|
Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
|
|
Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Фрагментарный и комплексный подхода к проблеме обеспечения безопасности АСОИ
Существуют два подхода к проблеме обеспечения безопасности АСОИ: • фрагментарный и • комплексный. Фрагментарный подходнаправлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п. Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенным недостатком данного подхода является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов АСОИ только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты. Комплексный подходориентирован на создание защищенной среды обработки информации в АСОИ, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности АСОИ, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей АСОИ, большая чувствительность к ошибкам установки и настройки средств защиты, сложность управления. • Комплексный подход применяют для защиты АСОИ крупных организаций или небольших АСОИ, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в АСОИ крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту. Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандарта х. 15. Какие требования предъявляются к комплексным системам защиты информации? Основные требования к комплексной системе защиты информации: • разработка на основе положений и требований существующих законов, стандартов и нормативно-методических документов по обеспечению информационной безопасности; • использование комплекса программно-технических средств и организационных мер для защиты КС; • надежность, производительность, конфигурируемость; • экономическая целесообразность (поскольку стоимость КСЗИ включается в стоимость КС, стоимость средств защиты не должна быть выше возможного ущерба от потери информации); • выполнение на всех этапах жизненного цикла обработки информации в КС (в том числе при проведении ремонтных и регламентных работ); • возможность совершенствования; • обеспечение разграничения доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию (обеспечение не только пассивной, но и активной защиты); • взаимодействие с незащищенными КС по установленным для этого правилам разграничения доступа; • обеспечение проведения учета и расследования случаев нарушения безопасности информации в КС; • сложная для пользователя (не должна вызывать у него психологического противодействия и стремления обойтись без применения ее средств); • возможность оценки эффективности ее применения. Дайте определение политики безопасности Политика безопасности – это стратегия организации в области информационной безопасности Политика безопасности – набор норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности. Политика безопасности реализуется посредством административно-организационных мер, инженерно-технических и программно-аппаратных средств и определяет архитектуру системы защиты информации. Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых.программных и технических средств. Несанкционированный доступ (НСД). Перечислите основные и вспомогательные способы несанкционированного доступа. Перечислите основные каналы несанкционированного доступа. Причины несанкционированного доступа к информации § ошибки конфигурации (прав доступа, файрволов, ограничений на массовость запросов к базам данных) § слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников) § ошибки в программном обеспечении § злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации) § Прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС § Использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации .Дискреционный (избирательный) метод контроля доступа управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Также называется дискреционным управлением доступом, контролируемым управлением доступомили разграничительным управлением доступом. Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект " Пользователь «№ 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются. Для каждой пары (субъект — объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту)[1]. Возможны несколько подходов к построению дискреционного управления доступом: § Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту. § Система имеет одного выделенного субъекта — суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы. § Субъект с определенным правом доступа может передать это право любому другому субъекту Мандатный (обязательный) метод контроля доступа разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности. Также иногда переводится как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования. В приведенном примере субъект «Пользователь № 2», имеющий допуск уровня «не секретно», не может получить доступ к объекту, имеющего метку «для служебного пользования». В то же время, субъект " Пользователь «№ 1» с допуском уровня «секретно», право доступа к объекту с меткой «для служебного пользования» имеет. Ролевой метод контроля доступа. Перечислите шесть основных групп программно-аппаратных средства обеспечения информационной безопасности · средства, обеспечивающие разграничение доступа к информации в автоматизированных системах; · средства, обеспечивающие защиту информации при передаче ее по каналам связи; · средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем; · средства, обеспечивающие защиту от воздействия программ-вирусов; · средства, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования. Популярное:
|
Последнее изменение этой страницы: 2016-07-13; Просмотров: 1942; Нарушение авторского права страницы