Составители:
Рубрика:
202
Ядром инженерно-технического направления являются программно-аппаратные
средства защиты информации, к которым относятся механические, электромеханические,
электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие
устройства, системы и сооружения, предназначенные для обеспечения безопасности и
защиты информации.
Под программным обеспечением безопасности информации понимается совокупность
специальных программ, реализующих функции защиты информации и режима
функционирования.
Сформированная совокупность правовых, организационных и инженерно-
технических мероприятий выливается в соответствующую политику безопасности. Политика
безопасности определяет облик системы защиты информации в виде совокупности правовых
норм, организационных (правовых) мер, комплекса программно-технических средств и
процедурных решений, направленных на противодействие угрозам ля исключения или
минимизации возможных последствий проявления информационных воздействий. После
принятия того или иного варианта политики безопасности необходимо оценить уровень
безопасности информационной системы. Естественно, что оценка защищенности
производится по совокупности показателей, основными из которых являются стоимость,
эффективность, реализуемость.
Оценить варианты построения системы защиты информации – задача достаточно
сложная, требующая привлечения современных математических методов
многопараметрической оценки эффективности. К ним относятся: метод анализа иерархий
,
экспертные методы, метод последовательных уступок и ряд других. Когда намеченные меры
приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски
стали приемлемыми. Только после этого можно намечать дату ближайшей переоценки. В
противном случае придется проанализировать допущенные ошибки и провести повторный
сеанс анализа уязвимости с учетом изменений в системе
защиты.
Сформированный возможный сценарий действий нарушителя требует проверки
системы защиты информации. Такая проверка называется «тестированием на
проникновение». Цель – предоставление гарантий того, что для неавторизованного
пользователя не существует простых путей обойти механизмы защиты.
Один из возможных способов аттестации безопасности системы – приглашение
хакеров для взлома без предварительного уведомления персонала сети. Для этого выделяется
группа из двух-трех человек, имеющих высокую профессиональную подготовку. Хакерам
предоставляется в распоряжение автоматизированная система в защищенном исполнении, и
группа в течение 1–3 месяцев пытается найти уязвимые места и разработать на их основе
тестовые средства для обхода механизмов защиты. Наемные хакеры представляют
конфиденциальный доклад по результатам работы с оценкой уровня доступности
информации и рекомендациями по улучшению защиты.
Наряду с таким способом используются программные средства тестирования. На
этапе составления плана защиты в соответствии с выбранной политикой безопасности
разрабатывается план его реализации. План защиты является документом, вводящим в
действие систему защиты информации, который утверждается руководителем организации.
Планирование связано не только с наилучшим использованием всех
возможностей,
которыми располагает компания, в том числе выделенных ресурсов, но и с предотвращением
ошибочных действий, могущих привести к снижению эффективности предпринятых мер по
защите информации.
План защиты информации на объекте должен включать:
- описание защищаемой системы (основные характеристики защищаемого объекта:
назначение объекта, перечень решаемых задач, конфигурация, характеристики и размещение
технических средств
и программного обеспечения, перечень категорий информации
(пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, и
Страницы
- « первая
- ‹ предыдущая
- …
- 200
- 201
- 202
- 203
- 204
- …
- следующая ›
- последняя »
