- •Организационная структура, основные функции службы компьютерной безопасности
- •13. Материально- техническое и нормативно- методическое обеспечение функционирования ксзи Методическое направление работ по созданию ксзи .
- •Концепция (Политика) безопасности
- •Техническое направление работ по созданию ксзи
- •Физические средства защиты.
- •Аппаратные средства защиты.
- •Программные средства защиты
- •Механизмы управления доступом
- •Диспетчер доступа
- •Криптографические механизмы защиты
- •Механизмы цифровой подписи.
- •Механизмы обеспечения целостности данных
- •Механизмы управления маршрутизацией
- •Механизмы арбитража
13. Материально- техническое и нормативно- методическое обеспечение функционирования ксзи Методическое направление работ по созданию ксзи .
Определение1. Методология есть совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы информационной безопасности.
Методология дает возможность в рамках единого подхода использовать согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Методология построения комплексной системы защиты конфиденциальной информации описывает основные методы и принципы решения следующих вопросов:
Обеспечение комплексной безопасности;
Компоненты комплексной системы защиты информации;
Направления работ по созданию комплексной системы информационной безопасности;
Основные принципы построения системы комплексной информационной безопасности:
системности;
комплексности;
непрерывности защиты;
разумной достаточности;
гибкости управления и применения;
открытости алгоритмов и механизмов защиты;
простоты применения защитных мер и средств.
Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты:
создание службы безопасности;
перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.
Рекомендации по методологии построения матрицы конфиденциальности:
определение объектов и субъектов информационных потоков;
определение характеристик и признаков объектов и субъектов информационных потоков (матрицы конфиденциальности);
построение правил разграничения доступа субъектов к объектам информационных потоков на основании матрицы конфиденциальности.
Методика оценки рисков:
методика анализа угроз конфиденциальной информации и построения неформальной модели нарушителя;
методика определения общих требований к защищенности автоматизированной системы:
классификационные требования Гостехкомиссии России к защищенности от НСД средств вычислительной техники и автоматизированных систем;
классификационные требования ФАПСИ к системам защиты информации;
основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации.
методика определения уровня ЗИ в соответствии с РД ФАПСИ и ГТК.
В рамках методического направления должна быть разработана концепция (политика) безопасности.
Мероприятия по созданию систем защиты конфиденциальной информации, реализуемые вне единого комплекса мер, прописанных в рамках концепции политики безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности.
Определение 2. Под концепцией безопасности понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов и т.д., решающих задачи защиты конфиденциальной информации.