Квалификационный экзамен по ПМ Организация информационной безопасности ТКС и ИКСС 3 курс группа 121 Почечуй Павел Сергеевич
ОБЩИЕ ПОЛОЖЕНИЯ ПОЛИТИКИ БЕЗОПАСНОСТИ ИКСС Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход. Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять. Поясним понятия доступности, целостности и конфиденциальности. Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.
Перечень инф. активов требующих защиты -информационные ресурсы с ограниченным доступом, составляющие коммерческую тайну, персональные данные или иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, а также открытая (общедоступная) информация, необходимая для работы Общества, независимо от формы и вида ее представления; - процессы обработки информации в информационной системе Общества информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и обслуживающий ее персонал; - информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные элементы информационной среды.
Перечень угроз. Противоправный сбор и использование информации; Нарушения технологии обработки информации; Внедрение аппаратных и программных закладок, нарушающих нормальное функционирование ИС; Создание и распространение вредоносных программ Уничтожение и повреждение ИС и каналов связи Компрометация ключей и средств криптографической защиты; Утечка информации по техническим каналам; Внедрение устройств для перехвата информации; Хищение, повреждение, уничтожение носителей информации; Несанкционированный доступ в ИС, базы и банки данных.
Мероприятия по защите информации 1 этап (анализ объекта защиты) состоит в определении, что нужно защищать. Анализ проводится по следующим направлениям: какая информация в первую очередь нуждается в защите; наиболее важные элементы (критические) защищаемой информации; определяется срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации); определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений; классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения, управления и т. д. ).
Этап 2 сводится к выявлению угроз: - определяется — кого может заинтересовать защищаемая информация; - оцениваются методы, используемые конкурентами для получения этой информации; - оцениваются вероятные каналы утечки информации; - разрабатывается система мероприятий по пресечению действий конкурента. Этап 3 Третий — анализируется эффективность принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т. д. )
Этап 4 определение необходимых мер защиты. На основании проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия. Этап 5 рассматриваются руководителями фирмы (организации) представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности. Этап 6 реализация дополнительных мер безопасности с учетом установленных приоритетов. Этап 7 осуществление контроля и доведение до персонала фирмы реализуемых мер безопасности.
Минимальные программные и аппаратные средства защиты данных 1)Антивирусная защита состоит из: общие средства защиты информации. Сюда входит копирование информации (создание копий системных областей дисков и файлов), и разграничение доступа (предотвращение несанкционированного использования информации). 2) Фильтры. Постоянно находятся в оперативной памяти компьютера и перехватывают обращения к системе, которые, по их мнению, используются вирусами для воспроизведения и нанесения вреда, и сообщают о них пользователю. 3) Межсетевой экран. Фаервол, брандмауэр, сетевой экран - устройство или набор устройств, сконфигурированных чтобы допускать, отказывать, шифровать, пропускать через прокси весь компьютерный трафик между областями разной безопасности согласно набором правил и других критериев.
План реализации мероприятий по защите информации 1) Анализ информации нуждающейся в защите в первую очередь. классифицировать индикаторы по функциональным зонам предприятия. оценить вероятные каналы утечки информации 2) Определить необходимые меры защиты. 3) Рассмотрение руководителями фирмы «Триколор ТВ» представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности.
4 Выбор и установка аппаратных и программных средств защиты информации. 5) реализовать дополнительные меры безопасности с учетом установленных приоритетов. 6) осуществить контроль и довести до персонала фирмы реализуемых мер безопасности. 7) Контроль применяемых средств обеспечения безопасности, и устранение недостатков по мере их выявления.
Скачать презентацию Квалификационный экзамен по ПМ Организация информационной безопасности ТКС
Почечуй Павел IB (1).pptx