Предмет:
Тип роботи:
Курсова робота
К-сть сторінок:
46
Мова:
Українська
можуть бути наведені якісні оцінки їх ймовірності неприпустимо висока, дуже висока, висока, значна, середня, низька, знехтувано низька (стовпчик 3);
. На порушення яких функціональних властивостей захищеності інформації (стовпчик 4) вона спрямована (порушення конфіденційності к, цілісності ц, доступності д);
. Можливий (такий, що очікується) рівень шкоди (стовпчик 5). Приклад цієї оцінки наведено також за якісною шкалою (відсутня, низька, середня, висока, неприпустимо висока). Наявність таких оцінок, навіть за якісною шкалою, дозволяє обґрунтувати необхідність забезпечення засобами захисту кожної з властивостей захищеності інформації;
. Механізми реалізації (можливі шляхи здійснення) загроз (стовпчик 6).
Потенційні загрози інформації об’єкта інформаційної діяльності наведені в таб. 3.
Таблиця 3.
Наявність такої інформації дозволяє побудувати більш предметну загальну модель системи захисту; оцінити значення залишкового ризику, як функцію захищеності по кожній із функціональних властивостей захищеності; визначити структуру системи захисту та її основні компоненти.
7. МОДЕЛЬ ПОРУШНИКА
За порушників на об’єктах інформаційної діяльності розглядаються суб'єкти , внаслідок навмисних або випадкових дій котрих, і (або) випадкові події, внаслідок настання яких можливі реалізації загроз для інформації.
Модель порушника - абстрактний формалізований або неформалізований опис дій порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час та місце дії і т.ін. По відношенню до АС порушники можуть бути внутрішніми (з числа співробітників, користувачів системи) або зовнішніми (сторонні особи або будь-які особи, що знаходяться за межами контрольованої зони).
Модель порушника повинна визначати:
можливу мету порушника та її градацію за ступенями небезпечності для АС;
категорії осіб, з числа яких може бути порушник.;
припущення про кваліфікацію порушника;
припущення про характер його дій.
Метою порушника можуть бути:
отримання необхідної інформації у потрібному обсязі та асортименті;
мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми намірами (інтересами, планами);
нанесення збитків шляхом знищення матеріальних та інформаційних цінностей.
Порушники класифікуються за рівнем можливостей, що надаються їм всіма доступними засобами. (Таблиця 4).
Таблиця 4.
Загальні положення
Визначення політики безпеки
Під політикою безпеки інформації слід розуміти сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, що регламентують порядок обробки інформації і спрямовані на захист інформації від можливих загроз.
Політика інформаційної безпеки, є обов'язковою для дотримання всіма співробітниками які є користувачами АС.
Цілі політики безпеки
Основними цілями політики безпеки є гарантування:
штатного функціонування АС;
доступу до інформаційних об’єктів та ресурсів АС у відповідності до правил розмежування доступу;
спостереженості дій користувачів усіх категорій, які мають доступ до АС;
захисту даних у кожному компоненті АС;
достатності та ненадмірності захисту інформації у відповідності з вимогами законодавства;
забезпеченності користувачів усіх категорій відповідними організаційно-розпорядчими документами, щодо захисту інформації;
забезпеченності планами підтримки безперебійної роботи АС та планами її відновлення;
достатності впроваджених заходів та засобів для проведення службових розслідувань в разі виявлення порушення політики безпеки АС.
Загальні вимоги політики безпеки
Інформація, яка обробляється в АС, не підлягає неконтрольованому та несанкціонованому ознайомленню, розмноженню, розповсюдженню, копіюванню, відновленню, а також неконтрольованій та несанкціонованій модифікації.
В основу політики безпеки АС покладений адміністративний принцип розмежування доступу, який реалізується відповідно до принципу мінімуму повноважень, згідно з яким право доступу може бути надане користувачеві лише за фактом службової необхідності. Наявність службової необхідності визначається посадовими обов’язками користувачів.
З метою забезпечення необхідного режиму доступу до інформації повинен бути визначений відповідальний підрозділ - служба захисту інформації, якому надаються повноваження щодо організації та впровадження прийнятої політики безпеки в АС.
Всі працівники Видавництва «Книгоман», які беруть участь в обробці інформації в АС, повинні бути зареєстровані як користувачі в системних журналах АС.
Керування правами доступу користувачів до захищених об’єктів та параметрами КЗЗ у складі АС повинен здійснювати спеціально уповноважений працівник - адміністратор безпеки АС.
Надання доступу до інформації АС повинно здійснюватися тільки за умови достовірного розпізнавання ідентифікаційних параметрів користувачів АС. Процедура розпізнавання та надання повноважень здійснюється як організаційними заходами, так і з використанням програмно-апаратних засобів розмежування доступу.
Машинні носії інформації повинні мати відповідні ідентифікаційні реквізити.
Спроби порушення встановленого порядку доступу до інформації повинні блокуватись.
Реалізація політики безпеки комплексною системою захисту інформації
Реалізація політики безпеки здійснюється за допомогою комплексної системи захисту інформації АС - взаємопов'язаній сукупності організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.
КСЗІ АС забезпечує реалізацію вимог із захисту інформації, які визначені у Технічному завданні на створення КСЗІ в АС а саме щодо:
цілісності та доступності функціональної та технологічної інформації АС;
конфіденційності, цілісності та доступності технологічної інформації КСЗІ.
КСЗІ АС розглядається як сукупність взаємопов'язаних нормативно-правовових та організаційних заходів і інженерно-технічних засобів щодо захисту інформації від НСД.
Нормативно-правові заходи захисту інформації
Комплекс нормативно-правових заходів захисту інформації АС:
створення системи документів нормативно-правового забезпечення робіт з захисту інформації в АС;
впровадження заходів з забезпечення безпеки інформації в АС, виконання правових та договірних вимог з захисту інформації, визначення відповідальності посадових осіб, організаційної структури, комплектування і розподілу обов'язків