На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


курсовая работа Информационная безопасность систем автоматизированного проектирования

Информация:

Тип работы: курсовая работа. Добавлен: 17.08.2012. Сдан: 2011. Страниц: 6. Уникальность по antiplagiat.ru: < 30%

Описание (план):


       Обеспечение информационной безопасности является одним из необходимых аспектов ведения  бизнеса в условиях агрессивной  рыночной экономики.  В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.
       Понятие информационной безопасности (англ. information security) включает в себя все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности информации или средств её обработки. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.
       Рассматривая  информацию как товар, можно сказать, что информационная безопасность в  целом может привести к значительной экономии средств, в то время как  ущерб, нанесенный ей, приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и как следствие нарушения  информационной безопасности, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С  другой стороны, информация является субъектом  управления, и ее изменение может  привести к катастрофическим последствиям в объекте управления.
       Защита  информации каждого отдельного субъекта связана с общей концепцией его  безопасности и с тем, как выстроены  взаимоотношения внутри компании, а  также с общественностью и  средствами массовой информации.
       В данной работе рассматриваются основные аспекты вопросов обеспечения информационной безопасности систем автоматизированного производства (САПР).
 


Нормативно-правовые аспекты обеспечения  ИБ.
   Современный этап развития общества  характеризуется возрастающей ролью  информационной сферы, представляющей  собой совокупность информации, информационной инфраструктуры, субъектов,  осуществляющих сбор, формирование, распространение и использование  информации, а также системы регулирования  возникающих при этом общественных  отношений. Информационная сфера,  являясь системообразующим фактором  жизни общества, активно влияет  на состояние политической, экономической,  оборонной и других составляющих  безопасности Российской Федерации.  Национальная безопасность Российской  Федерации существенным образом  зависит от обеспечения информационной  безопасности, и в ходе технического  прогресса эта зависимость будет  возрастать. Для обеспечения защиты  информационных ресурсов от несанкционированного  доступа, безопасности информационных  и телекоммуникационных систем, как уже развернутых, так и  создаваемых на территории Росси,  необходимо:
    повысить безопасность информационных систем, включая сети связи;
    интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
    обеспечить защиту сведений, составляющих государственную тайну;
    расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.
  За  последние годы в Российской Федерации  реализован комплекс мер по совершенствованию  обеспечения информационной безопасности страны. Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон Российской Федерации «О государственной тайне», Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере. 

  Важнейшими документами, определяющими основные понятия в сфере защиты информации и обеспечения информационной безопасности, являются  Руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Согласно «Руководящему документу. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования к защите информации» существует 9 классов защищенности АС (автоматизированных систем) от НСД (несанкционированного доступа) к информации, каждый из которых характеризуется определенной минимальной совокупностью требований по защите. К числу определяющих признаков, по которым производится группировка АС в различные классы, относится наличие в АС информации различного уровня конфиденциальности и уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации. Классы подразделяются на 3 группы, отличающиеся особенностями обработки информации в АС (см. Рис.1).
 
 
 

  Рис. 1. Группы АС согласно РД ФСТЭК РФ. 

  К основным нормативно-правовым актам, определяющим законодательную базу России в области  обеспечения информационной безопасности, относят:
    Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
    Федеральный закон №149-ФЗ от 8 июля 2006 года «Об информации, информационных технологиях и о защите информации»;
    Федеральный закон № 98-ФЗ от 28 июля 2004 года «О коммерческой тайне»;
    ГОСТ 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении».
 
  Помимо  отечественных нормативных документов, существуют также международные стандарты защиты информации, такие как:
    BS 7799 Security Standard (минимизация рисков и принятие управленческих решений);
    ISO 17799 (разработан ISO (the International Organization for Standartization) и IEC (the International Electrotechnical Commission) и является официальным документом, регламентирующим все вопросы информационной безопасности и определяющим методы и средства обеспечения безопасности), а также другие стандарты, разработанные этими компаниями в области обеспечения защиты информации;
    Basel II( требования к укреплению надежности и стабильности международной банковской системы на основе внедрения передовой практики управления рисками)
    IPO Sarbanes-Oxley Act (положения этого закона определяют требования к документообороту и финансовой отчетности компаний).
  Все указанные выше правовые документы, отечественные государственные  и международные стандарты защиты информации регламентируют действия специалиста в области безопасности данных по решению ряда задач:
    формирование модели угроз персональным данным;
    создание системы технической защиты персональных данных в соответствии с требованиями законодательных актов и нормативных документов;
    разработка внутренних организационно-распорядительные документы предприятия, обеспечивающих защиту персональных данных;
    подготовка  уведомлений в уполномоченный орган по защите прав субъектов персональных данных и др.
 
 

 Основные угрозы информационной безопасности.
    Эффективная работа любой автоматизированной системы  невозможна без обеспечения защиты данных, так как информация, хранящаяся, скажем, в PLM-системе, является критически важным для бизнеса ресурсом, потому что содержит важные промышленные секреты, позволяет дифференцироваться от конкурентов и, самое главное, позволяет быть конкурентоспособным. Таким образом, для решения задач обеспечения защиты данных любой автоматизированной системы необходимо в первую очередь рассмотреть и проанализировать все факторы представляющие угрозу информационной безопасности.
    Под угрозой информационной безопасности в компьютерной системе обычно понимают потенциально возможное событие, действие, процесс или явление, которое может оказать нежелательное воздействие на систему и информацию, которая в ней хранится и обрабатывается. Такие угрозы, воздействуя на информацию через компоненты системы, могут привести к уничтожению, искажению, копированию, несанкционированному распространению информации, к ограничению или блокированию доступа к ней.
      Все множество потенциальных угроз безопасности информации в компьютерной системе  может быть разделено на 2 основных класса (см. Рис.2).
      
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

    Рис.2. Угрозы безопасности в компьютерных системах. 

    Угрозы, которые не связаны с преднамеренными  действиями злоумышленников и реализуются  в случайные моменты времени, называют случайными или непреднамеренными. Механизм реализации случайных угроз  в целом достаточно хорошо изучен, накоплен значительный опыт противодействия  этим угрозам.
    Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями  для компьютерных систем, так как последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен. Сбои и отказы сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Ошибки при разработке систем, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы системы. В результате ошибок пользователей и обслуживающего персонала нарушение безопасности происходит в 65% случаев. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводит к уничтожению, нарушению целостности и конфиденциальности информации.
    Преднамеренные  угрозы связаны с целенаправленными  действиями нарушителя. Данный класс  угроз изучен недостаточно, очень  динамичен и постоянно пополняется  новыми угрозами. Методы и средства шпионажа и диверсий чаще всего используются для получения сведений о системе защиты с целью проникновения в компьютерную систему, а также для хищения и уничтожения информационных ресурсов. К таким методам относят подслушивание, визуальное наблюдение, хищение документов и машинных носителей информации, хищение программ и атрибутов системы защиты, сбор и анализ отходов машинных носителей информации, поджоги. Несанкционированный доступ к информации происходит обычно с использованием штатных аппаратных и программных средств компьютерной системы, в результате чего нарушаются установленные правила разграничения доступа пользователей или процессов к информационным ресурсам. Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или процессов к единицам информации. Наиболее распространенными нарушениями являются:
    перехват паролей – осуществляется специально разработанными программами;
    “маскарад” – выполнение каких-либо действий одним пользователем от имени другого;
    незаконное использование привилегий – захват привилегий законных пользователей нарушителем.
    Процесс обработки и передачи информации техническими средствами компьютерной системы сопровождается электромагнитными излучениями в окружающее пространство и наведением электрических сигналов в линиях связи. Они получили названия побочных электромагнитных излучений и наводок. С помощью специального оборудования сигналы принимаются, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающихся устройствах. Электромагнитные излучения используются злоумышленниками не только для получения информации, но и для ее уничтожения.
    Большую угрозу безопасности информации в компьютерной системе представляет несанкционированная модификация алгоритмической, программной и технической структур системы, которая получила название “закладка”. Как правило, “закладки” внедряются в специализированные системы и используются либо для непосредственного вредительского воздействия на систему, либо для обеспечения неконтролируемого входа в нее.
    Одним из основных источников угроз безопасности является использование специальных  программ, получивших общее название “вредительские программы”. К таким  программам относятся:
      “компьютерные вирусы” – небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на компьютерную систему;
      “черви” – программы, которые выполняются каждый раз при загрузке системы, обладающие способностью перемещаться в компьютерной системе или сети и самовоспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти, а затем к блокировке системы;
      “троянские кони” – программы, которые имеют вид полезного приложения, а на деле выполняют вредные функции (разрушение программного обеспечения, копирование и пересылка злоумышленнику файлов с конфиденциальной информацией и т.п.).
    Кроме указанных выше угроз безопасности, существует также угроза утечки информации, которая с каждым годом становится все более значимой проблемой  безопасности. На четыре основных типа утечек приходится подавляющее большинство (84%) инцидентов, причем половина этой доли (40%) приходится на самую популярную угрозу – кражу носителей. 15% составляет инсайд. К данной категории относятся инциденты, причиной которых стали действия сотрудников, имевших легальный доступ к информации. Например, сотрудник не имел права доступа к сведениям, но сумел обойти системы безопасности. Или инсайдер имел доступ к информации и вынес ее за пределы организации. На хакерскую атаку также приходится 15% угроз. В эту обширную группу инцидентов попадают все утечки, которые произошли вследствие внешнего вторжения. Не слишком высокая доля хакерских вторжений объясняется тем, что сами вторжения стали незаметнее. 14% составила веб-утечка. В данную категорию попадают все утечки, связанные с публикацией конфиденциальных сведений в общедоступных местах, например, в Глобальных сетях. 9% - это бумажная утечка. По определению бумажной утечкой является любая утечка, которая произошла в результате печати конфиденциальных сведений на бумажных носителях. 7% составляют другие возможные угрозы. В данную категорию попадают инциденты, точную причину которых установить не удалось, а также утечки, о которых стало известно постфактум, после использования персональных сведений в незаконных целях.
    Еще одним видом угроз информационной безопасности является угроза раскрытия  параметров компьютерной системы. В результате ее реализации не причиняется какой-либо ущерб обрабатываемой в системе информации, но при этом существенно усиливаются возможности проявления первичных угроз.
    Не  зависимо от специфики конкретных видов  угроз, информационная безопасность должна сохранять целостность, конфиденциальность, доступность. Угрозы нарушения целостности, конфиденциальности и доступности  являются первичными. Нарушение целостности  включает в себя любое умышленное изменение информации, хранящейся в  компьютерной системе или передаваемой из одной системы в другую. Нарушение конфиденциальности может привести к ситуации, когда информация становится известной тому, кто не располагает полномочия доступа к ней. Угроза недоступности информации возникает всякий раз, когда в результате преднамеренных действий других пользователей или злоумышленников блокируется доступ к некоторому ресурсу компьютерной системы.
    К основным угрозам при работе в частности с PLM-продуктами можно отнести утечку конфиденциальной информации и нарушение работоспособности системы. Причем последняя угроза может быть реализована как с помощью атак, рассчитанных на отказ в обслуживании и выводящих из строя отдельные элементы CAD-систем, так и с помощью вирусов и червей, заражающих САПР. Так, еще в 2000 году был обнаружен первый вирус ACAD.Star для AutoCAD. Следствием таких неприятностей может служить уголовная или административная ответственность, финансовые претензии за упущенную выгоду или срыв договорных обязательств и, конечно же, недополучение собственной прибыли.
 


Основные меры по обеспечению информационной безопасности САПР. 

    Как мы уже убедились, любые системы  автоматизированного производства и хранящаяся в них информация должны быть защищены от любых посягательств. Однако если попробовать в системе поиска Google ввести, например, ключевую фразу “информационная безопасность CAD-систем”, то, кроме 3D-элементов для САПР, вы ничего не увидите. Даже на сайтах самих производителей PLM-систем найти упоминания о мерах защиты непросто. Если такие меры и упоминаются, то, как правило, внимание уделяется таким вопросам, как аутентификация пользователей, обновление компонентов системы и регулярное резервирование информации. Ни о каком комплексном подходе к обеспечению защиты информации не идет и речи. Более того, складывается впечатление, что производители даже не думали о возможности несанкционированного доступа к электронным чертежам и другой аналогичной (конфиденциальной) информации.
    Отношение разработчиков к вопросам безопасности своих продуктов в своей статье «Безопасность CAD/CAM/PLM-систем» в информационно-аналитическом журнале «Rational Enterprise Management/Рациональное Управление Предприятием» проиллюстрировал А. В. Лукацкий, бизнес-консультант по безопасности компании «Cisco Systems», рассмотрев в качестве примера работу компании SDRC. «Эксперты обнаружили “дыру”
в архитектуре ее решения, через которую любой пользователь из любого места мог получить доступ к ядру системы с правами администратора, – пишет он. – SDRC проигнорировала это сообщение и не предприняла никаких мер для устранения обнаруженной уязвимости. По счастью, злоумышленники не воспользовались этой возможностью, но привести она могла к весьма печальным последствиям. Гораздо меньше повезло в этом отношении американской аэрокосмической корпорации Lockheed Martin, у которой в 1997 году была совершена кража электронных чертежей и информации о конструкции самолета-невидимки Stealth. Обвинен в этом был российский хакер».
    Как мы видим, производители PLM-продуктов не уделяют должного
внимания  вопросам безопасности их использования, что не позволяет задействовать встроенные возможности самих систем. Однако при правильном применении “внешних” защитных механизмов и мер, описанных выше, можно построить действительно защищенную систему управления жизненным циклом продукта и не беспокоиться ни об утечке информации, ни о нарушении работоспособности компонентов САПР. Какие же меры позволяют обеспечить информационную  безопасность САПР? Можно выделить восемь таких необходимых мероприятий:
    Анализ рисков.
    Идентификация каналов реализации потенциальных угроз.
    Отключение неиспользуемых функций.
    Обучение персонала.
    Определение ответственности.
    Разработка политики безопасности.
    Использование встроенных механизмов защиты программного обеспечения и процедур расширенной безопасности.
    Регулярный аудит.
 
Рассмотрим  подробнее каждую из перечисленных  мер. 
 

Анализ  рисков информационной безопасности 

Прежде  всего, необходимо определить, что является наиболее ценной информацией для организации, где она хранится и каков может быть ущерб от ее утери или утечки. Без ответа на эти вопросы невозможно определить целесообразность и эффективность всех остальных шагов. Анализ рисков информационной безопасности позволяет идентифицировать имеющиеся угрозы, оценить вероятность их успешного осуществления, возможные последствия для организации и правильно расставить приоритеты при реализации контрольных мер.
    Процесс анализа рисков включает в себя выполнение следующих групп задач:
    анализ ресурсов ИТ-инфраструктуры, включая информационные ресурсы, программные и технические средства, людские ресурсы, и построение модели ресурсов, учитывающей их взаимозависимости;
    анализ бизнес-процессов и групп задач, решаемых информационной системой, позволяющий оценить критичность ИТ-ресурсов, с учетом их взаимозависимостей;
    идентификация угроз безопасности в отношении ресурсов информационной системы и уязвимостей защиты, делающих возможным осуществление этих угроз;
    оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации;
    определение величины рисков для каждой тройки: угроза – группа ресурсов – уязвимость;
    ранжирование существующих рисков.
    На  основе проводимого анализа рисков разрабатывается система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.
    Анализ рисков в области ИБ может быть качественным и количественным. Количественный анализ точнее, он позволяет получить конкретные значения рисков, но он отнимает заметно больше времени, что не всегда оправданно. Чаще всего бывает достаточно быстрого качественного анализа. Рассмотрим подробнее каждый из видов анализа. 

      Качественный анализ
    Существует  несколько моделей качественного  анализа. Все они достаточно просты. Варианты различаются лишь количеством  градаций риска. Одна из самых распространенных моделей — трехступенчатая. Каждый фактор оценивается по шкале “низкий  — средний — высокий”. Противники данного способа считают, что трех ступеней для точного разделения рисков недостаточно, и предлагают пятиуровневую модель. Однако это не принципиально, ведь в целом любая модель анализа сводится к простейшему разделению угроз на критические и второстепенные. Трех-, пятиуровневые и прочие модели используются для наглядности. При работе с моделями с большим числом градаций, например с пятью, у аналитиков могут возникнуть затруднения — отнести риск к пятой или к четвертой группе. Качественный анализ допускает подобные “ошибки”, поскольку является саморегулирующимся. Не критично, если первоначально риск необоснованно отнесли к четвертой категории вместо пятой. Качественный метод позволяет проводить анализ за считанные минуты. Предполагается, что такая оценка рисков будет осуществляться регулярно. И уже на следующем шаге категории будут переназначены, фактор перейдет в пятую группу. Поэтому качественный анализ также называется итерационным методом. \ 

    Количественный  анализ
    Количественный  метод требует значительно больше времени, так как каждому фактору  риска присваивается конкретное значение. Результаты количественного  анализа могут быть более полезны  для бизнес-планирования. Однако в большинстве случаев дополнительная точность не требуется или просто не стоит лишних усилий. Например, если для оценки фактора риска надо потратить четыре месяца, а решение проблемы займет только два, ресурсы используются неэффективно. Также следует учитывать, что многие организации постоянно развиваются, изменяются. И за то время, что выполняется анализ, фактические значения рисков окажутся другими.  

    Очевидно, что приведенные выше рассуждения  говорят в пользу качественного анализа. Кроме того, эксперты считают, что, несмотря на всю свою простоту, качественный метод является весьма эффективным инструментом анализа.
    Говоря  о практических аспектах анализа, нельзя не упомянуть расчет рисков. В его  состав входят две величины — единичный  и приведенный ущерб инцидента. Единичный ущерб определяют как  произведение вероятности события  и номинального убытка. Единичный ущерб дает представление о величине потерь, однако спрогнозировать убытки на некоторое время вперед трудно. Поэтому с практической точки зрения полезнее знать приведенную величину ущерба. Приведенный ущерб — это произведение единичный ущерба и числа инцидентов за определенный период, который обычно принимают равным году. Исходя из годового прогноза, можно экстраполировать или интерполировать результат на другие промежутки времени.  

    Идентификация каналов реализации потенциальных угроз. 

    Очевидно, что для построения системы защиты, обеспечивающей информационную безопасность любой автоматизированной системы, должен соблюдаться принцип компетентности, который предполагает построение системы из разнородных средств, перекрывающих все существующие каналы реализации угрозы безопасности и не содержащих слабых мест на стыке отдельных компонентов.
    Таким образом, одной из важнейших составляющих политики безопасности является поиск потенциально опасных мест в системе защиты. Обнаружение угрозы уже процентов на семьдесят предопределяет ее ликвидацию. Зная достоверно, как в организации хранится, обрабатывается и передается информация, можно поставить надежную защиту на все потенциальные каналы реализации угрозы ее безопасности. 

    Отключение  неиспользуемых функций. 

    Современные технологии разрабатываются и совершенствуются в соответствии с постоянно растущими  требованиями пользователей, и поэтому  содержат большое количество функций, которые зачастую не востребованы многими заказчиками в полном объеме. Будучи активизированными, они могут служить точкой проникновения в используемую систему (например, открывать какой-либо канал утечки информации). Поэтому любые функции САПР, не требующиеся для корректного выполнения работы, должны быть отключены. 

    Обучение  персонала и определение  ответственности. 

    Согласно  данным управления по борьбе с преступлениями в сфере высоких технологий МВД за 2000 год в России было зарегистрировано 1375 компьютерных преступлений, из которых 44 были вызваны нарушением правил эксплуатации ЭВМ и их сетей. Очевидно, что за прошедшие девять лет число подобных преступлений возросло в разы. Поскольку сотрудники, работающие, скажем, с CAD-системой, не являются специалистами по обеспечению информационной безопасности, их, так же как и всех сотрудников, имеющих отношение к работе с вычислительной техникой, необходимо обучить основам защиты информации. Затраты на проведение обучающих курсов для персонала компании в любом случае не превосходят величину ущерба от инцидента, наступившего в результате осуществления непреднамеренной угрозы безопасности, возникшей по вине сотрудника компании.
    Также очевидно, что, если за соблюдение сотрудниками правил безопасности никто персонально не отвечает, то и в нанесении ущерба винить тоже некого, а следовательно, наличие должного уровня информационной безопасности в такой организации находится под большим вопросом. 

    Разработка  политики безопасности. 

    Защиту  большой информационной системы  невозможно решить без грамотно разработанной  документации по информационной безопасности — политики безопасности. Именно она помогает, во-первых, убедиться в том, что ничто важное не упущено из виду, и, во-вторых, установить четкие правила обеспечения безопасности. Только всесторонняя и экономически целесообразная система защиты будет эффективной, а сама информационная система в этом случае — защищенной.
    По  мере роста компании увеличивается  ее информационная система. Естественно, что, чем обширнее она становится, чем больше интегрирована с другими  системам, тем важнее и труднее  становится обеспечение ее информационной безопасности. Компонентов становится много, проследить их взаимосвязь —  сложно, следовательно, увеличивается  и количество средств защиты. В  такой ситуации основной задачей  становится не столько само по себе обеспечение безопасности, сколько  его целесообразность и эффективность.
    Главным документом в области обеспечения  безопасности в соответствии с ISO 17799 является политика безопасности. Именно она закладывает основу обеспечения и управления информационной безопасностью компании. Доступ к информационным активам компании может предоставляться сотрудникам компании, а также клиентам, подрядчикам и другим посторонним лицам. Следовательно, пользователями политики безопасности являются все те, кто имеют доступ к информационным активам компании и от деятельности кого зависит обеспечение безопасности информации компании.
    В документе политики безопасности следует  описать цели и задачи информационной безопасности, а также ценные активы компании, которые требуют защиты. Целями обеспечения информационной безопасности, как правило, является обеспечение конфиденциальности, целостности  и доступности информационных активов, а также обеспечение непрерывности  ведения бизнеса компании.
    Задачами  обеспечения информационной безопасности являются в
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.