Обеспечение информационной безопасности автоматизированных систем
Обеспечение информационной безопасности автоматизированных систем
Чему
научат
· Участвовать в эксплуатации компонентов подсистем безопасности автоматизированных систем, проверять их техническое состояние.
· Устанавливать и адаптировать компоненты подсистем безопасности автоматизированных систем.
· Организовывать мероприятия по охране труда и технике безопасности в процессе эксплуатации автоматизированных систем и средств защиты информации в них.
· Применять программно-аппаратные средства обеспечения информационной безопасности в автоматизированных системах.
· Участвовать в мониторинге эффективности применяемых программно-аппаратных средств обеспечения информационной безопасности в автоматизированных системах.
· Участвовать в обеспечении учета, обработки, хранения и передачи конфиденциальной информации.
· Применять инженерно-технические средства обеспечения информационной безопасности.
· Решать частные технические задачи, возникающие при проведении всех видов плановых и внеплановых контрольных проверок, при аттестации объектов, помещений, технических средств.
· Участвовать в эксплуатации инженерно-технических средств обеспечения информационной безопасности, проверять их техническое состояние.
· Применять нормативные правовые акты, нормативно-методические документы по обеспечению информационной безопасности инженерно-техническими средствами.
- Проводить техническое обслуживание и текущий ремонт и восстанавливать работоспособность компонентов подсистем безопасности автоматизированных систем.
Специальность «Обеспечение информационной безопасности автоматизированных систем»
Студенты проходят основы информационной безопасности, сети и системы передачи информации, алгоритмизацию и программирование, электронику и схемотехнику, операционные системы, базы данных. Среди профессиональных модулей — эксплуатация компьютерных сетей, программно-аппаратные средства обеспечения информационной безопасности, криптографические средства и методы защиты информации.
подготовка специалистов
Вконтакте
Google+
Одноклассники
Срок обучения: На базе 9 классов (срок обучения 3 г. 10 мес.); на базе 11 классов (срок обучения 2 г. 10 мес.) Формы обучения:очная, очно-заочная, заочная, очная, очно-заочная, заочная Техник по защите информации является специалистом в области информационных технологий. В его обязанности входит проведение проверок технического состояния, установка, наладка и регулировка аппаратуры и приборов, их профилактические осмотры и текущий ремонт. Он выполняет необходимые расчеты, анализирует и обобщает результаты, составляет технические отчеты и оперативные сводки по вопросам защиты информации. Может участвовать в рабочих группах по разработке и внедрению мероприятий обеспечения информационной безопасности компании. Спрос на специалистов по защите информации растет — с каждым годом увеличивается потребность в технически грамотных, всесторонне подготовленных профессионалах в области компьютерной защиты. Появляется спрос и на создание национальных систем компьютерной безопасности. При работе со сведениями, составляющими государственную тайну, специалисту требуется наличие допуска ФСБ. При работе в государственном учреждении зарплата составляет около 30 тысяч рублей, в частном — около 50 тысяч.
Обеспечение информационной безопасности автоматизированных систем
- На базе 9 (3 года 10 месяцев) и 11 (2 года 10 месяцев) классов;
- Очная и заочная формы обучения;
- Квалификация - техник по защите информации.
Возможные должности выпускника:
- Специалист по защите информации в телекоммуникационных системах и сетях;
- Специалист по безопасности компьютерных систем и сетей;
- Специалист по защите информации в автоматизированных системах;
- Специалист по технической защите информации;
- Специалист по-обнаружению, предупреждению и ликвидации последствий компьютерных атак.
Место работы выпускника:
- Подразделения обеспечения информационной безопасности (режимно-секретные подразделения)
- Структуры, связанные с использованием технических средств обработки, хранения и передачи конфиденциальной информации.
Практика студентов:
- Учебная и производственная практики являются обязательной частью образовательной программы. Производственная практика проходит в два этапа: практика по профилю специальности и преддипломная практика. Как правило, практики организуются на предприятиях в области информационной безопасности.
После окончания техникума выпускник может:
- Участвовать в эксплуатации компонентов подсистем безопасности автоматизированных систем, проверять их техническое состояние;
- Устанавливать и адаптировать компоненты подсистем безопасности автоматизированных систем;
- Организовывать мероприятия по охране труда и технике безопасности в процессе эксплуатации автоматизированных систем и средств защиты информации в них;
- Применять программно-аппаратные средства обеспечения информационной безопасности в автоматизированных системах;
- Участвовать в мониторинге эффективности применяемых программно-аппаратных средств обеспечения информационной безопасности в автоматизированных системах;
- Участвовать в обеспечении учета, обработки, хранения и передачи конфиденциальной информации;
- Применять инженерно-технические средства обеспечения информационной безопасности;
- Решать частные технические задачи, возникающие при проведении всех видов плановых и внеплановых контрольных проверок, при аттестации объектов, помещений, технических средств;
- Участвовать в эксплуатации инженерно-технических средств обеспечения информационной безопасности, проверять их техническое состояние;
- Применять нормативные правовые акты, нормативно-методические документы по обеспечению информационной безопасности инженерно-техническими средствами;
- Проводить техническое обслуживание и текущий ремонт и восстанавливать работоспособность компонентов подсистем безопасности автоматизированных систем.
Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
Построение системы обеспечения безопасности информации в АС и её функционирование должны осуществляться в соответствии со следующими основными принципами:
законность
системность
комплексность
непрерывность
своевременность
преемственность и непрерывность совершенствования
разумная достаточность
персональная ответственность
разделение функций
минимизация полномочий
взаимодействие и сотрудничество
гибкость системы защиты
открытость алгоритмов и механизмов защиты
простота применения средств защиты
научная обоснованность и техническая реализуемость
специализация и профессионализм
взаимодействие и координация
обязательность контроля
Законность
Предполагает осуществление защитных мероприятий и разработку системы безопасности информации в АС в соответствии с действующим законодательством в области информации, информационных технологий и защиты информации, других нормативных правовых актов, руководящих и нормативно-методических документов по безопасности информации, утверждённых органами государственной власти в пределах ихкомпетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией.
Системность
Системный подход к защите информации в АС предполагает учёт всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации в АС. При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределённые системы и НСД к информации. Система защиты должна строиться с учётом не только всех известных каналов проникновения и НСД к информации, но и с учётом возможности появления принципиально новых путей реализации угроз безопасности.
Комплексность
Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных её компонентов. Зашита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными, технологическими и правовыми мерами. Одним из наиболее укреплённых рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех её ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.
Своевременность
Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и её системы защиты информации, в частности. Разработка системы зашиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счёте, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищённые системы.
Непрерывность защиты
Защита информации - не разовое мероприятие и не простая совокупность проведённых мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе её эксплуатации.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имён, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления её функционирования.
Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АС и её системы защиты с учётом изменений в методах и средствах перехвата информации и воздействия на компоненты АС, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
Разделение функций
Принцип Разделения функций, требует, чтобы ни один сотрудник организации не имел полномочий, позволяющих ему единолично осуществлять выполнение критичных операций. Все такие операции должны быть разделены на части, и их выполнение должно быть поручено различным сотрудникам. Кроме того, необходимо предпринимать специальные меры по недопущению сговора и разграничению ответственности между этими сотрудниками.
Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат)
Предполагает соответствие уровня затрат на обеспечение безопасности информации (ценности информационных ресурсов) величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала. Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Персональная ответственность
Предполагает возложение ответственности за обеспечение безопасности информации и системы её обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был чётко известен или сведён к минимуму.
Минимизация полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объёме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.
Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективах подразделений. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений обеспечения безопасности информации.
Гибкость системы защиты
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищённости, средства защиты должны обладать определённой гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на уже работающую систему, не нарушая процесса её нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счёт секретности структурной организации и алгоритмов функционирования её подсистем. Знание алгоритмов работы системы защиты не должно давать возможности её преодоления (даже авторам). Это, однако, не означает, что информация о конкретной системе защиты должна быть общедоступна.
Простота применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имён и т.д.).
Научная обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.
Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственные лицензии на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными сотрудниками (специалистами подразделений обеспечения безопасности информации).
Взаимодействие и координация
Предполагают осуществление мер обеспечения безопасности информации при разработке и функционировании АС и её системы защиты информации, на основе взаимодействия всех внутренних структурных подразделений организации, а также сторонних предприятий и организаций, имеющих авторизованный доступ к АС, специализированных предприятий и организаций в области защиты информации, привлекаемых для разработки системы защиты информации в АС, координации их усилий для достижения поставленных целей безопасности.
Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.
Выводы
В арсенале специалистов по информационной безопасности имеется широкий спектр защитных мер: законодательных, морально-этических, административных (организационных), физических и технических (аппаратурных и программных) средств.
Все они обладают своими достоинствами и недостатками, которые необходимо знать и правильно учитывать при создании систем защиты. Все известные каналы проникновения и утечки информации должны быть перекрыты с учётом анализа риска, вероятностей реализации угроз безопасности в конкретной прикладной системе и обоснованного рационального уровня затрат на защиту. Наилучшие результаты достигаются при системном подходе к вопросам безопасности компьютерных систем и комплексном использовании определённых совокупностей различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий её проектирования.
