Similar presentations:
Комплексная система защиты информации. Тема 3
1.
Санкт-Петербургский политехнический университет Петра ВеликогоВоенный учебный центр
Кафедра связи
Военно-техническая подготовка
Тема 3. Комплексная система защиты информации
Занятие 1. Комплексный подход к системам защиты
информации.
2.
Цели занятия:1. Изучить сущность и задачи комплексной системы защиты информации (КСЗИ).
2. Рассмотреть принципы организации КСЗИ.
3. Изучить требования к КСЗИ.
Учебные вопросы:
1. Сущность и задачи комплексной системы защиты информации (КСЗИ).
2. Принципы организации КСЗИ.
3. Требования к КСЗИ.
2
3.
Метод проведениялекция.
Время и место занятия
90 минут, аудитория.
Материальное обеспечение
ноутбук, проектор, презентация занятия.
Литература
1. В.М. Зима Информационная безопасность [Электронный ресурс]: электронный учебник
локального распространения. ¬ Санкт-Петербург, 2017.
2. Модели безопасности компьютерных систем: учебное пособие, Н. А. Богульская, М. М.
Кучеров, 2019.
Меры безопасности
согласно технике безопасности в аудитории.
3
4.
1. Сущность и задачи комплексной системызащиты информации (КСЗИ)
Комплексная система защиты информации (КСЗИ) – это совокупность организационноправовых и инженерно-технических мероприятий, направленных на обеспечение защиты
информации от разглашения, утечки и несанкционированного доступа.
Инженерно-технические мероприятия – это совокупность специальных технических средств и
их использование для защиты информации. Выбор инженерно-технических мероприятий
зависит от уровня защищенности информации, который необходимо обеспечить.
Комплексный (системный) подход – это принцип рассмотрения проекта, при котором
анализируется система в целом, а не ее отдельные части. Главный принцип комплексного
подхода к построению защищенных автоматизированных систем – учет всех исходных
требований, существующих угроз и влияющих на безопасность факторов при комплексном
использовании наиболее эффективных мер, методов и средств защиты. Выделяются четыре
аспекта рассматриваемого подхода.
4
5.
1. Сущность и задачи комплексной системызащиты информации (КСЗИ)
Выделяются четыре аспекта комплексного подхода защиты информации:
1) учет основополагающих требований, вытекающих из нормативных документов, теории и
практики защиты информации;
2) тщательное и полное выполнение необходимых стадий разработки системы защиты с
контролем качества промежуточных и итоговых результатов;
3) решение всех базовых задач и подзадач защиты для нейтрализации как явных, так и
скрытых угроз;
4) обеспечение гарантированности защиты за счет использования проверенных методов и
сертифицированных средств, а также объективной аттестации защищенной
автоматизированной системы.
5
6.
1. Сущность и задачи комплексной системызащиты информации (КСЗИ)
Основными задачами, которые должны решаться комплексной системой защиты информации, являются:
1) управление доступом пользователей к ресурсам АС с целью ее защиты от неправомерного
случайного или умышленного вмешательства в работу системы и несанкционированного доступа к
ее ресурсам со стороны посторонних лиц, а также лиц из числа персонала организации и
пользователей;
2) защита данных, передаваемых по каналам связи;
3) регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в
системе и имеющих отношение к ее безопасности;
4) контроль работы пользователей системы со стороны администрации и оперативное оповещение
администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
5) обеспечение замкнутой среды проверенного ПО с целью защиты от бесконтрольного внедрения в
систему потенциально опасных программ и средств преодоления системы защиты, а также от
внедрения и распространения компьютерных вирусов;
6
7.
1. Сущность и задачи комплексной системызащиты информации (КСЗИ)
По итогам рассмотрения данного учебного вопроса были рассмотрены основные
понятия и сущности комплексной системы защиты информации. Были определены
основные аспекты комплексного подхода защиты информации. Также были выделены
основные задачи, решаемые комплексной системой защиты информации.
7
8.
2. Принципы организации КСЗИПостроение современных систем защиты информации и их функционирование должны
осуществляться в соответствии со следующими принципами:
1) законность;
2) системность;
3) Комплексность;.
4) Принцип эшелонированной (многоуровневой) защиты;
5) централизованность управления;
6) унифицированность;
7) непрерывность защиты;
8) своевременность;
9) преемственность;
8
9.
2. Принципы организации КСЗИПостроение современных систем защиты информации и их функционирование должны
осуществляться в соответствии со следующими принципами:
10) разумная достаточность;
11) персональная ответственность;
12) минимизации полномочий;
13) гибкость;
14) открытость алгоритмов и механизмов защиты;
15) простота применения средств защиты;
16) научная обоснованность и техническая реализуемость;
17) обязательность контроля;
18) специализация и профессионализм;
19) взаимодействие и сотрудничество;
20) дружественность интерфейса.
9
10.
2. Принципы организации КСЗИПо итогам рассмотрения данного учебного вопроса были изучены
основные принципы построения современных систем защиты
информации и их функционирование.
10
11.
3. Требования к КСЗИС позиций системного подхода для реализации приведенных выше принципов система защиты
информации должны отвечать некоторой совокупности требований:
1) эффективной – обеспечивать выполнение автоматизированной системой своих основных функций
без существенного ухудшения характеристик последней;
2) централизованной – необходимо иметь в виду, что процесс управления всегда централизован, в то
время как структура системы, реализующей этот процесс, должна соответствовать структуре
защищаемого объекта;
3) плановой – планирование осуществляется для организации взаимодействия всех подразделений
объекта в интересах реализации принятой политики безопасности; каждая служба, отдел,
направление разрабатывают детальные планы защиты информации в сфере своей компетенции с
учетом общей цели организации;
4) конкретной и целенаправленной – защите подлежат абсолютно конкретные информационной
ресурсы, могущие представлять интерес для конкурентов;
11
12.
3. Требования к КСЗИС позиций системного подхода для реализации приведенных выше принципов система защиты
информации должны отвечать некоторой совокупности требований:
5) активной – защищать информацию необходимо с достаточной степенью настойчивости и
целеустремленности. Это требование предполагает наличие в составе системы информационной
безопасности средств прогнозирования, экспертных систем и других инструментариев,
позволяющих реализовать наряду с принципом “обнаружить и устранить” принцип “предвидеть и
предотвратить”;
6) надежной и универсальной – охватывать весь технологический комплекс информационной
деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные
каналы утечки информации и противодействовать способам несанкционированного доступа
независимо от формы представления информации, языка ее выражения и вида носителя, на
котором она закреплена;
7) нестандартной (по сравнению с другими организациями), разнообразной по используемым
средствам;
12
13.
3. Требования к КСЗИПредъявляемые требования к методам и средствам технической защиты можно разбить на
следующие категории:
1) функциональные - решение требуемой совокупности задач защиты;
2) требования по надежности - способности корректно, а также с требуемой полнотой и
стойкостью выполнять все предусмотренные функции защиты;
3) требования по гибкости - возможности адаптации при изменении структуры,
технологических схем и условий функционирования защищаемой автоматизируемой
системы, а также способности к поэтапному внедрению;
4) эргономические - простоты и удобства установки и конфигурирования,
администрирования, эксплуатации, а также минимизации помех пользователям;
5) качества документации - наличия всех необходимых эксплуатационных документов,
правильности оформления, а также полноты, корректности и непротиворечивости их
содержания;
13
14.
3. Требования к КСЗИПредъявляемые требования к методам и средствам технической защиты можно разбить на
следующие категории:
6) формальные - наличия необходимых сертификатов, протоколов, актов, а также других
документально оформленных подтверждений о присутствии заявленных возможностей;
7) экономические - минимизация финансовых и ресурсных затрат.
8) Перед разработкой комплексной системы защиты информации должны быть
сформированы требования по защите информации:
9) средства защиты должны быть просты для технического обслуживания и “прозрачны” для
пользователей;
10) применение системы защиты не должно ухудшать экологическую обстановку, не вызывать
психологического противодействия и желания обойтись без нее;
11) каждый пользователь должен иметь минимальный набор привилегий, необходимых для
работы и строго соблюдать установленные правила разграничения доступа;
14
15.
3. Требования к КСЗИПредъявляемые требования к методам и средствам технической защиты можно разбить на
следующие категории:
12) возможность отключения защиты в особых случаях, например, когда механизмы защиты
реально мешают выполнению работ;
13) независимость системы защиты от субъектов защиты;
14) разработчики должны предполагать, что пользователи имеют наихудшие намерения
(враждебность окружения), что они будут совершать серьезные ошибки и искать пути
обхода механизмов защиты;
15) отсутствие на предприятии излишней информации о существовании механизмов защиты.
15
16.
3. Требования к КСЗИПо итогам рассмотрения данного учебного вопроса были
определены основные требования, предъявляемые к методам и
средствам технической защиты информации, а также их
классификация.
16
17.
ЗаключениеЗащита информации – это комплекс мер, направленных на обеспечение
информационной безопасности на разных уровнях: государства, ведомства, корпорации
или отдельного пользователя.
Современные предприятия представляют собой сложные системы. Их отличительными
особенностями являются:
1) сложная организационная структура;
2) многофункциональность;
3) высокая техническая оснащённость;
4) большие объемы поступающей информации, требующие современных методов
передачи, хранения и обработки;
5) обширные внешние связи;
6) работа в условиях самых разнообразных угроз информационной безопасности.
17
18.
Санкт-Петербургский политехнический университет Петра ВеликогоВоенный учебный центр
Кафедра связи
Военно-техническая подготовка
Тема 3. Комплексная система защиты информации
Занятие 1. Комплексный подход к системам защиты
информации.