рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Виды угроз безопасности ИС и ИТ

Виды угроз безопасности ИС и ИТ - раздел Менеджмент, ОПОРНЫЙ КОНСПЕКТ ЛЕКЦИЙ ПО ДИСЦИПЛИНЕ: Автоматизация процессов управления человеческими ресурсами Информационная Безопасность Не Только Становится Обязательной, Она Еще И Одна...

Информационная безопасность не только становится обязательной, она еще и одна из характеристик ИС. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).

Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушение ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Случайные (непреднамеренные) угрозы безопасности. Их источником могут быть выход и строя аппаратных средств, неправильные действия работников ИС или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д.

Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком, а иногда «компьютерным пиратом» (хакером).

Защита от умышленных угроз - это своего рода соревнование обороны и нападения: кто больше знает, предусматривает действенные меры, тот и выигрывает.

В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально-этических мер противодействия и т.д.). Комплексный характер защиты проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для них информацию.

Технология защиты информации в компьютерных информационных системах и в сетях передачи данных требует расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз ИС и ИТ.

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в БнД, разрушение ПО компьютеров, нарушение работы линий связи т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.

Умышленные угрозы подразделяются на внутренние и на внешние.

Внутренние угрозы (возникающие внутри управляемой организации) чаще всего определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинам (например, стихийными бедствиями).

К основным угрозам безопасности информации и нормального функционирования ИС относятся:

§ утечка конфиденциальной информации;

§ компрометация информации;

§ несанкционированное использование информационных ресурсов;

§ ошибочное использование информационных ресурсов;

§ несанкционированный обмен информацией между абонентами;

§ отказ от информации;

§ нарушение информационного обслуживания;

§ незаконное использование привилегий.

1. Утечка конфиденциальной информацииэто бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

• разглашения конфиденциальной информации;

• ухода информации по различным, главным образом техническим, каналам;

• несанкционированного доступа к конфиденциальной информации различными способами.

Разглашение информации ее владельцем или обладателем это есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

• перехват электронных излучений;

• принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;

• применение подслушивающих устройств (закладок);

• дистанционное фотографирование;

• перехват акустических излучений и восстановление текста принтера;

• чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

• копирование носителей информации с преодолением мер защиты;

• маскировка под зарегистрированного пользователя;

• маскировка под запросы системы;

• использование программных ловушек;

• использование недостатков языков программирования и операционных систем;

• незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;

• злоумышленный вывод из строя механизмов защиты;

• расшифровка специальными программами зашифрованной информации;

• информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки — это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации - канал утечки.

Однако есть и достаточно примитивные пути несанкционированного доступа:

• хищение носителей информации и документальных отходов;

• инициативное сотрудничество;

• склонение к сотрудничеству со стороны взломщика;

• выпытывание;

• подслушивание;

• наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут принести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.

Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников. Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:

• недостаточное знание работниками организации правил зашиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

• использование не аттестованных технических средств обработки конфиденциальной информации;

• слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

• текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;

• организационные недоработки, в результате которых виновниками утечки информации являются люди — сотрудники ИС и ИТ.

Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.

– Конец работы –

Эта тема принадлежит разделу:

ОПОРНЫЙ КОНСПЕКТ ЛЕКЦИЙ ПО ДИСЦИПЛИНЕ: Автоматизация процессов управления человеческими ресурсами

федеральное государственное бюджетное образовательное учреждение высшего профессионального образования... Санкт Петербургский государственный Политехнический университет... ФГБОУ ВПО СПбГПУ...

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Виды угроз безопасности ИС и ИТ

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Задачи управления персоналом в бизнес-процессе предприятия
Автоматизация процессов управления персоналом началась с организации информационно-поисковых систем, основная задача которой учёт персональных сведений о работниках и составление отчётности.

Понятие информационных систем и информационных технологий в управлении
  Рыночная экономика приводит к возрастанию объема и усложнению задач, решаемых в области организации производства, процессов планирования и анализа, оперативное управление которыми н

Особенности информационной технологии управления персоналом в организациях различного типа
Выбор стратегии организации автоматизированной информационной технологии определяется следующими факторами: • областью функционирования предприятия или организации; • типом предпр

Информационные связи в корпоративных системах
Корпоративная вычислительная сеть - это интегрированная, многомашинная, распределенная система, состоящая из взаимодействующих локальных вычислительных сетей структур

Информационные технологии как инструмент формирования управленческих решений
Основными функциональными задачами организации являются: § подготовка сводных аналитических отчетов для поддержки принятия долговременных решений и обеспечение оперативной проверки внешних

Основы создания ИС и ИТ в управлении персоналом организации
Создание ИС и ИТ представляет собой сложный процесс проектирования. Целью проектирования являются подготовка проектных документов и внедрение человеко-машинной системы управления организацией. В пр

Система поддержки принятия решений и инженерное проектирование в управлении
  Начало проектированию управленческих процессов было положено за рубежом в 1980-е годы и получило название «бизнес-инжиниринг». Под бизнес-инжинирингом понимается

Методы и модели формирования управленческих решений
  Процессы принятия решений лежат в основе любой целенаправленной деятельности в экономике, политике, технике, социальной сфере. Конечный продукт работы любого менеджера - эт

Стадии, методы и организация создания ИС и ИТ
Поиск рациональных путей проектирования идет по следующим направлениям: § разработка типовых проектных решений, зафиксированных в пакетах прикладных программ (ППП) для решения экономически

Роль пользователя в создании ИС (ИТ) и постановке задач управления
  Формулирование потребительских свойств ИС - одна из обязанностей заказчика. Рассмотрим важнейшие из них. 1. Функциональная полнота — свойство, обозначающее наиболее

Понятие информационного обеспечения, его структура
Управление следует рассматривать как информационный процесс, происходящий между органами управления, управляемым объектом и внешней средой. Под информацией понимает

Внемашинное информационное обеспечение
  Система показателей служит основой для построения элементов внемашинного и внутримашинного информационного обеспечения и представляет собой совокупность взаимосвязанных социа

Унифицированная система документации и организация документопотока
Основным носителем информации при этом является документ - материальный носитель, содержащий информацию в зафиксированном виде, оформленный в установленном порядке и имеющий в соответствии с действ

Банк данных, его состав, модели баз данных
Принцип интеграции предполагает организацию хранения информации в виде банка данных (БнД), где все данные собраны в едином интегрированном хранилище и к информации как важнейшему ресурсу обеспечен

Хранилища данных и базы знаний — перспектива развития ИО в управлении
Хранилище данных (data warehouse) - это автоматизированная информационно-технологическая система, которая собирает данные из существующих баз и внешних источников, формирует, хранит и экс

Информационное обеспечение АРМ менеджера
  Автоматизацию бизнес процессов целесообразно строить на базе новой информационной технологии, основывающейся на интерактивном взаимодействии пользователей с ПК в условиях распределе

Программные средства ИС управления
Программное обеспечение (ПО) — это совокупность программ, позволяющая организовать решение задач на компьютере. ПО и архитектура машины образуют комплекс взаимосвязанных и разнообразных функ

Программное обеспечение АРМ
В настоящее время распространены такие формы ИС в управлении предприятиями: • индивидуальное использование компьютеров; • автоматизированные рабочие места (АРМ); • локаль

Информационные технологии и процедуры обработки информации
Спрос на информацию и информационные услуги в сфере экономики и управления обеспечивает развитие, распространение и всё более эффективное использование информационных технологий (ИТ). Стра

Автоматизированные технологии формирования управленческих решений
Автоматизация ряда процедур формирования решений с помощью СППР позволила возложить на компьютер следующие функции: • генерацию возможных вариантов решений; • оценку вариантов, вы

Виды умышленных угроз безопасности информации
Борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых -- порча информации в Б

Методы и средства зашиты информации
Методы и средства обеспечения безопасности информации в ИС схематически представлены на рис. 6.1.   1.

Криптографические методы зашиты информации
Готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, т. е. в закрытый текст или графическое изображение докум

Оценка безопасности ИС
Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательн

Методы и средства построения систем информационной безопасности. Их структура
Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах: 1. Системный подход к построению системы защиты, означающий оптимально

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги