Организация систем безопасности в информационных системах

Существует два класса криптосистем – симметричные и асимметричные. В симметричных системах шифрования (классическая криптография) секретный ключ зашифровки совпадает с секретным ключом расшифровки. В ассиметричных схемах шифрования (криптография с открытым ключом) открытый ключ зашифровки не совпадает с секретным ключом расшифровки.

 

 

 

 

 

 

 

 

 

 

 

 

 

Компьютерные  вирусы

Защита от компьютерных вирусов - отдельная проблема, решению которой посвящено много исследований.

Для современных вычислительных сетей, состоящих из персональных компьютеров, огромную опасность представляют хакеры. Этот термин, в начале обозначавший энтузиаста-программиста, в настоящее время применяется для описания человека, который употребляет свои знания и опыт для вторжения в вычислительные сети и сети связи с целью исследования их возможностей, получения конфиденциальных данных либо совершения вредоносных действий.

Предпосылкой для появления  компьютерных вирусов служило отсутствие в операционных системах эффективных средств защиты информации от несанкционированного доступа. В связи с этим различными фирмами и программистами разработаны программы, которые в определенной степени восполняют указанный недочет. Эти программы постоянно находятся в оперативной памяти (являются "резидентными") и "перехватывают" все запросы к операционной системе на выполнение различных "подозрительных" действий, то есть операций, которые употребляют компьютерные вирусы для собственного "размножения" и порчи информации в системе.

При каждом запросе на такое действие на экран компьютера выводится сообщение о том, какое действие хочет выполнить та или иная программа. Пользователь может или разрешить выполнение этого действия, или запретить его.

Политика безопасности гипотетической организации

Чтобы сделать изложение  более конкретным, рассмотрим политику обеспечения информационной безопасности гипотетической локальной сети, которой владеет организация.

В сферу действия политики обеспечения информационной безопасности попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью , в том числе на пользователей, субподрядчиков и поставщиков.

Целью организации является обеспечение целостности, доступности  и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

- обеспечение уровня  безопасности, соответствующего требованиям нормативных документов;

- исследование экономической  целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности)

- обеспечение безопасности  в каждой функциональной области локальной сети;

- обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

 - обеспечение анализа регистрационной информации;

- предоставление пользователям  достаточной информации для сознательного  поддержания режима безопасности

- выработка планов  восстановления после аварий  и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;

- обеспечение соответствия  с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей  и обязанностей

Перечисленные ниже группы людей отвечают за реализацию сформулированных ранее целей.

- руководитель организации  отвечает за выработку соответствующей  политики обеспечения информационной безопасности и проведение ее в жизнь;

- руководители подразделений  отвечают за доведение положений  политики безопасности до пользователей  и за контакты с ними;

- администраторы сети  обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики обеспечения информационной безопасности;

- пользователи обязаны  работать с локальной сетью  в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Нарушение политики обеспечения  информационной безопасности может  подвергнуть локальную сеть и  циркулирующую в ней информацию недопустимому риску. Поскольку наиболее уязвимым звеном любой информационной системы является человек, особое значение приобретает воспитание законопослушности сотрудников по отношению к законам и правилам информационной безопасности. Случаи нарушения этих законов и правил со стороны персонала должны рассматриваться руководством для принятия мер, вплоть до увольнения.

 

 

 

 

 

 

 

 

 

 

 

Заключение

Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной  задачей. Это обусловлено тем, что  информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.

Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.