Невозможно отобразить презентацию
Похожие презентации:
Принципы организации и основные элементы КСЗИ
Принципы организации и основные элементы КСЗИ Самара 2012 Выполнила :Маркушева Елена 20402.10 Стремительное развитие информационных технологий и их внедрение во всех сферах деятельности значительно совершенствует и ускоряет многие бизнес- процессы.
Наличие или отсутствие необходимой информации, ее сохранность и защищенность от стороннего вмешательства существенно влияет на благополучие компании.
Но с каждым годом все больше возрастает количество вирусов, сетевых атак злоумышленников, возникают угрозы нарушения конфиденциальности информации внутри компании, что приводит к финансовым потерям, и часто - весьма значительным.
Решение вопросов защиты данных в современных информационных системах будет успешным только при условии использования комплексного подхода к построению системы обеспечения безопасности информации.
ВВЕДЕНИЕ Общие сведения Комплексная система защиты– единая совокупность законодательных организационных и технических мер, направленных на выявление, отражение и ликвидацию различных угроз безопасности.
КСЗИ – совокупность средств, методов и мероприятий технического, организационного, правового, программного и криптографического характера, используемых во взаимодействии и на регулярной основе органами, обеспечивающими в соответствии с нормативными документами ЗИ на объекте, и направленных на достижение основных целей защиты информации.
КСЗИ включает в себя следующие элементы:
• Правовая ЗИ;
• Организационная ЗИ;
• Инженерно-техническая ЗИ;
• Программно-аппаратная ЗИ;
• Криптографическая ЗИ;
ЭЛЕМЕНТЫ КСЗИ Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и на селения (отдельной личности).
Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту.
На государственном уровне правовая защита регулируется государственными и ведомственными актами.
В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах.
Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур.
Правовые меры обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников предприятия и определяют меры их ответственности за нарушение установленных норм.
Правовая ЗИ СТРУКТУРА ПЗИ Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
• организацию охраны, режима, работу с кадрами, с документами;
• использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Организационная зи Структура ози Инженерно-техническая защита по определению — это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.
Многообразие целей, задач, объектов защиты и проводимых мероприятий предполагает рассмотрение некоторой системы классификации средств по виду, ориентации и другим характеристикам.
итзи Классификация итзи К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.
Аппаратные средства защиты информации применяются для решения следующих задач:
• проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;
• выявление каналов утечки информации на разных объектах и в помещениях;
• локализация каналов утечки информации;
• поиск и обнаружение средств промышленного шпионажа;
• противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.
Аппаратная зи Системы защиты компьютера от чужого вторжения весьма разнообразны и классифицируются, как:
• средства собственной защиты, предусмотренные общим программным обеспечением;
• средства защиты в составе вычислительной системы;
• средства защиты с запросом информации;
• средства активной защиты;
• средства пассивной защиты и другие.
Программная зи Средства пз Криптография как средство защиты (закрытия) информации приобретает все более важное значение в мире коммерческой деятельности.
Крипто зи Модель криптосистемы∗ Адаптируемость – способность к целенаправленному приспособлению при изменении структуры, технологических схем, условий функционирования АСОД, а также при изменении главных угроз.∗ Непрерывность – построение КСЗИ есть непрерывный процесс, а не одноразовый акт.∗ Комплексность – это использование всего арсенала средств защиты для блокирования главных угроз защищаемой информации по всем возможным каналам утечки, во всех структурных элементах производства, на всех этапах технологического цикла обработки информации.∗ Научная обоснованность – системное рассмотрение проблем, изучение, обобщение и применение научных знаний и передового практического опыта при создании СЗИ.∗ Концептуальное единство – построение КСЗИ должно рассматриваться и реализовываться на основе единой концепции защиты информации.
Концептуальные принципы организации ксзи∗ Адекватность – СЗИ должна строиться в строгом соответствии с требованиями к защите, которые определяются категорией объекта и факторами, влияющими на защиту [1].
Уровень защиты должен быть адекватен угрозам.∗ Функциональная самостоятельность – СЗИ должна быть самостоятельной подсистемой АСОД и при осуществлении функций защиты не зависеть от других подсистем.∗ Минимизация предоставляемых прав – каждому пользователю и лицам из персонала АСОД должны предоставляться лишь те полномочия на доступ к ресурсам АСОД, которые действительно необходимы ему для исполнения обязанностей.∗ Полнота контроля – все процедуры обработки защищаемой информации должны быть под контролем системы защиты в полном объеме, причем результаты контроля должны документироваться.∗ Активность реагирования – СЗИ должна реагировать на любые попытки НСД.∗ Централизованность управления СЗИ – процесс управления должен быть обязательно централизован, структура системы защиты должна соответствовать структуре защищаемого объекта, а также целям и задачам защиты.∗ Плановость – организация взаимодействия всех подразделений объекта в интересах реализации принятой концепции защиты, формирование каждой службой планов защиты информации в пределах ее компетенции с учетом общих целей предприятия (концепции защиты информации).∗ Целенаправленность – защищаться должно то, что необходимо защищать в интересах поставленных целей, а не все подряд.∗ Конкретность – защите подлежат конкретные ИР, представляющие интерес для противника, утечка которых может привести к ущербу.∗ Активность защиты – в том смысле, что СЗИ должно иметь инструменты, реализующие не только требование «обнаружить и устранить», но и «предвидеть и предотвратить».
Основные принципы организации ксзи В построении КСЗИ можно выделить следующие этапы:
• Подготовка организационно-распорядительной документации.
• Обследование информационной инфраструктуры.
• Разработка «Плана защиты информации».
• Разработка «Технического задания на создание КСЗИ».
• Разработка «Технического проекта на создание КСЗИ».
• Приведение информационной инфраструктуры в соответствие с «Техническим проектом на создание КСЗИ».
• Разработка «Эксплуатационной документации на КСЗИ».
• Внедрение КСЗИ.
• Испытание КСЗИ.
• Проведение государственной экспертизы КСЗИ и получение «Аттестата соответствия».
• Поддержка и обслуживание КСЗИ.
Этапы построения КСЗИ∗ Какие основные элементы КСЗИ Вы знаете?∗ Что такое правовая ЗИ?∗ Что такое ИТЗИ?∗ Что такое Организационная ЗИ?∗ Какие основные принципы организации КСЗИ? Контрольные вопросы∗ http://am-soft.ua/site/page5063.html∗ http://www.atmnis.com/files/user_files/kszi.pdf∗
Наличие или отсутствие необходимой информации, ее сохранность и защищенность от стороннего вмешательства существенно влияет на благополучие компании.
Но с каждым годом все больше возрастает количество вирусов, сетевых атак злоумышленников, возникают угрозы нарушения конфиденциальности информации внутри компании, что приводит к финансовым потерям, и часто - весьма значительным.
Решение вопросов защиты данных в современных информационных системах будет успешным только при условии использования комплексного подхода к построению системы обеспечения безопасности информации.
ВВЕДЕНИЕ Общие сведения Комплексная система защиты– единая совокупность законодательных организационных и технических мер, направленных на выявление, отражение и ликвидацию различных угроз безопасности.
КСЗИ – совокупность средств, методов и мероприятий технического, организационного, правового, программного и криптографического характера, используемых во взаимодействии и на регулярной основе органами, обеспечивающими в соответствии с нормативными документами ЗИ на объекте, и направленных на достижение основных целей защиты информации.
КСЗИ включает в себя следующие элементы:
• Правовая ЗИ;
• Организационная ЗИ;
• Инженерно-техническая ЗИ;
• Программно-аппаратная ЗИ;
• Криптографическая ЗИ;
ЭЛЕМЕНТЫ КСЗИ Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и на селения (отдельной личности).
Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту.
На государственном уровне правовая защита регулируется государственными и ведомственными актами.
В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах.
Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур.
Правовые меры обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников предприятия и определяют меры их ответственности за нарушение установленных норм.
Правовая ЗИ СТРУКТУРА ПЗИ Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
• организацию охраны, режима, работу с кадрами, с документами;
• использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Организационная зи Структура ози Инженерно-техническая защита по определению — это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.
Многообразие целей, задач, объектов защиты и проводимых мероприятий предполагает рассмотрение некоторой системы классификации средств по виду, ориентации и другим характеристикам.
итзи Классификация итзи К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.
Аппаратные средства защиты информации применяются для решения следующих задач:
• проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;
• выявление каналов утечки информации на разных объектах и в помещениях;
• локализация каналов утечки информации;
• поиск и обнаружение средств промышленного шпионажа;
• противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.
Аппаратная зи Системы защиты компьютера от чужого вторжения весьма разнообразны и классифицируются, как:
• средства собственной защиты, предусмотренные общим программным обеспечением;
• средства защиты в составе вычислительной системы;
• средства защиты с запросом информации;
• средства активной защиты;
• средства пассивной защиты и другие.
Программная зи Средства пз Криптография как средство защиты (закрытия) информации приобретает все более важное значение в мире коммерческой деятельности.
Крипто зи Модель криптосистемы∗ Адаптируемость – способность к целенаправленному приспособлению при изменении структуры, технологических схем, условий функционирования АСОД, а также при изменении главных угроз.∗ Непрерывность – построение КСЗИ есть непрерывный процесс, а не одноразовый акт.∗ Комплексность – это использование всего арсенала средств защиты для блокирования главных угроз защищаемой информации по всем возможным каналам утечки, во всех структурных элементах производства, на всех этапах технологического цикла обработки информации.∗ Научная обоснованность – системное рассмотрение проблем, изучение, обобщение и применение научных знаний и передового практического опыта при создании СЗИ.∗ Концептуальное единство – построение КСЗИ должно рассматриваться и реализовываться на основе единой концепции защиты информации.
Концептуальные принципы организации ксзи∗ Адекватность – СЗИ должна строиться в строгом соответствии с требованиями к защите, которые определяются категорией объекта и факторами, влияющими на защиту [1].
Уровень защиты должен быть адекватен угрозам.∗ Функциональная самостоятельность – СЗИ должна быть самостоятельной подсистемой АСОД и при осуществлении функций защиты не зависеть от других подсистем.∗ Минимизация предоставляемых прав – каждому пользователю и лицам из персонала АСОД должны предоставляться лишь те полномочия на доступ к ресурсам АСОД, которые действительно необходимы ему для исполнения обязанностей.∗ Полнота контроля – все процедуры обработки защищаемой информации должны быть под контролем системы защиты в полном объеме, причем результаты контроля должны документироваться.∗ Активность реагирования – СЗИ должна реагировать на любые попытки НСД.∗ Централизованность управления СЗИ – процесс управления должен быть обязательно централизован, структура системы защиты должна соответствовать структуре защищаемого объекта, а также целям и задачам защиты.∗ Плановость – организация взаимодействия всех подразделений объекта в интересах реализации принятой концепции защиты, формирование каждой службой планов защиты информации в пределах ее компетенции с учетом общих целей предприятия (концепции защиты информации).∗ Целенаправленность – защищаться должно то, что необходимо защищать в интересах поставленных целей, а не все подряд.∗ Конкретность – защите подлежат конкретные ИР, представляющие интерес для противника, утечка которых может привести к ущербу.∗ Активность защиты – в том смысле, что СЗИ должно иметь инструменты, реализующие не только требование «обнаружить и устранить», но и «предвидеть и предотвратить».
Основные принципы организации ксзи В построении КСЗИ можно выделить следующие этапы:
• Подготовка организационно-распорядительной документации.
• Обследование информационной инфраструктуры.
• Разработка «Плана защиты информации».
• Разработка «Технического задания на создание КСЗИ».
• Разработка «Технического проекта на создание КСЗИ».
• Приведение информационной инфраструктуры в соответствие с «Техническим проектом на создание КСЗИ».
• Разработка «Эксплуатационной документации на КСЗИ».
• Внедрение КСЗИ.
• Испытание КСЗИ.
• Проведение государственной экспертизы КСЗИ и получение «Аттестата соответствия».
• Поддержка и обслуживание КСЗИ.
Этапы построения КСЗИ∗ Какие основные элементы КСЗИ Вы знаете?∗ Что такое правовая ЗИ?∗ Что такое ИТЗИ?∗ Что такое Организационная ЗИ?∗ Какие основные принципы организации КСЗИ? Контрольные вопросы∗ http://am-soft.ua/site/page5063.html∗ http://www.atmnis.com/files/user_files/kszi.pdf∗