушителя могут быть привлечены: работник, конкурент, посетитель, наемник и т.п. Действия нарушителя можно трактовать по-разному: неудовлетворенность работника своими достижениями, материальная заинтересованность (взятка), любопытство, соревнование, достижение цели любыми средствами и т. д. Известно, что некоторые работники предприятия обладают конфиденциальной (то есть секретной) информацией (именно те, кто с такой информацией работает). По некоторым оценкам, 25 % работников любого предприятия являются честными людьми и остаются таковыми при любых обстоятельствах, 25 % ждут благоприятной ситуации, чтобы воспользоваться предприятием, а остальные 50 % в зависимости от ситуации могут либо быть праведным, либо разрушительным. Итак, 75 из 100 сотрудников могут быть шпионами. Конкуренты могут получить большую часть конфиденциальной информации в результате несоблюдения элементарных правил защиты информации сотрудниками (пользователями компьютерных сетей). Например, пользователь вставляет сложный пароль на видном месте монитора или сохраняет его в виде текстового файла на жестком диске и т. д. к. Конфиденциальная информация может выйти наружу и при использовании открытых каналов связи. Важно иметь в виду, что информация может быть украдена даже при обсуждении конфиденциальной коммерческой информации по телефону. Поэтому не лишена пользы установка устройств шифрования сигналов и определение благонадежности собеседника во время телефонных разговоров. Все инструменты, методы и меры, используемые для обеспечения информационной безопасности, будут более эффективными, если они будут объединены в единый механизм. Такая интеграция называется системами защиты информации. При этом реализация механизма защиты должна контролироваться, корректироваться и пополняться с учетом изменения внешних и внутренних условий. Определенные требования предъявляются в плане системного подхода к защите любой информации. Система защиты информации должна быть следующей: Равенство против угрозы. Это предполагает тщательный анализ как реальных (действующих в настоящее время), так и потенциальных (будущих) рисков. По результату такого анализа при внедрении оптимизации формируются требования к системе защиты информации конкретного предприятия или объекта в конкретной ситуации (повышение потребности приводит к неоправданным затратам, ослабление - увеличивает вероятность Повышенный риск). Непрерывность. Обеспечение информационной безопасности предприятия не может быть разовым действием. Это непрерывный процесс, 44 который включает в себя поиск узких и пустых областей защиты, выявление каналов, по которым может происходить утечка информации, непрерывный контроль и развитие системы защиты. Планирование. Это требование заключается в разработке защиты в рамках каждого подразделения предприятия с учетом общих целей защиты. Централизованный. Необходимо обеспечить организационную и функциональную самостоятельность процесса защиты информации в рамках определенного содержания. Целенаправленный. Защищать нужно не всю информацию последовательно, а только ту информацию, которую необходимо защитить для конкретной цели. Конкретная информация, которая может нанести вред предприятию, в той или иной степени защищена от несанкционированного доступа. Информация должна быть надлежащим образом защищена. Надежный. Способы и формы защиты должны быть надежно заперты вне зависимости от каналов любого потока информации, формы ее представления, языка изложения и вида физического носителя, к которому она прикреплена. Универсальный. В зависимости от типа канала, по которому может быть выпущена информация, где она возникает, независимо от характера, формы и вида информации, она должна быть прикрыта достаточными средствами. Сложный. Все методы должны использоваться в полном объеме для защиты информации в различных областях вывода информации из структурных элементов и каналов. Использование Download 0.91 Mb. Do'stlaringiz bilan baham: 
|