Понятие и назначение концепции информационной безопасности

Федеральное агентство железнодорожного транспорта

Федеральное государственное бюджетное образовательное  учреждение

высшего профессионального образования

Иркутский государственный университет путей  сообщения 
 

кафедра «.............................................................» 
 
 
 
 

                                            Реферат

на тему: «Понятие и назначение концепции информационной безопасности» 
 
 
 
 
 
 

Выполнила студентка Т-09-3 

Проверил:  
 
 
 
 

Иркутск 2011

Оглавление

1. Введение......................................................................................................
2. Понятие информационной безопасности...........................................
3. Концепция информационной безопасности....................................
4. Основные концептуальные положения системы защиты информации.
5. Концептуальная модель информационной безопасности.........................
6. Заключение...............................................................................................
7. Список литературы...............................................................................

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.

На сегодняшний день существует широкий круг систем хранения и обработки информации.

Цель и задачи работы. Целью данного реферата является узнать,что же такое информационная безопасность и выявить и выявить её концепции.

Для достижения поставленной цели в работе решаются следующие задачи:

• рассмотреть основные понятия информационной безопасности;
• рассмотреть концептуальную модель информационной безопасности;
• узнать,что представляет собой концепция информационной безопасности.

 
 
 
 
 
 
 

Понятие информационной безопасности

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Информационная  безопасность организации – состояние  защищенности информационной среды  организации, обеспечивающее её формирование, использование и развитие.

В современном  социуме информационная сфера имеет  две составляющие: информационно-техническую (искусственно созданный человеком  мир техники, технологий и т.п.) и  информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

В качестве стандартной модели безопасности часто  приводят модель из трёх категорий:

• Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
• Целостность – избежание несанкционированной модификации информации;
• Доступность – избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют  и другие не всегда обязательные категории  модели безопасности:

• неотказуемость или апеллируемость – невозможность отказа от авторства;

 

• 1подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий;
• достоверность – свойство соответствия предусмотренному поведению или результату;
• аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Действия, которые могут нанести ущерб  информационной безопасности организации, можно разделить на несколько  категорий:

1. Действия, осуществляемые авторизованными  пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий.

2. «Электронные» методы воздействия, осуществляемые хакерами. Под хакерами понимаются люди, занимающиеся компьютерными

преступлениями  как профессионально (в том числе  в рамках конкурентной борьбы), так  и просто из любопытства. К таким  методам относятся: несанкционированное  проникновение в компьютерные сети; DOS-атаки.

Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п.

Атака типа DOS (сокр. от Denial of Service – «отказ в обслуживании») − это внешняя  атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т.п.

3. Компьютерные  вирусы. Отдельная категория электронных методов воздействия − компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.

     4. Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности: электронная почта в последнее время стала главным каналом распространения вредоносных программ; спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта; как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами; вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других «грубых» методов фильтрации спама.

5. «Естественные»  угрозы. На информационную безопасность  компании могут влиять разнообразные  внешние факторы: причиной потери  данных может стать неправильное  хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т.д.

Таким образом, в современных условиях наличие  развитой системы информационной безопасности становится одним из важнейших условий  конкурентоспособности и даже жизнеспособности любой компании. 

Концепция информационной безопасности

Концепция информационной безопасности представляет собой перечень общих принципов и задач по защите корпоративных бизнес-процессов. Являясь верхним уровнем в пирамиде нормативной документации, концепция информационной безопасности должна содержать следующую информацию:

• общая характеристика объекта защиты (описание критичных ресурсов и бизнес-процессов); 
• цели и задачи создания системы защиты информации, пути их достижения; 
• перечень сведений, подлежащих защите;
• основные виды угроз информационной безопасности;
• основные методы защиты информационных систем;
• распределение зон ответственности за обеспечение ИБ;
• способы реагирования на форс-мажорные ситуации.

 

  Основные концептуальные положения системы защиты информации

Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

• весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;
• значительное число фирм, специализирующихся на решении вопросов защиты информации;
• достаточно четко очерченная система взглядов на эту проблему;
• наличие значительного практического опыта и др.

И, тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.

Опыт также показывает, что:

• обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
• безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
• никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.

С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть: