Целью курса является ознакомление слушателей с основными понятиями защиты информации, основными принципами построения систем защиты информации, а также основными категориями мер защиты информации, их возможностями с точки зрения защиты информации, сильными и слабыми сторонами. В процессе освоения курса слушатели получат навыки выбора решений из различных категорий методов и средств защиты информаций, соответствующих требованиям защиты информации в конкретных информационных системах, оценки соответствия существующих решений таким требованиям, разработки предложений по совершенствованию системы обеспечения информационной безопасности. Для освоения материала курса будут полезны основные знания из общего курса физики, высшей алгебры, теории чисел, информационных технологий. Их наличие позволит понять принципы действия криптографических средств защиты информации, средств технической защиты информации, а также цифровых стеганографических систем. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.
Организационные меры ЗИ
Loading...
Del curso dictado por National Research University Higher School of Economics
Методы и средства защиты информации
9 calificaciones
National Research University Higher School of Economics
9 calificaciones
De la lección
МЕРЫ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ
Добрый день, уважаемый слушатель! В этом модуле вы познакомитесь с мерами обеспечения защиты информации. Эти знания помогут вам в дальнейшем при изучении нашего курса. Желаем успехов в освоении!
Conoce a los instructores
Сорокин Александр ВладимировичСтарший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ
[ЗВУК] Рассмотрим подробнее организационные меры защиты информации.
Организационные меры защиты информации по своей сути выполняют следующие задачи.
Они регламентируют действия персонала автоматизированной системы объекта
информатизации, регламентируют порядок доступа иных субъектов к информации,
обрабатываемой на объекте информатизации, то есть посетителей, клиентов, лиц,
привлекаемых для пусконаладочных устройств различного оборудования,
сотрудников организаций, предоставляющих,
например, услуги подключения к сети Интернет, то есть провайдера,
услуги телефонной связи, прочих видов связи, а также различных служб,
осуществляющих обслуживание поддерживающей инфраструктуры,
то есть системы отопления, системы электроснабжения, и прочих лиц.
А также организационные меры создают условия обеспечения и контроля
соблюдения регламентов и правил.
Они предназначены для обеспечения всех трех свойств защищаемой информации:
целостности, доступности и конфиденциальности, но, как правило,
на достаточно слабом уровне, достаточном для того, чтобы противостоять
угрозам нарушителя, не ставящего своей целью непременно реализовать угрозу по
отношению к конкретному объекту информатизации, то есть для того,
чтобы отсечь угрозы, реализуемые по халатности или недостаточной квалификации,
а также нарушителей, действующих из самоутверждения и интереса,
не слишком заинтересованных в достижении своей целей.
Существуют ситуации, когда нарушитель, действующий из интереса и для
самоутверждения, напротив, проявляет большое упорство в
достижении своей цели и может оказаться действительно серьезной угрозой.
Но в большинстве случаев, если нарушители просто пытаются в массе объектов
информатизации найти какие-то уязвимые места,
то таких организационных мер, как правило, достаточно для того,
чтобы большинство из них потеряло интерес к конкретному объекту информатизации и
перестало бы предпринимать попытки реализовывать угрозу.
Организационные меры защиты информации, как правило, эффективны для снижения
вероятности техногенных угроз за счет регламентирования действий пользователя,
за счет обучения пользователей информационной системы,
как следует правильно себя вести в случае возникновения подобных угроз,
за счет предусмотрения копирования, может быть,
дублирования ключевых узлов информационной системы,
и подобных решений; для снижения ущерба от стихийных явлений,
аналогичным образом путем разработки порядка действий персонала на случай
этих стихийных явлений, путем создания резервных копий,
возможно в удаленном хранилище, арендованном у другой организации,
что позволяет избежать, например, нарушения доступности информации.
То есть если на территории объекта информатизации возможно осуществление
какого-то стихийного явления, например пожара, то, возможно, разумным будет
регулярно обеспечивать резервное копирование на носителях информации,
арендованных в другой организации, например в облачном хранилище.
В этом случае, если носители информации будут физически уничтожены (те,
которые располагаются на территории объекта информатизации),
то возможно будет восстановить информацию из резервной копии, и, например,
база данных не будет полностью утрачена.
Также организационные меры защиты информации достаточно
эффективны для минимизации вероятности угроз, реализованных по причине халатности
или недостаточной квалификации, путем обучения и инструктажа персонала
и для пресечения действий нарушителя, действующего из любопытства.
Если нарушитель встречает достаточно грамотно построенную систему защиты,
достаточно четко регламентированную систему доступа на территорию, то,
скорее всего, он оставит свои попытки туда попасть или осуществить какую-то
атаку на информационную систему этого объекта информатизации.
Хотя, как я уже говорил, существуют и примеры обратные.
При этом организационные меры защиты информации могут оказаться недостаточными
для защиты от, во-первых, нарушителя,
располагающего специальным оборудованием для перехвата информации, и для
нарушителя, имеющего достаточно времени на изучение объекта информатизации.
Отдельно можно выделить угрозы безопасности информации при передаче
информации вне контролируемой территории.
Именно по причине того, что они происходят вне контролируемой территории,
как правило, организационные меры защиты информации не
охватывают жизненный процесс этой информации и не могут таким образом
обеспечить безопасность ее на всем протяжении от отправителя, которым,
например, являются сотрудники объекта информатизации, до получателя.
Также такие меры могут оказаться недостаточными для противодействия
внутреннему нарушителю, действующему злоумышленно, то есть уже имеющему
легальный доступ на территорию объекта информатизации и при этом способного
вступать в сговор с другими пользователями информационной системы,
способного действовать достаточно открыто и в рамках своих полномочий.
При этом если он действует злоумышленно, то есть не просто по халатности,
и сознательно нарушает регламенты и правила своих действий, то,
разумеется, организационные меры могут оказаться от него бессильны,
хотя некоторые их сочетания могут ему успешно противостоять.
А также такие меры недостаточны для проведения техногенным угрозам нарушения
целостности информации на контролируемой территории объекта информатизации.
Также организационные меры защиты информации в отдельных случаях могут
оказаться недостаточными для противодействия техногенным угрозам
нарушения целостности информации на контролируемой территории объекта
информатизации.
Здесь речь идет о незамеченных программных сбоях,
приводящих к искажению информации, например в базах данных,
в случае экстренного отключения подачи электроэнергии.
Если в результате этого случилась какая-то ошибка и в базе данных случилось
искажение, которое не было замечено самими пользователями,
то организационных мер защиты информации может оказаться недостаточно.
Какие категории мер как раз для этой ситуации наилучшие,
мы поговорим чуть далее в следующем разделе.
[ЗВУК]
Explora nuestro catálogo
Inscríbete de manera gratuita y obtén recomendaciones personalizadas, actualizaciones y ofertas.
Coursera brinda acceso universal a la mejor educación del mundo, al asociarse con las mejores universidades y organizaciones, para ofrecer cursos en línea.
© 2018 Coursera Inc. Todos los derechos reservados.
