ЛЕКЦИЯ 7 Обеспечение безопасности корпоративных информационных систем. - презентация

1 ЛЕКЦИЯ 7 Обеспечение безопасности корпоративных информационных систем

2 Понятие информационной безопасности. Угрозы информационной безопасности. Обеспечение безопасности информационных систем.

3 ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, направленных на нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. В обеспечении ИБ нуждаются три основные кате­гории субъектов: государственные организации, коммерческие структуры, Индивидуальные предприниматели.

4 доступность (возможность за приемлемое время получить требуемую ин­формационную услугу); целостность (актуальность и непротиворечивость информации, ее защищен­ность от разрушения и несанкционированного изменения); конфиденциальность (защита от несанкционированного ознакомления).

5 Под доступом к информации понимается ознакомление с информацией, ее об­работка, в частности копирование, модификация или уничтожение информации. Санкционированный доступ к информации это доступ к информации, не на­рушающий установленные правила разграничения доступа. Несанкционированный доступ к информации характеризуется наруше­нием установленных правил разграничения доступа. Атака на информационную систему (сеть) это действие, предпринимаемое зло­умышленником с целью поиска и использования той или иной уязвимости систе­мы.

6 УГРОЗА БЕЗОПАСНОСТИ Под угрозой информационной безопасности понимается возможность осуществления действия, направленного против объекта защиты, проявляющаяся в опасности искажений и потерь информации. Источники нарушения безопасности

7 конструктивный, когда основной целью несанкционированного доступа является получение копии конфиденциальной информации, т.е. можно говорить о разведывательном характере воздействия деструктивный, когда несанкционированный доступ приводит к потере (изменению) данных или прекращению сервиса.

8 гармонизация национального законодательства по борьбе с компьютерной преступностью с требованиями международного права; высокая профессиональная подготовка правоохранительных органов от следователя до судебной системы; сотрудничество и правовой механизм по взаимодействию правоохранительных органов различных государств.

9 ЭТАПЫ РАЗВИТИЯ КОМПЬЮТЕРНОЙ ПРЕСТУПНОСТИ 1. Использование информационных технологий при совершении таких традиционных уголовных преступлений как кража, причинение вреда и мошенничество. 2. Возникновение специфических компьютерных преступлений. 3. Перерастание компьютерной преступности в компьютерный терроризм и экстремизм. 4. Превращение компьютерного терроризма и экстремизма в информационные войны.

10 МЕРЫ И СРЕДСТВА ПРОГРАММНО- ТЕХНИЧЕСКОГО УРОВНЯ применение защищенных виртуальных частных сетей VPN для защиты ин­формации, передаваемой по открытым каналам связи применение межсетевых экранов для защиты корпоративной сети от вне­шних угроз при подключении к общедоступным сетям связи; управление доступом на уровне пользователей и защита от несанкциониро­ванного доступа к информации; гарантированная идентификация пользователей путем применения токенов; защита информации на файловом уровне (путем шифрования файлов и ка­талогов); защита от вирусов с использованием специализированных комплексов ан­тивирусной профилактики и защиты; технологии обнаружения вторжений и активного ис­следования защищенности информационных ресурсов; криптографическое преобразование данных для обеспечения целостности, подлинности и конфиденциальности информации

11 ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ стандартизация способов и средств защиты информации сертификация компьютерных систем и сетей и их средств защиты лицензирование деятельности в сфере защиты информации страхование информационных рисков, связанных с функционированием компьютерных систем и сетей контроль за действием персонала в защищенных информационных системах организационное обеспечение функционирования систем защиты информации.

12 ПРАВОВОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ Федеральный законом Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». регулирует правоотношения, возникающие в процессе формирования и использования документированной информации и информационных ресурсов; создания информационных технологий, автоматизированных или автоматических информационных систем и сетей; определяет порядок защиты информационного ресурса, а также прав и обязанностей субъектов, принимающих участие в процессах информатизации.