- •Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Тульский государственный университет»
- •Конспект лекций
- •Комплексная система защиты информации на предприятии
- •090900 «Информационная безопасность»
- •Содержание
- •Тема 1. Сущность и задачи комплексной защиты информации
- •Тема 2. Принципы организации и этапы разработки ксзи
- •Тема 3. Факторы, влияющие на организацию ксзи
- •Тема 4. Определение и нормативное закрепление состава защищаемой информации
- •Тема 5. Определение объектов защиты
- •Тема 10. Определение условий функционирования ксзи
- •Тема 11. Разработка модели ксзи
- •Тема 12. Технологическое и организационное построение ксзи
- •Тема 13. Кадровое обеспечение функционирования комплексной системы защиты информации
- •Введение
- •Тема 1 Сущность и задачи комплексной защиты информации План
- •1.2. Цели, задачи и принципы построения ксзи
- •1.3. О понятиях безопасности и защищенности
- •1.4. Разумная достаточность и экономическая эффективность
- •1.5. Управление безопасностью предприятия. Международные стандарты
- •1.6. Цели и задачи защиты информации в автоматизированных системах
- •1.7. Современное понимание методологии защиты информации
- •1.7.1. Особенности национального технического регулирования
- •1.7.2. Что понимается под безопасностью ит?
- •1.7.3. Документы пользователя
- •1.7.4. Требования к средствам обеспечения безопасности
- •Тема 2. Принципы организации и этапы разработки ксзи План
- •2.1. Методологические основы организации ксзи
- •2.2. Разработка политики безопасности и регламента безопасности предприятия
- •2.3. Основные положения теории сложных систем
- •2.4. Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими
- •2.5. Требования, предъявляемые к ксзи
- •2.5.1. Требования к организационной и технической составляющим ксзи
- •2.5.2. Требования по безопасности, предъявляемые к изделиям ит
- •2.6. Этапы разработки ксзи
- •Тема 3. Факторы, влияющие на организацию ксзи План
- •3.1. Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2. Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •3.3. Характер основной деятельности предприятия
- •3.4. Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5. Структура и территориальное расположение предприятия
- •3.6. Режим функционирования предприятия
- •3.7. Конструктивные особенности предприятия
- •3.8. Количественные и качественные показатели ресурсообеспечения
- •3.9. Степень автоматизации основных
- •Тема 4. Определение и нормативное закрепление состава защищаемой информации План
- •4.2. Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение задачи 1
- •4.2.2. Решение задачи 2
- •4.2.3. Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3. Методика определения состава защищаемой информации
- •6.1. Составление предварительного Перечня.
- •6.2. Определение возможного ущерба, наступающего в результате несанкционированного распространения кт.
- •4.4. Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •Тема 5. Определение объектов защиты План
- •5.2. Методика выявления состава носителей защищаемой информации
- •5.3. Особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа
- •5.4. Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.5. Особенности помещений как объектов защиты для работы по защите информации
- •Основные принципы оборудования сигнализацией.
- •Сейфы и хранилища ценностей
- •5.6. Транспортные средства и особенности транспортировки
- •5.7. Состав средств обеспечения, подлежащих защите
- •Тема 6. Дестабилизирующие воздействия на информацию и их нейтрализация План
- •6.1. Факторы, создающие угрозу информационной безопасности
- •6.2. Угрозы безопасности информации
- •6.3. Модели нарушителей безопасности ас
- •6.4. Подходы к оценке ущерба от нарушений иб
- •6.5. Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6. Реагирование на инциденты иб
- •6.7. Резервирование информации и отказоустойчивость
- •Тема 7. Определение потенциальных каналов и методов несанкционированного доступа к информации План
- •7.1. Технические каналы утечки информации, их классификация
- •7.2. Задачи ксзи по выявлению угроз и куи
- •7.3. Особенности защиты речевой информации
- •7.4. Особенности защиты компьютерной информации от утечки по каналам пэмин
- •Тема 8. Определение возможностей несанкционированного доступа к защищаемой информации План
- •8.1. Методы и способы защиты информации
- •8.2. Классификация сзи нсд
- •8.3. Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.3.2. Разграничение доступа
- •8.3.3. Регистрация и аудит
- •8.3.4. Криптографическая подсистема
- •8.3.5. Межсетевое экранирование
- •8.4. Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •Тема 9. Определение компонентов ксзи План
- •9.1. Особенности синтеза сзи ас от нсд
- •9.2. Методика синтеза сзи
- •9.2.1. Общее описание архитектуры ас, системы f защиты информации и политики безопасности
- •9.2.2. Формализация описания архитектуры исследуемой ас
- •9.2.3. Формулирование требований к системе защиты информации
- •9.2.4. Выбор механизмов и средств защиты информации
- •9.2.5. Определение важности параметров средств защиты информации
- •9.3. Оптимальное построение системы защиты для ас
- •9.4. Выбор структуры сзи ас
- •9.5. Проектирование системы защиты информации для существующей ас
- •Тема 10. Определение условий функционирования ксзи План
- •10.1. Содержание концепции построения ксзй
- •10.2. Объекты защиты
- •10.3. Цели и задачи обеспечения безопасности информации
- •10.4. Основные угрозы безопасности информации ас организации
- •10.5. Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6. Основные принципы построения ксзи
- •10.7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8. Первоочередные мероприятия по обеспечению безопасности информации ас организации
- •Тема 11. Разработка модели ксзи План
- •11.2. Формальные модели безопасности и их анализ
- •11.2.1. Классификация формальных моделей безопасности
- •11.2.2. Модели обеспечения конфиденциальности
- •11.2.3. Модели обеспечения целостности
- •11.2.4. Субъектно-ориентированная модель
- •11.3. Прикладные модели защиты информации в ac
- •11.4. Формальное построение модели защиты: пример
- •11.4.1. Описание объекта защиты
- •11.4.2. Декомпозиция ас на субъекты и объекты
- •11.4.3. Модель безопасности: неформальное описание
- •11.4.4. Декомпозиция системы защиты информации
- •11.4.5. Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5. Формализация модели безопасности
- •11.5.1. Процедура создания пары субъект—объект, наделение их атрибутами безопасности
- •11.5.2. Осуществление доступа субъекта к объекту
- •11.5.3. Взаимодействие с внешними сетями
- •11.5.4. Удаление субъекта — объекта
- •Тема 12. Технологическое и организационное построение ксзи План
- •12.2. Характеристика основных стадий создания ксзи
- •12.3. Назначение и структура технического задания (общие требования к содержанию)
- •12.4. Предпроектное обследование, технический проект, рабочий проект.
- •Тема 13. Кадровое обеспечение функционирования комплексной системы защиты информации План
- •13.2. Распределение функций по защите информации
- •13.2.1. Функции руководства предприятия
- •13.2.2. Функции службы защиты информации
- •13.2.3. Функции специальных комиссий
- •13.2.4. Обязанности пользователей защищаемой информации
- •13.3. Обеспечение взаимодействия между субъектами, защищающими и использующими* информацию ограниченного доступа
- •13.4. Подбор и обучение персонала
- •Тема 14. Материально-техническое и нормативно-методологическое обеспечение комплексной системы защиты информации План
- •14.1. Состав и значение материально-технического обеспечения функционирования ксзи
- •Тема15. Назначение, структура и содержание управления ксзи План
- •15.1. Понятие, сущность и цели управления ксзи
- •15.2. Принципы управления ксзи
- •15.3. Структура процессов управления
- •15.4. Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •Тема 16. Принципы и методы планирования функционирования ксзи План
- •16.1. Понятие и задачи планирования функционирования ксзи
- •16.2. Способы и стадии планирования
- •16.3. Факторы, влияющие на выбор способов планирования
- •16.4. Основы подготовки и принятия решений при планировании
- •16.5. Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6. Организация выполнения планов
- •Тема 17. Сущность и содержание контроля функционирования План
- •17.1. Виды контроля функционирования ксзи
- •17.2. Цель проведения контрольных мероприятий в ксзи
- •17.3. Анализ и использование результатов проведения контрольных мероприятий
- •Тема 18. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций План
- •18.1. Понятие и основные виды чрезвычайных ситуаций
- •18.2. Технология принятия решений в условиях чс
- •18.3. Факторы, влияющие на принятие решений в условиях чс
- •18.4. Подготовка мероприятий на случай возникновения чс
- •Перечень
- •Тема 19. Общая характеристика подходов к оценке эффективности ксзи План
- •19.1. Вероятностный подход
- •19.2. Оценочный подход
- •19.3. Требования рд свт и рд ас
- •19.4. Задание требований безопасности информации и оценка соответствия им согласно гост 15408—2002
- •19.5. Экспериментальный подход
- •Тема 20.
- •20.1. Показатель уровня защищенности, основанный на экспертных оценках
- •Экспертного опроса
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •(Ущербов)
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •Библиографический список
16.3. Факторы, влияющие на выбор способов планирования
Необходимость учета при планировании большого числа факторов, определяющих условия обстановки, требует использования различных приемов и способов работы для достижения поставленных целей (по сбору, обработке и анализу поступающей информации, подготовке предложений для принятия обоснованного решения, проведению расчетов, разработке и оформлению распорядительных документов и доведению их до подчиненных контролю за их выполнением).
Рассматривая действия должностных лиц при планировании, можно выделить методы работы, характеризующиеся совокупностью приемов, способов и операций, выполняемых в определенной последовательности в зависимости от условий обстановки.
Выбор того или иного метода работы при планировании направлен на выработку решения, позволяющего с максимальной эффективностью достичь целей функционирования КСЗИ.
Можно выделить группы факторов, влияющих на выбор методов планирования. Они определяются: местом процесса планирования по отношению к уровню иерархии; условиями; характером и содержанием поставленных и возникающих задач; ресурсом должностных лиц, участвующих в планировании.
Рассмотрим эти факторы.
1. Процесс планирования осуществляется на различных уровнях иерархии КСЗИ, характеризующихся наличием информационной взаимосвязи между ними. Степень этой взаимосвязи в существенной степени определяется используемым способом работы органов управления — централизованным, иерархическим или их комбинацией.
Под централизованным способом планирования понимается такое распределение функций в системе управления, когда все составляющие решения в интересах любой ее подсистемы принимаются на высшем уровне. Централизованное планирование осуществляется вышестоящим руководством на глубину всех инстанций, задействованных в организации системы. Данный способ обеспечивает наибольшие показатели качества распределения ресурсов, однако требует больших временных затрат и применяется для планирования в особо важных случаях.
Централизованное решение задач планирования бывает весьма проблематичным в связи с тем, что вышестоящий орган управления принципиально не имеет возможности с достаточной детализацией прогнозировать условия. Кроме того, цели и задачи, соответствующие определенному органу управления, наилучшим образом могут формулироваться и своевременно корректироваться именно в этом органе управления, комплексно сочетаясь с задачами других подсистем и уровней иерархии. По причине ограниченного количества должностных лиц и присутствия неопределенности в исходной информации при централизованном планировании не представляется возможным решать вопросы всестороннего обеспечения и взаимодействия.
Преодолеть перечисленные недостатки позволяет способ иерархического планирования. Сущность способа иерархического планирования заключается в распределении функций планирования между органами управления различных уровней иерархии. Такое заблаговременное распределение функций дает возможность исключить дублирование в решении задач различными инстанциями, значительно сократить потоки обрабатываемой информации и повысить оперативность управления в целом.
Условия, в которых осуществляется процесс планирования, относятся к другой группе факторов. Планирование, проводимое заблаговременно, дает возможность принимать решения с достаточно высоким уровнем детализации. Это обусловлено отсутствием жестких ограничений на ресурсы планирования, возможностью проведения многовариантных расчетов для прогнозируемых условий, возможностью организации тесного взаимодействия с должностными лицами других подсистем и уровней иерархии, вышестоящих, подчиненных и взаимодействующих органов управления. Вместе с тем при заблаговременном планировании решения принимаются в условиях большой неопределенности задач и условий реального применения СЗИ.
Наиболее сложные условия для планирования возникают в условиях чрезвычайных ситуаций. Это связано со значительным сокращением временного ресурса, отличием реальных условий от прогнозируемых, дефицитом ресурсов.
В основу деятельности планирующего органа могут быть положены методы параллельной или последовательной работы либо их сочетание. При наличии достаточного временного ресурса применяется метод последовательной работы, сущность которого заключается в том, что в каждой инстанции планирование осуществляется после завершения всей работы по планированию в вышестоящей инстанции и получения от нее соответствующих распоряжений. В условиях ограниченного времени применяется метод параллельной работы. При этом принятие решения и разработка документов планирования в нижестоящих инстанциях начинаются сразу после принятия решения и постановки задач старшим должностным лицом, а при ограниченных сроках — после выработки им замысла на основе получения от него предварительных распоряжений.
В этих и ряде других случаев наиболее применим распорядительный метод работы, являющийся разновидностью метода параллельной работы и обеспечивающий быструю реакцию органа управления на возможные изменения обстановки. Сущность этого метода заключается в том, что старший начальник, приняв решение по назревшим вопросам, стремится в кратчайший срок довести задачи до исполнителей и незамедлительно включить в работу всю систему управления.
Приведенные методы работы обладают рядом положительных и отрицательных качеств по сравнению друг с другом.
Метод последовательной работы позволяет наиболее полно, глубоко и детально выразить в планирующих документах решение по организации КСЗИ и подробно определить ее применение. Однако этот метод требует больших временных затрат и поэтому практически малопригоден при планировании, когда обстановка может существенно изменяться за очень короткий период времени.
Последовательный метод работы применяется при заблаговременном планировании, когда велика неопределенность в сроках и способах реализации угроз информации, что вынуждает планирующий орган разрабатывать несколько вариантов плана, которые перекрывают имеющуюся неопределенность в задачах системы и предстоящем воздействии на нее угроз.
В условиях ограниченного времени, отведенного для проведения планирования, применяется метод параллельной работы. Для данного метода характерен поэтапный способ накопления исходной информации. При жестких временных ограничениях не представляется возможной детальная выработка замысла на различных уровнях иерархии, так как для этого нет достаточной информации. Вместо детальной проработки первой части решения вырабатывается общая концепция на организацию КСЗИ, определяются принципиальные возможности КСЗИ по решению задач, взаимодействию с другими подсистемами, организации управления и всестороннего обеспечения. На следующем этапе завершается прогнозирование предстоящих условий функционирования, и на этой основе детализируются все составляющие части решения. Окончательно уточняется замысел и корректируются основные мероприятия для его реализации.
Параллельный метод работы предполагает постоянное взаимодействие должностных лиц различных уровней иерархии, участвующих в планировании, что снижает неопределенность исходной информации и позволяет реализовать принцип пошаговой детализации, исключающий необходимость разработки большого количества вариантов плана.
Наконец, при действиях органа управления в условиях жесткого дефицита времени метод параллельной работы должен сочетаться с распорядительным методом. В этих случаях ответственные должностные лица должны сосредоточить основное внимание на решении главных, ключевых задач и предоставить подчиненным (в соответствии с их функциональными обязанностями) широкую инициативу в решении остальных вопросов.
Умение рационально организовать планирование, правильно выбрать методы работы должностных лиц во многом определяют доверие к результатам планирования. С позиции теории организационного управления под качеством планирования можно понимать способность органов управления своевременно и обоснованно принимать и доводить до подчиненных соответствующие решения.