информационная безопасность. Курсовая работа информационная безопасность содержание Введение 1 Информационная безопасность
Скачать 400.16 Kb.
|
проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; своевременное обнаружение фактов несанкционированного доступа к персональным данным; недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; постоянный контроль за обеспечением уровня защищенности персональных данных. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в муниципальной информационной системе, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Уже не раз было сказано о том, что для обеспечения информационной безопасности необходимо формирование единой государственной политики в области использования информационных технологий, как на государственном, так и на муниципальном уровнях. Эта политика должна включать единые положения, к которым можно отнести: Подчинение процессов использования информационных технологий решению приоритетных задач социально-экономического развития, модернизации системы государственного управления, обеспечения обороноспособности и национальной безопасности страны. Определение направлений и объемов бюджетных расходов в области использования информационных технологий в государственном управлении на основе конкретных измеримых результатов и показателей эффективности деятельности федеральных органов государственной власти. Консолидация бюджетных средств на создании государственных информационных систем, имеющих важное социально-экономическое и политическое значение. Централизованное создание общих для федеральных органов государственной власти элементов информационно-технологической инфраструктуры. Обеспечение согласованности и сбалансированности внедрения информационных технологий в деятельность федеральных органов государственной власти. Согласованность нормативной правовой и методической базы в сфере информационных технологий на всех уровнях. Открытость и прозрачность использования информационных технологий в деятельности федеральных органов государственной власти. Исключение дублирования бюджетных расходов на создание государственных информационных ресурсов и систем. Унификация элементов информационно-технологической инфраструктуры, использование типовых решений при создании государственных информационных систем федеральных органов государственной власти. Также можно предложить такой вариант защиты информации, как категорирование. Присвоение категорий безопасности информации и информационным системам производится на основе оценки ущерба, который может быть нанесен нарушениями безопасности. Подобные инциденты могут помешать организации в выполнении возложенной на нее миссии, скомпрометировать активы, поставить компанию в положение нарушителя действующего законодательства, создать угрозу повседневной деятельности, подвергнуть опасности персонал. Категории безопасности используются совместно с данными об уязвимостях и угрозах в процессе анализа рисков, которым подвержена организация. информационный защита информации При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой информационной системы, т.е. берется максимум категорий по всем видам информации и активов. Необходимо создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной, несанкционированной или ненадлежащей активности; обеспечить прослеживаемость действий в информационной системе с точностью до пользователя (подотчетность пользователей). В задачи протоколирования и аудита также входит защита носителей: Необходимо: защищать носители данных как цифровые, так и бумажные; предоставлять доступ к данным на носителях только авторизованным пользователям; санировать или уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования. С целью защиты систем и коммуникаций: отслеживать, контролировать и защищать коммуникации (то есть передаваемые и принимаемые данные) на внешних и ключевых внутренних границах информационной системы; применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности информационной системы. Для обеспечения целостности систем и данных: своевременно идентифицировать дефекты информационной системы и данных, докладывать о них и исправлять; защищать информационную систему от вредоносного программного обеспечения; отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для информационной системы и должным образом реагировать на них. Также необходимо сформировать политику информационной безопасности муниципальной информационной системы, в которую нужно включить: определение и разработка руководящих документов и стандартов в области информационной безопасности; сформировать принципы администрирования системы информационной безопасности и управление доступом к вычислительным и телекоммуникационным средствам, программам и информационным ресурсам, а также доступом в помещения, где они располагаются; принципы контроля состояния систем защиты информации, способы информирования об инцидентах в области информационной безопасности и выработку корректирующих мер, направленных на устранение угроз; принципы использования информационных ресурсов персоналом компании и внешними пользователями; организацию антивирусной защиты и защиты против несанкционированного доступа и действий хакеров; уточнить вопросы резервного копирования данных и информации; разработать порядок проведения профилактических, ремонтных и восстановительных работ; предусмотреть программу обучения и повышения квалификации персонала; разработать методологию выявления и оценки угроз и рисков их осуществления, определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков; определить порядок сертификации на соответствие стандартам в области информационной безопасности. Должна быть определена периодичность проведения совещаний по тематике информационной безопасности на уровне муниципалитета, включая периодический пересмотр положений политики информационной безопасности, а также порядок обучения всех категорий пользователей муниципальной информационной системы по вопросам информационной безопасности. Следующим этапом построения комплексной системы информационной безопасности служит приобретение, установка и настройка рекомендованных на предыдущем этапе средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности и другие. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал. Стандартный набор средств комплексной защиты информации в составе современной информационной системы обычно содержит следующие компоненты: средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System - FES); средства авторизации и разграничения доступа к информационным ресурсам, а также защиту от несанкционированного доступа к информации с использованием систем биометрической авторизации и технологии токенов (смарт-карты, touch - memory, ключи для USB-портов и т.п.); средства защиты от внешних угроз при подключении к общедоступным сетям связи (Internet), а также средства управления доступом из Internet с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection); средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики; средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии защищенных виртуальных частных сетей (VPN); средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаружения атак (Intrusion Detection); средства обеспечения централизованного управления системой информационной безопасности в соответствии с согласованной и утвержденной "Политикой безопасности компании". Стоит отметить также основные положения государственной политики в области защиты информации. Эти положения должны соблюдаться и на уровне муниципального образования. Государственная политика обеспечения информационной безопасности Российской Федерации основывается на следующих основных принципах: соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации; открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации; правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом; приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации. Заключение Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации. Это предполагает: оценку эффективности применения действующих законодательных и иных нормативных правовых актов в информационной сфере и выработку программы их совершенствования; создание организационно - правовых механизмов обеспечения информационной безопасности; определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем, и установление их ответственности за соблюдение законодательства Российской Федерации в данной сфере; создание системы сбора и анализа данных об источниках угроз информационной безопасности Российской Федерации, а также о последствиях их осуществления; разработку нормативных правовых актов, определяющих организацию следствия и процедуру судебного разбирательства по фактам противоправных действий в информационной сфере, а также порядок ликвидации последствий этих противоправных действий; разработку составов правонарушений с учетом специфики уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы, в законодательство Российской Федерации о государственной службе; совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации. Основные направления предусмотрены также в ФЦП «Электронная Россия». Данный документ играет важную роль и выполняет широкий спектр функций. «Электронная Россия» - название федеральной целевой программы (ФЦП), действовавшей в Российской Федерации в 2002-2010 годах и направленной на внедрение технологий «электронного правительства». Цель Программы - создание условий для развития демократии, повышение эффективности функционирования экономики, государственного управления и местного самоуправления за счет внедрения и массового распространения информационных и коммуникационных технологий, обеспечения прав на свободный поиск, получение, передачу, производство и распространение информации, расширения подготовки специалистов по информационным и коммуникационным технологиям и квалифицированных пользователей, в том числе и в муниципальных информационных системах. Задачи Программы - совершенствование законодательства и системы государственного регулирования в сфере информационных и коммуникационных технологий; обеспечение открытости в деятельности органов государственной власти и общедоступности государственных информационных ресурсов, создание условий для эффективного взаимодействия между органами государственной власти и гражданами на основе использования информационных и коммуникационных технологий; совершенствование деятельности органов государственной власти и органов местного самоуправления на основе использования информационных и коммуникационных технологий; совершенствование взаимодействия органов государственной власти и органов местного самоуправления с хозяйствующими субъектами и внедрение информационных и коммуникационных технологий в реальный сектор экономики; развитие системы подготовки специалистов по информационным и коммуникационным технологиям и квалифицированных пользователей; содействие развитию независимых средств массовой информации посредством внедрения информационных и коммуникационных технологий; развитие телекоммуникационной инфраструктуры и создание пунктов подключения к открытым информационным системам; разработка и создание системы электронной торговли; формирование общественной поддержки выполнения мероприятий Программы. Обеспечение информационной безопасности — сложный, многоаспектный процесс, требующий принятия множества решений, анализа множества факторов и требований, порой противоречивых. Наличие категорий и минимальных требований безопасности, а также предопределенного каталога регуляторов безопасности, способно служить базой для системного подхода к обеспечению информационной безопасности, подхода, требующего разумных трудовых и материальных затрат и способного дать практически приемлемые результаты. Список используемой литературы Петренко С. А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2006, с. 400. Саак А.Э. Информационные технологии управления. М.: издательство «Экзамен», с2007г., с. 294 Трофимов В.К. Защита информации в автоматизированных ИС. М.: издательство «Экзамен», 2007г. Трофимов В.К. Защита информации в автоматизированных ИС. М.: издательство. «Экзамен», 2007г., с. 284-293 ФЗ от 27 июля 2006 года № 149« Об информации, информационных технологиях и о защите информации». Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008, с. 75 Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009, с. 352. http://www.e-nigma.ru http://www.security.strongdisk.ru http://www.ifap.ru http://fcp.economy.gov.ru |