Принцип системности обеспечения компьютерной безопасности предполагает систематизацию информации

Обновлено: 24.01.2025

С лужба безопасности предприятия, организации не может предусмотреть все угрозы, несмотря на широкие возможности систем защиты данных от постороннего доступа и активное внедрение новых методов и способов обеспечения информационной безопасности. Особенно сложно предусмотреть все мероприятия и организовать надежную систему сохранности и ограничения доступа к информации, если в компании работает большое количество сотрудников.

Собственно, основная часть работы сотрудника компании, ответственного за инциденты, касающиеся информационной безопасности, сводится к тому, чтобы полагаться на интуицию и бдительность каждого работника, например, когда в полученном письме что-то выглядит не совсем правильно. Для того чтобы предотвратить случаи утечки информации из-за неправильного трактования, ошибок или упущений во время работы с ней, которые открывают путь к возможному нарушению, необходимо ознакомиться с основными принципами обеспечения безопасности в информационной сфере и соблюдать требования, обеспечивающие сохранность сведений в компании.

Утечка данных может случиться в самые различные моменты работы с ними. К примеру, похищение сведений возможно при нажатии на ссылку в электронном письме. Это наиболее распространенный вариант, когда может пострадать не один человек, а сотни и тысячи людей, которых эта информация касается прямо или косвенно.

Второе место в перечне рисков утечки информации занимает мошенничество в социальной сети – вымогание злоумышленниками паролей, попытки получить другие личные данные. Иногда сведения могут добываться еще одним неправомерным путем – с использованием шантажа. Нередко злоумышленники обманывают доверчивых собеседников по телефону.

Основными принципами деятельности мошенников являются поиск «жертвы» и создание ложной информации, которая привлечет внимание и заставит выполнить какое-либо действие, после которого злоумышленники получат доступ к необходимым им сведениям.

Поэтому будет сложно найти спасение в какой-либо волшебной таблетке: чтобы обезопасить компанию и ее информацию, а также сотрудников, нужно ознакомиться с программой обеспечения информационной безопасности, разработать систему защиты сведений, хранящихся и обрабатываемых на предприятии, и создать полноценную систему контроля за соблюдением всеми работниками режима безопасности информации.

Что такое информационная безопасность и какова ее цель

Информационная безопасность – это практические действия, которые направлены на предотвращение несанкционированного доступа к хранящимся, обрабатываемым и передаваемым данным в компании. Помимо этого, методы, которые используются для ее обеспечения, направлены на пресечение возможности использования, раскрытия, искажения, изменения или уничтожения данных, хранящихся на компьютерах, в базах данных, архивах или любых других хранилищах, носителях.

Основной задачей создания информационной безопасности на предприятии является защита данных, а именно обеспечение их целостности и доступности без ущерба для организации. Систему информационной безопасности выстраивают постепенно.

Процесс включает идентификацию:

• основных средств и нематериальных активов;
• источников угроз информационной безопасности и уязвимостей;
• возможностей контроля и управления рисками.

На сегодня существует несколько методов и технических средств, которые помогут достичь высокого уровня информационной безопасности наиболее эффективным способом.

Определение собственной системы защиты информации предприятием начинается с четкой постановки целей, планирования конкретных шагов, направленных на сохранность ценных корпоративных сведений. Соблюдение политики безопасности всеми участниками процесса, внедрение новых методов информационной безопасности позволит в полной мере воздействовать на разные сферы деятельности организации. Основное направление – создание условий стопроцентной безопасности и защиты от нарушения аутентификации, конфиденциальности, целостности.

Разработанная схема защиты должна гарантировать использование разного уровня доступов к корпоративной информации за счет идентификации личности или запрограммированной авторизации сотрудников, имеющих право доступа к информации и ее обработке. В рамках разработанной в компании политики безопасности сотрудники получат возможность использовать определенную документацию исключительно в рабочих целях. Документально оформленные и установленные ограничения помогут оперативно выявлять нарушителя, не допуская утечки информационных ресурсов за пределы предприятия.

Основная нагрузка в вопросе контроля за выполнением политики защиты информации предприятия ложится на службу безопасности. Правильная работа сотрудников с информацией напрямую зависит от поставленных целей. Например, при предоставлении работнику доступа к определенным бумагам стоит обратить внимание на передачу данных при помощи облачного хранилища – оно должно быть защищенным; использование криптографической защиты позволит максимально ограничить возможность несанкционированного скачивания документов.

Разграничение уровней доступа к использованию информации поможет координировать запросы, распределять функции между сотрудниками, своевременно идентифицировать разрешенные и запрещенные действия. Это позволит не только пресечь неправильные, неправомерные действия с обрабатываемыми сведениями, но и поможет корректировать работу с информацией при выявлении отклонений в работе с этими данными.

Как обеспечить информационную безопасность для сотрудников компании

Специалисты в области ИБ рекомендуют использовать программные алгоритмы для обеспечения информационной безопасности: их выполнение позволяет надежно защитить информацию и своевременно отреагировать на возможные инциденты. Обучение сотрудников организации правилам работы с данными уменьшит количество инцидентов в сфере безопасности информации и финансовые потери от них.

Основные моменты, которые должны быть учтены при создании и функционировании системы информационной безопасности на предприятии:

1. Начинать выстраивать многоэтапный процесс обучения сотрудников нужно как можно раньше. Этот принцип базируется на теории, что исполнительное звено команды задает тон всей компании, каждой группе (отделу, подразделению) и каждому проекту. Если собственник компании стремится, чтобы его программа действий по обеспечению ИБ была успешной, необходимо привлечь команду менеджеров, которые будут ответственными за обеспечение требований информационной безопасности на каждом этапе работы с данными, и предусмотреть в их должностных обязанностях выполнение этих функций.
2. Необходимо непрерывно обучать сотрудников методам и требованиям обеспечения информационной безопасности на предприятии. Следуя этому принципу, нужно прививать персоналу культуру обращения с данными, когда каждый соблюдает правила информационной безопасности непосредственно на своем рабочем месте. Большинство экспертов сходятся во мнении, что подход «один раз – и готово» не позволяет обеспечить безопасность в информационной сфере. Важно включить «обучающие моменты» в повседневные деловые операции. Например, упражнения по симуляции атаки в основном обеспечивают наиболее реалистичный контекст для отработки действий по защите информации в реальных рискованных ситуациях, в которых оказываются сотрудники. Во время такого обучения часто удается прорабатывать и впоследствии внедрять наиболее ценные методы решения проблемы.
3. Использование актуальных решений в области информационной безопасности. Следуя этому принципу, нужно повышать осведомленность персонала, вносить изменения в его поведение на основании реальных, актуальных и убедительных примеров. Не нужно усложнять очевидные вещи, пытаться решать всевозможные ситуации основным методом. Только используя систему информационной защиты по всем направлениям, можно получить действительно качественный результат и минимизировать или остановить утечки информации за пределы предприятия.
4. Выбор наилучшего подхода. Нужно показать сотрудникам, как можно выполнять различные операции с информацией безопасно, используя наиболее подходящий в конкретных ситуациях, правильный подход. Важно помнить: цель владельца компании состоит в том, чтобы привить персоналу профессиональные навыки и привычки, чтобы безопасность соблюдалась на интуитивном уровне, а не просто зазубрить правила на время.
5. Объяснения с вескими доказательствами и удачными примерами. Надо объяснять сотрудникам, почему учетные данные и документы пользователя так ценны, и насколько важно их защитить. Это гораздо лучше, чем просто разочароваться в количестве жалоб пользователей на политику защиты информации. Как только сотрудник поймет причину существования определенной меры безопасности, он с большей вероятностью будет уважать ее и применять аналогичные принципы информационной безопасности в любых новых ситуациях «высокого риска».
6. Приоритетное обучение. Обучение информационной безопасности является наиболее значимым, когда оно тесно связано с ролью сотрудника на предприятии в контексте рисков, с которыми он сталкивается при выполнении этой роли.
7. Нет инструмента обучения, который бы подходил для всех. Потребуется использовать новые способы, основанные на принципах креативности, для управления информационной безопасностью: бюллетени, плакаты, блоги, другие средства. Из этого принципа можно сделать вывод: нужно искать индивидуальный подход к каждому сотруднику.

Следуя этим принципам, руководитель легко сможет обеспечить информационную безопасность для сотрудников предприятия.

Цели обучения персонала вопросам информационной безопасности

Создание эффективных систем безопасности на предприятии – сложное мероприятие, хотя есть много программ, которые способны автоматизировать процесс контроля. Профессиональные метрики не просто говорят о том, что было сделано, но и о том, насколько отлично это было сделано, – они позволяют прогнозировать будущее, а не пересчитывают прошлое.

Вот несколько советов для повышения осведомленности и эффективного обучения безопасной работе с информационными системами:

• отслеживание заявок в службу поддержки; сотрудники более чувствительны к подозрительным событиям и уверены в себе, когда сообщают о проблемах;
• изучение нетрадиционных методов обучения, таких как имитационные упражнения. Они необходимы, чтобы проверить устойчивость работника к мошенничеству в социальной сфере, а затем измерять прогресс на ежеквартальной основе.

Тем не менее собственнику предприятия нужно работать со своей командой, которая обеспечивает ИБ, чтобы обеспечить всем возможность поддержания доверия и прозрачность отношений.

Программы, направленные на обучение, необходимо постоянно дорабатывать и обновлять с учетом новых тенденций и появления новых методик и способов защиты информации. Застоявшиеся способы борьбы с посторонним вмешательством не могут гарантировать максимальную информационную защиту.

При разработке обучающих программ следует учитывать:

• возможность учебы без отрыва от рабочего процесса;
• регулярность обновления полученных знаний;
• доступность и понятность предоставляемой информации.

Обучение сотрудников не гарантирует 100% защиту данных, но повышает уровень защиты системы в целом.

Что нужно знать о фишинговых атаках

Для того чтобы достичь нужного уровня защиты в информационно-поисковой системе, нужно снизить количество инцидентов, базируясь на основных принципах обеспечения безопасности. Для начала нужно сосредоточиться на самом большом риске для сотрудников – фишинге.

Фишинг-атаки – это угрозы, которые являются наиболее распространенным способом манипулирования сотрудниками. Цель этих действий – подвергнуть компанию риску. Это мошенничество строится на методах социальной инженерии и ответственно за массовые нарушения, о которых сегодня можно услышать повсеместно.

К примеру, создание хакером измененного адреса Facebook: пользователи, попадающие на страницу, не замечают изменений, входят в систему и предоставляют мошеннику свои личные данные.

Фишинговые письма содержат психологические ловушки. Как правило, их адресуют конкретному сотруднику или компании. Если фишинговая рассылка охватывает большлй круг получателей, то письма менее специфичны.

Защита от этого типа атак строится на бдительности и осведомленности каждого сотрудника, иначе из-за одного открытого письма может пострадать доступ к информационным ресурсам, например, из-за подхваченного вируса. Нужно поощрять сотрудников, если они заметят подозрительное письмо и сообщат о нем. Так информация и программное обеспечение останутся целыми.

Для того чтобы обеспечить нужный уровень защиты системы информационной безопасности, можно симулировать фишинговые атаки для обучения сотрудников правильному поведению при получении подозрительных писем и выявления пробелов в знаниях, неспособности защитить конфиденциальную информацию.

Несмотря на современные разработки в сфере борьбы с интернет-атаками, данный вид нарушения политики безопасности остается действенным.

Виды атак: от чего необходимо защититься

Лучший способ выбрать соответствующий ответ на угрозу безопасности – это понять, какие типы атак могут быть использованы против вас.

Список основных видов атак:

• атака на внешний/съемный носитель выполняется с использованием съемного носителя (например, флэш-накопителя, компакт-диска, задевающего информационный ресурс) или периферийного устройства;
• атака на электронный адрес выполняется с помощью письма со ссылкой или вложением (например, заражение вредоносным программным обеспечением);
• атака на систему выполняется с использованием деградации или уничтожения системы, сети или службы, предоставляя злоумышленнику доступ к информации;
• неправильное использование – это любой инцидент, вызванный нарушением правил организации уполномоченным пользователем;
• атака с веб-сайта или веб-приложения;
• утеря или кража оборудования.

Политика безопасности снижает большинство рисков, связанных с различными видами атак на информационном ресурсе.

Злоумышленники редко входят через «парадную дверь» или, в данном контексте, межсетевой экран оборудования. Но каждая атака, как правило, работает по определенной схеме или по «цепочке киберубийств». Систему защиты в данном случае выстраивать нужно постепенно, охватывая все каналы связи.

«Цепочка киберубийств» – это последовательность этапов, необходимых злоумышленнику для успешного проникновения в сеть и удаления из нее нужных ему данных или совершения других действий. Разработка плана мониторинга и реагирования на основе модели «цепочки киберубийств» является эффективным методом предотвращения таких действий со стороны злоумышленников, поскольку в нем основное внимание уделяется фактическим атакам, совершаемым злоумышленником удаленно. Цель нападающего – найти нужные данные и уничтожить их, перед этим совершив разведку и разработку плана атаки.

О каких событиях безопасности действительно нужно беспокоиться

Чтобы классифицировать типы происшествий в сфере безопасности информационной системы, нужно сопоставить каждое из них с «цепочкой киберубийств», чтобы определить соответствующую приоритетность и стратегию реагирования на инциденты.

Например, при сканировании порта многие проблемы игнорируются, если есть исходный IP-адрес, не имеющий плохой репутации, и с одного и того же адреса совершается несколько действий за короткий промежуток времени. Информационный ресурс в большинстве случаев остается нетронутым.

Иногда нужно расследовать все связанные действия, чтобы предотвратить отвлечение мошенниками внимания от более серьезной попытки атаки. Информационное сопротивление в данном случае успешно при тесном сотрудничестве с интернет-провайдером или поставщиком услуг.

Нужно определить учетные записи привилегированных пользователей для всех доменов, серверов, приложений и критических устройств. Потребуется убедиться, что мониторинг включен для всех систем и для всех системных событий. Помимо этого, необходимо провести резервное копирование всех важных данных, тестировать, документировать и обновлять процедуры восстановления системы. Во время компрометации системы нужно тщательно собирать доказательства и документировать все этапы восстановления.

Защита информации в АС должна основываться на следующих основных принципах:

гибкости управления и применения;

открытости алгоритмов и механизмов защиты;

простоты применения защитных мер и средств.

Принцип системности

Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС.

При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип комплексности

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.

Принцип непрерывности защиты

Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Разумная достаточность

Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Гибкость системы защиты

Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

Принцип простоты применения средств защиты

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Российский государственный социальный
университет
РЕФЕРАТ
по дисциплине «Безопасность жизнедеятельности»
«Принцип непрерывности, комплексности, системности рассмотрение информационной безопасности».
(тема реферата)
Москва 2021
ФИО студента
Пешкова Наталья Андреевна
Направление подготовки
Менеджмент (Управление проектами)
Группа
МЕН-Б-3-З-2020-1_ДИСТАНТ

2
Оглавление
Введение…………………………………………………………………………..3
Основная часть………………………………………………………………. …4
Заключение……………………………………………………………………. 10
Список реферируемой литературы……………………………………………11

3
Введение
Информационная безопасность – это практические действия, которые направлены на предотвращение несанкционированного доступа к хранящимся, обрабатываемым и передаваемым данным в компании. Помимо этого, методы, которые используются для ее обеспечения, направлены на пресечение возможности использования, раскрытия, искажения, изменения или уничтожения данных, хранящихся на компьютерах, в базах данных, архивах или любых других хранилищах, носителях.[2]
Основной задачей создания информационной безопасности на предприятии является защита данных, а именно обеспечение их целостности и доступности без ущерба для организации. Систему информационной безопасности выстраивают постепенно.
Процесс включает идентификацию: основных средств и нематериальных активов; источников угроз информационной безопасности и уязвимостей; возможностей контроля и управления рисками.
На сегодня существует несколько методов и технических средств, которые помогут достичь высокого уровня информационной безопасности наиболее эффективным способом.
Определение собственной системы защиты информации предприятием начинается с четкой постановки целей, планирования конкретных шагов, направленных на сохранность ценных корпоративных сведений. Соблюдение политики безопасности всеми участниками процесса, внедрение новых методов информационной безопасности позволит в полной мере воздействовать на разные сферы деятельности организации. Основное направление – создание условий стопроцентной безопасности и защиты от нарушения аутентификации, конфиденциальности, целостности.

4
Бабаш А.В. писал, что служба безопасности предприятия, организации не может предусмотреть все угрозы, несмотря на широкие возможности систем защиты данных от постороннего доступа и активное внедрение новых методов и способов обеспечения информационной безопасности. Особенно сложно предусмотреть все мероприятия и организовать надежную систему сохранности и ограничения доступа к информации, если в компании работает большое количество сотрудников.[1]
Собственно, основная часть работы сотрудника компании, ответственного за инциденты, касающиеся информационной безопасности, сводится к тому, чтобы полагаться на интуицию и бдительность каждого работника, например, когда в полученном письме что-то выглядит не совсем правильно. Для того чтобы предотвратить случаи утечки информации из-за неправильного трактования, ошибок или упущений во время работы с ней, которые открывают путь к возможному нарушению, необходимо ознакомиться с основными принципами обеспечения безопасности в информационной сфере и соблюдать требования, обеспечивающие сохранность сведений в компании.
Утечка данных может случиться в самые различные моменты работы с ними.
К примеру, похищение сведений возможно при нажатии на ссылку в электронном письме. Это наиболее распространенный вариант, когда может пострадать не один человек, а сотни и тысячи людей, которых эта информация касается прямо или косвенно.
Второе место в перечне рисков утечки информации занимает мошенничество в социальной сети – вымогание злоумышленниками паролей, попытки получить другие личные данные. Иногда сведения могут добываться еще одним неправомерным путем – с использованием шантажа. Нередко злоумышленники обманывают доверчивых собеседников по телефону.

5
Чипига А.Ф. писал, что основными принципами деятельности мошенников являются поиск «жертвы» и создание ложной информации, которая привлечет внимание и заставит выполнить какое-либо действие, после которого злоумышленники получат доступ к необходимым им сведениям.[3]
Поэтому будет сложно найти спасение в какой-либо волшебной таблетке: чтобы обезопасить компанию и ее информацию, а также сотрудников, нужно ознакомиться с программой обеспечения информационной безопасности, разработать систему защиты сведений, хранящихся и обрабатываемых на предприятии, и создать полноценную систему контроля за соблюдением всеми работниками режима безопасности информации.
Основная нагрузка в вопросе контроля за выполнением политики защиты информации предприятия ложится на службу безопасности. Правильная работа сотрудников с информацией напрямую зависит от поставленных целей.
Например, при предоставлении работнику доступа к определенным бумагам стоит обратить внимание на передачу данных при помощи облачного хранилища – оно должно быть защищенным; использование криптографической защиты позволит максимально ограничить возможность несанкционированного скачивания документов.
Основными принципами обеспечения информационной безопасности в АСОИ являются:[5]
1. Системность.
2. Комплексность.
3. Непрерывность защиты.
4. Разумная достаточность.
5. Гибкость управления и применения.
6. Открытость алгоритмов и механизмов защиты.
7. Простота применения защитных мер и средств.

6
Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз. Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС. При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности предполагает согласование работы разнородных систем защиты информации (СЗИ) при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ.
В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем.
Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем (ОС) в силу того, что ОС - это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов.

7
Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.
Принцип непрерывности защиты учитывает то, что защита информации не есть разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования. Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных

8 программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.
Принцип разумной достаточности опирается на то, что создать абсолютно защищенную систему принципиально невозможно, взлом системы есть вопрос только времени и средств. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности.
Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.
Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень защищенности автоматизированной системы (АС). При определенных условиях функционирования АС СЗИ, обеспечивающая ее защищенность может обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.
Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.
Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.
Разграничение уровней доступа к использованию информации поможет координировать запросы, распределять функции между сотрудниками, своевременно идентифицировать разрешенные и запрещенные действия. Это

9 позволит не только пресечь неправильные, неправомерные действия с обрабатываемыми сведениями, но и поможет корректировать работу с информацией при выявлении отклонений в работе с этими данными.

10
Заключение
Информация очень важна для успешного развития бизнеса, следовательно, нуждается в соответствующей защите. Особенно актуально это стало в бизнес- среде, где на передний план вышли информационные технологии. Так как мы живем в эпоху цифровой экономики, без них рост компании просто невозможен.[4]
Информация сейчас подвергается все большему числу угроз и уязвимостей.
Хакерские атаки, перехват данных по сети, воздействие вирусного ПО и прочие угрозы приобретают более изощренный характер и набирают огромный темп. Отсюда возникает необходимость внедрять системы информационной безопасности, которые могли бы защитить данные компании.
На выбор подходящих средств защиты информации влияют многие факторы, включая сферу деятельности компании, ее размер, техническую сторону, а также знания сотрудников в области информационной безопасности.

Основными принципами обеспечения информационной безопасности в АСОИ являются следующие [8, 17, 28].

Гибкости управления и применения.

Открытости алгоритмов и механизмов защиты.

Простоты применения защитных мер и средств.

Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.

Принцип комплексности. В распоряжении специалистов по информационной безопасности (ИБ) имеется широкий спектр мер, методов и средств защиты компьютерных систем. Принцип комплексности предполагает согласование работы разнородных СЗИ при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ, покрытие ими всех существенных каналов реализации угроз.

Принцип непрерывности защиты. Защита информации – это не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Принцип разумной достаточности. Создать абсолютно защищенную систему защиты принципиально невозможно, взлом системы – это вопрос только времени и средств. Например, любые средства криптографической защиты не гарантируют абсолютной стойкости, а обеспечивают конфиденциальность информации в течение приемлемого для защищающейся стороны времени. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.

Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень ее защищенности. При определенных условиях функционирования АС, СЗИ, обеспечивающие ее защищенность могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.

Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.

Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.

Читайте также:

  
• Что такое plp файл
  
• Как изменить название страницы в фейсбук с компьютера
  
• Какой звук у компьютера
  
• Почему пиксель ган лагает
  
• Неправильное правило брандмауэра ccleaner