Побуждение.
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).
Управление доступом — метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации.
Управление доступом включает следующие функции защиты:
— идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);
— аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
— проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
— разрешение и создание условий работы в пределах установленного регламента;
— регистрацию (протоколирование) обращений к защищаемым ресурсам;
— реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Маскировка — метод защиты информации в автоматизированной информационной системе путем ее криптографического закрытия.
Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.
Принуждение — такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — такой метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.
Указанные выше методы обеспечения информационной безопасности организации реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства (т.е. по сути направления защиты):
- физические,
- аппаратные,
- программные,
- аппаратно-программные,
- криптографические,
- организационные,
- законодательные,
- морально-этические.
Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.
Аппаратные средства защиты — это различные электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д.
Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям.
Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например честность) либо оформленные в некий свод (устав) правил или предписаний.
4. Жизненный цикл информационных систем. Основные стадии и этапы разработки ИС и их содержание
Жизненный цикл — период создания и использования информационной системы, охватывающий её различные состояния, начиная с момента возникновения необходимости в данной информационной системе и заканчивая моментом ее полного выхода из эксплуатации.
Жизненный цикл заканчивается, как правило, не в результате физического износа информационной системы, а в результате морального устаревания.
В жизненном цикле выделяют следующие стадии:
1. Предпроектное обследование (Сбор материалов для проектирования и Анализ материалов и разработка документации)
2. Проектирование
- предварительное проектирование: выбор проектных решений по всем аспектам разработки информационной системы; описание всех компонентов информационной системы; оформление и утверждение технического проекта.
- детальное проектирование: выбор и разработка математических методов и алгоритмов программ; корректировка структур баз данных; создание документации на поставку и установку программных продуктов; выбор комплекса технических средств информационной системы; создание документации на поставку и установку технических средств; разработка технорабочего проекта информационной системы.
3. Разработка информационной системы (получение и установка технических средств; разработка, тестирование и доводка программ; получение и установка программных средств; разработка инструкций по эксплуатации программного обеспечения, технических средств, должностных инструкций для персонала).
4. Ввод информационной системы в эксплуатацию (ввод в опытную эксплуатацию технических средств; ввод в опытную эксплуатацию программных средств; обучение и сертифицирование персонала; проведение опытной эксплуатации всех компонентов и системы в целом; сдача в эксплуатацию и подписание актов приемки-сдачи работ).
5. Эксплуатация информационной системы (повседневная эксплуатация; сопровождение программных, технических средств и всего проекта).
5. Создание политики безопасности и Разработка концепции информационной безопасности.
Политика безопасности — это совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.
При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
ü невозможность миновать защитные средства;
ü усиление самого слабого звена;
ü невозможность перехода в небезопасное состояние;
ü минимизация привилегий;
ü разделение обязанностей;
ü эшелонированность обороны;
ü разнообразие защитных средств;
ü простота и управляемость информационной системы;
ü обеспечение всеобщей поддержки мер безопасности.
Этапыпостроения организационной политики безопасности:
— внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;
— определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.
Перечень требований к системе информационной безопас-ности, эскизный проект, план защиты (далее — техническая документация), содержит набор требований безопасности ин-формационной среды объекта, которые могут ссылаться на соответствующий профиль защиты, а так лее содержать тре-бования, сформулированные в явном виде.
____
Концепция — руководящая идея (система конструктивных принципов, способ понимания, ведущий замысел).
При формировании и реализации полноценной концепции безопасности руководитель предприятия (или начальник службы безопасности) должен провести анализ штатной структуры фирмы, определить приоритетность своих сотрудников в зависимости от их ценности для предприятия: квалификации, взаимозаменяемости, степени осведомленности о деятельности организации, личного вклада в общее дело, перспективности, доступа к финансам, материальным и интеллектуальным ценностям.
В ходе разработки мер защиты информации следует учитывать, что разработчики концепции совместно с руководителем предприятия должны определить: - какая информация подлежит обязательной защите в соответствии с действующим законодательством; - какая информация является коммерческой тайной и имеет право на защиту; - кто и при каких обстоятельствах имеет право доступа к перечисленным видам информации.
При анализе следует учитывать информацию, хранящуюся как на бумажных носителях, так и в электронном виде.
В концепции должны быть предусмотрены способы защиты от реальных угроз, в том числе:
- организационные (административные, экономические, юридические);
- технические (установка охранно-пожарной сигнализации, использование систем контроля и управления доступом, применение технических средств защиты информации, внедрение интегрированных систем безопасности);
- физические (работа сторожей и контролеров, телохранителей и инкассаторов, служебных собак);
- оперативные (использование оперативных методов работы, оперативно-технических средств, например «полиграфа» для входного контроля и периодической проверки лояльности персонала).
Концепция обязательно должна содержать объективную оценку рентабельности системы безопасности в условиях реально прогнозируемых угроз.
6. Деловая (конкурентная) разведка. Функции. Цикл. Этика. Бенчмаркинг. Международный опыт. Международные ресурсы.
Конкурентная разведка — сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа); а также структурное подразделение предприятия, выполняющее эти функции.
Конкурентная разведка — это особый вид информационно-аналитической работы, позволяющий собирать обширнейшую информацию о юридических и физических лицах без применения специфических методов оперативно-розыскной деятельности, являющихся исключительной прерогативой государственных правоохранительных органов и спецслужб.
Функции конкурентной разведки:
· Опережение конкурентов в тендерах.
· Оценка потенциальных рисков и благоприятных возможностей при инвестициях.
· Опережение шагов в конкурентов в рамках маркетинговых кампаний с помощью продуманных упреждающих действий, выработанных на основе данных, предоставленных конкурентной разведкой.
· Получение выгод от слияний и поглощений. Как правило, возможности слияний и поглощений выявляются конкурентной разведкой и, если бы не её работа, они могли бы остаться незамеченными. Это особенно важно в высокотехнологичных отраслях.
· Раннее предупреждение о появлении нового конкурента, новой технологии, нового канала сбыта.
· Выявление "как выглядит компания со стороны" (например с точки зрения клиентов, конкурентов, госорганов).
· Выявление каналов утечки информации.
· Влияние на информационное поле вокруг компании.
Важно понимать отличие конкурентной разведки от промышленного шпионажа.
Промышленный шпионаж — форма недобросовестной конкуренции, при которой осуществляется незаконное получение, использование, разглашение информации, составляющей коммерческую, служебную или иную охраняемую законом тайну с целью получения преимуществ при осуществлении предпринимательской деятельности, а равно получения материальной выгоды.