Отчет по практике на предприятии по созданию сайтов
Скачать 54.1 Kb.
|
Методы и средства обеспечения информационной безопасностиДеятельность по обеспечению информационной безопасности осуществляется с помощью различных способов, средств и приемов, которые в совокупности и составляют методы. Метод предусматривает определенную последовательность действий на основании и конкретного плана. Методы могут значительно изменяться и варьироваться в зависимости от типа деятельности, в которой они используются, а также сферы применения. Важными методами анализа состояния обеспечения информационной безопасности являются методы описания и классификации. Для осуществления эффективной защиты системы управления НБ следует, во-первых, описать, а только потом классифицировать различные виды угроз и опасностей, рисков и вызовов и соответственно сформулировать систему мер по осуществлению управления ими. В качестве распространенных методов анализа уровня обеспечения информационной безопасности используются методы исследования при действующих связей. С помощью данных методов оказываются причинные связи между общ грозами и опасностями, осуществляется поиск причин, которые стали источником и причиной актуализации тех или иных факторов опасности, а также разрабатываются меры по их нейтрализации. В числе данных методов причинных связей можно назвать следующие: метод сходства, метод различия, метод сочетания сходства и различия, метод сопроводительных изменений, метод остатков. Выбор методов анализа состояния обеспечения информационной безопасности зависит от конкретного уровня и сферы организации защиты в зависимости от угрозы, задачи по дифференциации как различных уровней угроз, так и различных уровней защиты. Что касается сферы информационной безопасности, то в ней обычно выделяют: ) физический; ) программно-технический; ) управленческий; ) технологический; ) уровень пользователя; ) сетевой; ) процедурный На физическом уровне осуществляется организация и физическую защиту информационных ресурсов, информационных технологий, используемых и управленческих технологий. На программно-техническом уровне осуществляется идентификация и проверка подлинности пользователей, управления доступом, протоколирование и аудит, криптография, экранирование, обеспечение высокой доступности. На уровне управления осуществляется управление, координация и контроль организационных, технологических и технических мероприятий на всех уровнях со стороны единой системы обеспечения информационной безопасности. На технологическом уровне осуществляется реализация политики информационной безопасности за счет применения комплекса современных автоматизированных информационных технологий. На уровне пользователя реализация политики информационной безопасности направлена на уменьшение рефлексивного воздействия на объекты информационной безопасности. На сетевом уровне данная политика реализуется в формате координации действий компонентов системы управления, которые связаны между собой одной целью. На процедурном уровне принимаются меры, реализуемые людьми. Среди них можно выделить следующие группы процедурных мероприятий: управление персоналом, физическая защита, поддержание работоспособности, регулирования на нарушения режима безопасности, планирования реанимационных работ. Выделяют несколько типов методов обеспечения информационной безопасности: ) одноуровневые методы строятся на основании одного принципа управления информационной безопасностью; ) многоуровневые методы строятся на основе нескольких принципов управления информационной безопасностью, каждый из которых служит решению собственного задачи. При этом частные технологии не связаны между собой и направлены лишь на конкретные факторы информационных угроз; ) комплексные методы - многоуровневые технологии, которые объединены в единую систему координирующими функциями на организационном уровне с целью обеспечения информационной безопасности, исходя из анализа совокупности и факторов опасности, которые имеют семантическая связь либо генерируются из единого информационного центра информационного воздействия; ) интегрированные высокоинтеллектуальные методы - многоуровневые, многокомпонентные технологии, построенные на основе мощных автоматизированных интеллектуальных средств с организационным управлением; Общие методы обеспечения информационной безопасности активно используются на любой стадии управления угрозами. К таким стадий относятся: принятие решения по определению области и контекста информационной угрозы и состава участников процесса противодействия; Специфика методов, используемых, значительно зависит от субъекта деятельности, объекта воздействия, а также преследуемых целей. Так, методы деятельности индивида в связи с его ограниченной возможностью по обеспечению информационной безопасности в основном сводятся к источнику угрозы, апеллирование к общественному мнению, а также к государству, должна принимать решительные меры по нейтрализации информационных угроз. Причем, к сожалению, следует констатировать, что в нашей стране не на достаточном уровне осознают опасность именно в информационной сфере, нет штатных единиц в органах государственного управления информационной, не на достаточном уровне проводится подготовка соответствующих специалистов для системы управления. Весьма важным является применение аналитических методов познания и исследования состояния общественного сознания в сфере информационной безопасности. Например, осознание важности обеспечения информационной безопасности на уровне индивида, общества и организации мешает распространенный миф о том, что защита информации и криптография одно и то же время такое понимание является результатом использования устаревших подходов к информационной безопасности, когда информационная безопасность только отождествляются с защитой информации путем шифрования. Важным условием обеспечения информационной безопасности являются не столько секретность, конфиденциальность информации, сколько ее доступность, целостность, защита от различных угроз. Итак, система соответственно в реагировать и гарантировать эффективную деятельность в этом направлений. Другой задачей защиты является обеспечение неизменности информации во время ее хранения или передачи, то есть обеспечение ее целостности. Таким образом конфиденциальность информации, которая обеспечивается с помощью криптографических методов не является главным требованием при проектировании систем защиты информации. Выполнение процедур кодирования и декодирования может замедлить передачу данных и уменьшить доступ к ним из-за того, что пользователь будет лишен возможности своевременного и быстрого доступа к этим данным и информации. Именно поэтому обеспечение конфиденциальности информации должно соответствовать возможности доступа к нее. Таким образом, управление в сфере информационной безопасности должно осуществляться на основе принципа доступности и безопасности. Система обеспечения информационной безопасности в первую очередь должна гарантировать доступность и целостность информации, а ее конфиденциальность в случае необходимости. Однако не следует питать надежду на создание абсолютной системы информационной безопасности, поскольку, как отмечалось нами выше, мы стоим на той позиции, что угроза и опасность есть атрибутивными компонентами системы информационной безопасности, поэтому их существование и реализация, а также негативные последствия является естественным компонентом системы информационной безопасности. Именно они дают возможность увидеть недостатки в системе управления информационной безопасностью, и одновременно служат импульсом к совершенствованию, т.е. к развитию. Следовательно, важным метод обеспечения информационной безопасности является методом развития. Основным методом анализа информационных рисков является количественный и качественный анализ, факторный анализ и т.д. Цель качественной оценки рисков - ранжировать информационные угрозы и опасности по различным критериям, система которых позволит сформировать эффективную систему воздействия на них. Важным методом обеспечения информационной безопасности является также метод критических сценариев. В указанных сценариях анализируются ситуации, когда воображаемый противник парализует систему государственного управления и существенно снижает способность поддерживать государственное управление в пределах оптимальных параметров. Причем анализ событий в мире предоставляет все основания утверждать, что информационные войны становятся органической частью политики национальной безопасности многих развитых стран. Также можно указать на метод моделирования, с помощью которого можно проводить обучение по информационной безопасности. Положительный опыт этого у США, где на базе одной из известных корпораций постоянно проводятся оперативно-исследовательские обучения, чтобы моделировать различные формы информационных атак в ходе информационной войны. Среди методов обеспечения информационной безопасности важное значение имеет метод дихотомии. Для противодействия угрозам информационной безопасности принимаются необходимые меры как в направлении предоставления определенного влияния н на источник угрозы, так и в направлении укрепления объекта безопасности. Согласно выделяют две предметные области противодействия. Одна из них образуется совокупностью источников угроз, а другая - совокупность мероприятий по обеспечению грузки информационной безопасности объекта. Методы воздействия на информацию в форме сообщений можно разделить также на электронные и неэлектронных. Электронные методы воздействия применяются в тех случаях, когда сообщение закрепляются на электромагнитных носителях, которые предназначены для обработки с помощью средств вычислительной техники Они заключаются в уничтожении, искажении, копировании сообщений. Такие действия могут быть совершены только с помощью технического и программного обеспечения неэлектронных методы по своей сути имеют тот же смысл, но реализуются без использования средств вычислительной техники дл я воздействия на сообщение закрепления на других, прежде бумажных, носителях информации. Методы воздействия на информационную инфраструктуру могут быть разделены на информационные и неинформационные. Информационные методы воздействия ориентированы на нарушения формирования информационно-телекоммуникационных систем, сетей связи, средств автоматизации управления, систем автоматизированной обработки информации, и таким образом, на предупреждение нанесения вреда предметам общественных отношений. В целом же следует отметить, что выбор целей и методов противодействия конкретным угрозам и опасностям информационной безопасности представляет собой важную проблему и составную часть деятельности по реализации основан них направлений государственной политики информационной безопасности В рамках решения данной проблемы определяются возможные формы соответствующей деятельности органов государственной власти, что требует проведения детального анализу экономического, социального, политического и других слоев общества, государства и личности, возможных последствий выбора тех или иных вариантов осуществления этой деятельности. |