Основы информационной безопасности
(название учебной дисциплины)
Для групп: 1303 ПК, 1304 ПК
Преподаватель: Суховерхов Р.В.
ТЕМА: Требования безопасности к информационным системам.
Краткий курс лекции.
Система (system – целое, составленное из частей; греч.) – это совокупность элементов, взаимодействующих друг с другом, образующих определенную целостность, единство.
Информационная система — это взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели.
Современное понимание информационной системы предполагает использование в качестве основного технического средства переработки информации компьютера. Кроме того, техническое воплощение информационной системы само по себе ничего не будет значить, если не учтена роль человека, для которого предназначена производимая информация и без которого невозможно ее получение и представление.
Необходимо понимать разницу между компьютерами и информационными системами. Компьютеры, оснащенные специализированными программными средствами, являются технической базой и инструментом для информационных систем. Информационная система немыслима без персонала, взаимодействующего с компьютерами и телекоммуникациями.
В нормативно-правовом смысле информационная система определяется как «организационно упорядоченная совокупность документов (массив документов) и информационных технологий, в том числе и с использованием средств вычислительной техники и связи, реализующих информационные процессы» [Закон РФ «Об информации, информатизации и защите информации» от 20.02.1995, № 24-ФЗ].
Процессы, протекающие в информационных системах
Информационный процесс – «процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации» [Закон РФ «Об участии в информационном обмене» от 04.07.1996, № 85-ФЗ].
Информационный ресурс – это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других видах информационных систем) [Закон РФ «Об участии в информационном обмене»].
В нормативно-правовом аспекте документ определяется как зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Процесс документирования превращает информацию в информационные ресурсы.
Процессы, обеспечивающие работу информационной системы любого назначения, условно можно представить состоящими из следующих блоков:
- ввод информации из внешних или внутренних источников;
- обработка входной информации и представление ее в удобном виде;
- вывод информации для представления потребителям или передачи в другую систему;
- обратная связь — это информация, переработанная людьми данной организации для коррекции входной информации.
Информационные процессы реализуются с помощью информационных процедур, реализующих тот или иной механизм переработки входной информации в конкретный результат.
Этапы развития информационных систем
| Период времени | Концепция использования информации | Вид информационных систем | Цель использования |
| 1950-1960 годы | Бумажный поток расчетных документов | Электромеханические бухгалтерские машины | Упрощение процедуры обработки счетов и расчета зарплаты |
| 1960-1970 годы | Помощь в подготовке отчетов | Управленческие информационные системы для производственной информации | Ускорение процесса подготовки отчетности |
| 1970-1980 годы | Управленческий контроль процессов | Системы поддержки принятия решений | Выработка рациональных решений |
| с 1980 года по н/в | Информация — стратегический ресурс, обеспечивающий конкурентное преимущество | Стратегические информационные системы. Автоматизированные офисы | Выживание и процветание организации |
Шестидесятые годы знаменуются изменением отношения к информационным системам. Информация, полученная из них, стала применяться для периодической отчетности по многим параметрам. Для этого организациям требовалось компьютерное оборудование широкого назначения, способное обслуживать множество функций, а не только обрабатывать счета и считать зарплату.
В семидесятых – начале восьмидесятых годов информационные системы начинают широко использоваться в качестве средства управленческого контроля, поддерживающего и ускоряющего процесс принятия решений.
К концу восьмидесятых годов концепция использования информационных систем вновь изменяется. Они становятся стратегическим источником информации и используются на всех уровнях организации любого профиля. Информационные системы этого периода, предоставляя вовремя нужную информацию, помогают организации достичь успеха в своей деятельности, создавать новые товары и услуги, находить новые рынки сбыта, обеспечивать себе достойных партнеров, организовывать выпуск продукции по низкой цене и многое другое.
Информационная безопасность – комплекс мер, реализация которого позволяет предотвратить различные неправомерные действия с информацией.
Традиционным способом входа в систему является авторизация с помощью логин-запроса. Чтобы войти в систему, требуется наличие правильной связки логина и пароля.
Во время авторизации необходимо придерживаться следующих требований:
- Организация повышенного уровня безопасности. Терминалы (место входа пользователя в систему) без специализированных защитных средств могут использоваться только в компаниях, где доступ к ним имеют исключительно сотрудники с определенными полномочиями и привилегиями.
- Терминалы, установленные в общественных зонах, должны иметь сложную в подборе и взломе связку логина и пароля для обеспечения эффективной информационной безопасности.
Наличие систем контроля за общим доступом в местах, в которых стоит техника, используются устройства, на которых хранятся данные организации, а также в архивных помещениях и иных зонах, уязвимых с точки зрения кибербезопасности.
При использовании удаленных терминалов организация обязана соблюдать следующие требования:
- каждый терминал должен отсылать запрос на ввод логина-пароля, без которых доступ запрещен по умолчанию;
- применение схемы возвратного звонка от модема для обеспечения защиты данных.
Определенные требования в сфере информбезопасности также предъявляются в процессе получения доступа пользователями к системе по связке логин-пароль.
Стоит выделить наиболее важные требования:
- пользователи обязаны иметь собственный уникальный пароль высокой сложности, обеспечивающий доступ к системе;
- сложность выбранного пароля должна соответствовать международным стандартам в этом направлении;
- изменение установленного по умолчанию заводского пароля – действие, которое должно быть выполнено до первого запуска системы;
- все оповещения об ошибках авторизации в системе должны записываться в журнал событий (событийное протоколирование) и анализироваться ИБ-специалистами через определенные промежутки времени;
- приостановка функционирования формы ввода логина и пароля на определенное время (5-10 секунд) в случае неправильного ввода авторизационных данных для обеспечения защиты от киберпреступников, которые не смогут ввести большое число паролей за короткий промежуток времени для подбора нужной связки.
К основным требованиям информационной безопасности при вводе логина и пароля также стоит отнести то, что эффективная организация защиты данных обеспечивается при реализации двухэтапной или многоэтапной аутентификации. Также компаниям требуется использование защиты от смены паролей.
Вопросы самоконтроля
1. Что такое информационный процесс?
2. Что такое информационная безопасность?
3. Что такое информационная система?
Практическое задание.
Каждый студент должен пройти тест.
Ссылка на тест.
https://onlinetestpad.com/hoycndemvjpeq