Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Информационная безопасность предприятия

Покупка
Основная коллекция
Артикул: 116800.10.98
К покупке доступен более свежий выпуск Перейти
В учебном пособии рассмотрены основные понятия, определения, положения и методологические подходы к организации комплексной системы защиты информации. Особое внимание уделено проблеме «человеческого фактора». Соответствует требованиям Федерального государственного образовательного стандарта высшего образования последнего поколения программы подготовки бакалавров 10.03.01 «Информационная безопасность». Пособие предназначено для студентов, аспирантов, преподавателей высших учебных заведений, занимающихся вопросами защиты информации.
Гришина, Н. В. Информационная безопасность предприятия : учеб. пособие / Н.В. Гришина. — 2-е изд., доп. — Москва : ФОРУМ : ИНФРА-М, 2017. — 239 с. : ил. — (Высшее образование: Бакалавриат). - ISBN 978-5-00091-007-8. - Текст : электронный. - URL: https://znanium.ru/catalog/product/612572 (дата обращения: 28.03.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов. Для полноценной работы с документом, пожалуйста, перейдите в ридер.
Н.В. Гришина





                ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ




УЧЕБНОЕ ПОСОБИЕ

2-е издание, дополненное



Рекомендовано Учебно-методическим объединением вузов Российской Федерации по образованию в области историко-архивоведения в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлению подготовки
10.03.01 «Информационная безопасность» (квалификация (степень) «бакалавр»)


znanium.com

Москва

2017

ИНФРА-М

УДК 004.056(075.8)
ББК 65.050.2я73
      Г85


   ФЗ    Издание не подлежит маркировке   
№ 436-ФЗ в соответствии с п. 1 ч. 4 ст. 11

      Рецензенты:
         О.В. Сюнтюренко — доктор технических наук, профессор, ведущий научный сотрудник Всероссийского института научной и технической информации РАН;
         М.В. Мецатунян — кандидат технических наук, доцент кафедры информационной безопасности Российского государственного гуманитарного университета

      Гришина Н.В.
Г85 Информационная безопасность предприятия : учеб. пособие / Н.В. Гришина. — 2-е изд., доп. — М. : ФОРУМ : ИНФРА-М, 2017. — 239 с. : ил. — (Высшее образование: Бакалавриат).

         ISBN 978-5-00091-007-8 (ФОРУМ)
         ISBN 978-5-16-010494-2 (ИНФРА-М, print)
         ISBN 978-5-16-105165-8 (ИНФРА-М, online)

         В учебном пособии рассмотрены основные понятия, определения, положения и методологические подходы к организации комплексной системы защиты информации. Особое внимание уделено проблеме «человеческого фактора».
         Соответствует требованиям Федерального государственного образовательного стандарта высшего образования последнего поколения программы подготовки бакалавров 10.03.01 «Информационная безопасность».
         Пособие предназначено для студентов, аспирантов, преподавателей высших учебных заведений, занимающихся вопросами защиты информации.

УДК 004.056(075.8)
ББК 65.050.2я73










ISBN 978-5-00091-007-8 (ФОРУМ)
ISBN 978-5-16-010494-2 (ИНФРА-М, print)
ISBN 978-5-16-105165-8 (ИНФРА-М, online)

                                        © Гришина Н.В., 2009
       © Гришина Н.В., 2014, с изменениями
        © ФОРУМ, 2009, 2014

            Введение








   Современные методы и средства обработки информации не только дают возможность повышения эффективности всех видов деятельности человека, но и создают целый комплекс проблем, связанных с вопросами ее защиты.
   На рынке защиты информации (ЗИ) предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако, для того, чтобы создать на предприятии условия информационной безопасности (ИБ), необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем, человек является ключевым элементом системы и вместе с тем самым трудноформали-зуемым и потенциально слабым ее звеном.
   Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.
   В книге предложен комплексный подход к организации защиты информации (ЗИ) на предприятии. При этом объектом исследования является не только информационная система, а предприятие в целом.
   Рассматриваются концептуальные основы защиты информации, раскрывающие сущность, цели, структуру и стратегию защиты.
   Анализируются источники, способы и результаты дестабилизирующего воздействия на информацию, а также каналы и мето

Введение

ды несанкционированного доступа к информации. Определяются методологические подходы к организации и технологическому обеспечению защиты информации на предприятии. Представлена архитектура, этапы построения, принципы управления системой защиты информации (СЗИ). Особое внимание уделено проблеме «человеческого фактора».
   Предложенный подход к защите информации обеспечит целостное видение проблемы, повышение качества, следовательно, и надежности ИБ предприятия.
   Учебное пособие может быть использовано в вузах для преподавания курсов «Управление информационной безопасностью предприятия» и «Информационная безопасность предприятия» направления подготовки бакалавров 090900.62 «Информационная безопасность».

Глава 1


            СУЩНОСТЬ И ЗАДАЧИ КОМПЛЕКСНОЙ
            СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ









        1.1. Подходы к проектированию систем защиты информации

   Существует широко распространенное мнение, что проблемы защиты информации имеют исключительно техническую природу. Это связано с тем, что центром обработки и хранения информации являются технические средства, в большинстве случаев — персональный компьютер.
   Объект информатизации, по отношению к которому направлены действия по защите информации, представляется более широким понятием по сравнению с персональным компьютером: совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров [15].
   В реальной жизни объект информатизации расположен в пределах одной (или нескольких) организаций и представляет собой единый комплекс компонентов, связанных общими целями, задачами, структурными отношениями, технологией информационного обмена и т. д.
   Современное предприятие представляет собой сложную систему, включающую в себя большое количество разнородных компонентов, для выполнения поставленных целей, которые в процессе функционирования предприятия могут модифициро

Глава 1. Сущность и задачи комплексной системы защиты информации

ваться. На предприятие оказывают многообразное и сложное влияние внутренние и внешние факторы, которые часто не поддаются строгой количественной оценке.
   Такие системы требуют присутствия человека в каждой из составляющих их подсистем и отдаленность (разделенность) человека от объекта его деятельности. Множество компонентов, составляющих объект информатизации, может быть представлено совокупностью трех групп систем: 1) люди (биосоциальные системы); 2) техника (технические системы и помещения, в которых они расположены) и 3) программное обеспечение, которое является интеллектуальным посредником между человеком и техникой (интеллектуальные системы). Совокупность этих трех групп образует социотехническую систему. Такое представление о социотех-нических системах является достаточно широким и может быть распространено на многие объекты. Круг наших интересов ограничивается исследованием безопасности систем, предназначенных для обработки поступающей на их вход информации и выдачи результата, т. е. социотехнических систем информационного типа.
   Если обратиться к истории этой проблемы, то можно условно выделить три периода развития средств защиты информации:
   • первый — относится к тому времени, когда обработка информации осуществлялась по традиционным (ручным, бумажным) технологиям;
   • второй — когда для обработки информации на регулярной основе применялись средства электронной вычислительной техники первых поколений;
   • третий — когда использование средств электронно-вычислительной техники приняло массовый и повсеместный характер (появление персональных компьютеров).
   В 60—70-х гг. прошлого века проблема защиты информации решалась достаточно эффективно применением, в основном, организационных мер. К ним относились: режимные мероприятия, охрана, сигнализация и простейшие программные средства защиты информации. Эффективность использования этих средств достигалась за счет концентрации информации в определенных местах (спец. хранилища, вычислительные центры), что способствовало обеспечению защиты относительно малыми средствами.
   «Рассредоточение» информации по местам хранения и обработки обострило ситуацию с ее защитой. Появились дешевые

1.1. Подходы к проектированию систем защиты информации

7

персональные компьютеры. Это дало возможность построения сетей ЭВМ (локальных, глобальных, национальных и транснациональных), которые могут использовать различные каналы связи. Эти факторы способствуют созданию высокоэффективных систем разведки и получения информации. Они нашли отражение и в современных предприятиях.
   Современное предприятие представляет собой сложную систему, в рамках которой необходимо обеспечить защиту информации.
   Рассмотрим основные особенности современного предприятия:
   • сложная организационная структура;
   • многоаспектность функционирования;
   • высокая техническая оснащенность;
   • широкие связи по кооперации;
   • необходимость расширения доступа к информации;
   • все возрастающий удельный вес безбумажной технологии обработки информации:
     —  возрастающий удельный вес автоматизированных процедур в общем объеме процессов обработки данных;
     —  важность и ответственность решений, принимаемых в автоматизированном режиме, на основе автоматизированной обработки информации;
     —  высокая концентрация в автоматизированных системах информационных ресурсов;
     —  большая территориальная распределенность компонентов автоматизированных систем;
     —  накопление на технических носителях огромных объемов информации;
     —  интеграция в единых базах данных информации различного назначения и различной принадлежности;
     —  долговременное хранение больших объемов информации на машинных носителях;
     —  непосредственный и одновременный доступ к ресурсам (в том числе и к информации) автоматизированных систем большого числа пользователей различных категорий и различных учреждений;
     —  интенсивная циркуляция информации между компонентами автоматизированных систем, в том числе и удаленных друг от друга.

Глава 1. Сущность и задачи комплексной системы защиты информации

   Таким образом, создание индустрии переработки информации, с одной стороны, создает объективные предпосылки для повышения уровня производительности труда и жизнедеятельности человека, а с другой — порождает целый ряд сложных и крупномасштабных проблем. Одной из них является обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой на предприятии.


        1.2. Понятие системы защиты информации

   Работы по защите информации у нас в стране ведутся достаточно интенсивно и уже продолжительное время. Накоплен существенный опыт. Сейчас уже никто не думает, что достаточно провести на предприятии ряд организационных мероприятий, включить в состав автоматизированных систем некоторые технические и программные средства и этого будет достаточно для обеспечения безопасности.
   Главное направление поиска новых путей защиты информации заключается не просто в создании соответствующих механизмов, а представляет собой реализацию регулярного процесса, осуществляемого на всех этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для ЗИ, наиболее рациональным образом объединяются в единый целостный механизм — причем не только для защиты от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала, а также нештатных ситуаций технического характера.
   Основной проблемой реализации систем защиты является:
   • обеспечение надежной защиты находящейся в системе информации: исключение случайного и преднамеренного получения информации посторонними лицами, разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и обслуживающего персонала;
   • системы защиты не должны создавать заметных неудобств пользователям в ходе их работы с ресурсами системы.
   Проблема обеспечения желаемого уровня защиты информации — весьма сложная. Для ее решения недостаточно просто осуществление некоторой совокупности научных, технических и ор

1.2. Понятие системы защиты информации

9

ганизационных мероприятий и применение специальных средств и методов, а необходимо создание целостной системы организационно-технологических мероприятий и применение комплекса специальных средств и методов, так называемый системно-концептуальный подход.
   Под системностью как основной части системно-концептуального подхода понимается:
   • системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информации;
   • системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятия;
   • системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии с планами;
   • системность организационная, означающая единство организации всех работ по ЗИ и управления ими.
   Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех работ по ЗИ.
   Комплексный (системный) подход к построению любой системы включает в себя, прежде всего, изучение объекта внедряемой системы; оценку угроз безопасности объекта; анализ средств, которыми будем оперировать при построении системы; оценку экономической целесообразности; изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности; соотношение всех внутренних и внешних факторов; возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.
   Комплексный (системный) подход — это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является оптимизация всей системы в совокупности, а не улучшение эффективности отдельных частей. Это объясняется тем, что улучшение одних параметров часто приводит к ухудшению других, поэтому необходимо стараться обеспечить баланс противоречий требований и характеристик.

Глава 1. Сущность и задачи комплексной системы защиты информации

   Компёексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не определены следующие ее компоненты.
   1.    Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на данном объекте.
   2.     Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.). Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса как в процессе создания системы, так и в ходе ее эксплуатации.
   3.     Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не подчиняющихся руководителю данного предприятия и не входящих в сферу его ответственности.
   Характерным примером важности решения этой задачи является распределение функций по защите информации, передаваемой сигналами в кабельной линии, проходящей по территориям различных объектов. Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, ибо в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты.
   4.     Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой она (система) стремится. Эта цель может быть описана как назначение системы, как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения. Так, например, цель, сформулированная в самом общем виде как обеспечение безопасности объекта, заставит рассматривать варианты создания глобальной системы защиты. Если уточнить ее, определив, например, как обеспечение безопасности информации, передаваемой по каналам связи внутри здания, то круг возможных решений существенного сузится. Следует иметь в виду, что, как правило, глобальная цель достигается через достижение множества менее общих локальных целей (подцелей). Построение такого

К покупке доступен более свежий выпуск Перейти