План обеспечения информационной безопасности предприятия
12.1
План обеспечения информационной безопасности предприятия
Содержание
Введение ......................................................................................................................... |
12.3 |
|
1. |
Место и роль плана защиты в системе информационной безопасности ......... |
12.3 |
2. |
Организация планирования ................................................................................... |
12.3 |
3. |
Основные элементы плана защиты и их содержание ........................................ |
12.5 |
Заключение .................................................................................................................... |
12.6 |
|
12.2
План обеспечения информационной безопасности предприятия
Введение
Планирование начинается после проведения анализа риска и выбора средств защиты информации в соответ ствии с ранжированием рисков. Этап этот не менее ответственный, чем все предыдущие. Однако практика по казывает, что не всегда к разработке планов соответствующие должностные лица относятся с должной ответ ственностью. Кроме того, отсутствуют рекомендованные формы и содержание планирующих документов. В связи с этим цель данного занятия подчеркнуть роль и место плана информационной безопасности в решении этой сложной проблемы, предложить организацию планирования и раскрыть структуру и содержание основных пла нирующих документов.
1. Место и роль плана защиты в системе информационной безопасности
Любые действия по управлению сложными организационно техническими системами должны быть спланирова ны. В полной мере это относится и к управлению информационной безопасностью. На стадии планирования, если цель системы определена, определяется в известном смысле политика информационной безопасности, будущий образ действий и методы достижения целей, обеспечивается основа для последующих долгосрочных решений.
Планирование это процесс разработки пакета руководящих документов по реализации избранной полити ки информационной безопасности.
Принципиально план защиты включает в себя две группы мероприятий – мероприятия по построению (фор мированию) системы защиты информации и мероприятия по использованию сформированной системы для защиты информации. Планирование это начальный этап управления информационной безопасностью. После составления плана и реализации его первого этапа часто оказывается возможным и целесообразным внести коррективы в первоначальный план, осуществить так называемое перепланирование.
Цель планирования:
•координация деятельности соответствующих подразделений по обеспечению информационной безо пасности,
•наилучшее использование всех выделенных ресурсов,
•предотвращение ошибочных действий, могущих привести к снижению вероятность достижения цели. Различают два вида планирования: стратегическое или перспективное и тактическое или текущее. Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их исполь зования.
Тактическое планирование заключается в определении промежуточных целей на пути достижения главных. При этом детально прорабатываются средства и способы решения задач, использования ресурсов, необхо димые процедуры и технологии.
Точную границу между стратегическим и тактическим планировани
ем провести трудно. Обычно стратегическое планирование охваты вает в несколько раз больший промежуток времени, чем тактичес кое; оно имеет гораздо более отдаленные последствия; шире влия
ет на функционирование управляемой системы в целом; требует более мощных ресурсов. Фактически стратегический план представ ляет собой системный проект, без которого тактические планы, ре ализуемые на разных отрезках времени (этапах) совершенствова ния системы, окажутся не взаимосвязанными, а значит мало эффек тивными или вовсе бессмысленными.
С тактическим планированием тесно связано понятие оперативного управления. Оперативное управление обеспечивает функционирование системы в соответствии с намеченным планом и заключается в периоди ческом или непрерывном сравнении фактически полученных результатов с намеченными планами и после дующей их корректировкой.
Отклонения системы от намеченных планов могут оказаться такими, что для эффективного достижения цели целесообразно произвести перепланирование, либо такой исход должен быть предусмотрен на стадии пла нирования.
2. Организация планирования
Планирование включает в себя определение, разработку или выбор:
•конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
•требований к системе защиты информации;
•политики информационной безопасности;
•средств и способов, функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
•совокупности мероприятий защиты, проводимых в различные периоды времени;
12.3
План обеспечения информационной безопасности предприятия
• порядка ввода в действие средств защиты;
• ответственности персонала;
• порядка пересмотра плана и модернизации системы защиты;
• совокупности документов, регламентирующих деятельность по защите информации. Организация планирования представлена на рис.2.
Цели защиты информации были определены ранее.
Задачи системы защиты объекта могут быть следующими:
• защита конфиденциальной информации от несанкционированного ознакомления и копирования;
• защита данных и программ от несанкционированной (случайной или умышленной) модификации;
• снижение потерь, вызванных разрушением данных и программ, в том числе и в результате вирусных
|
воздействий; |
|
|
|
• |
предотвращение воз" |
|
|
|
|
можности совершения |
|
Пакет |
|
|
финансовых преступ" |
|
|
|
|
|
руководящих документов |
||
|
лений при помощи |
Цели и задачи СЗИ |
||
|
по защите информации |
|
||
|
средств вычислитель |
|
|
Порядок пересмотра |
|
ной техники. |
Требования к СЗИ |
|
|
|
|
плана защиты |
||
Для создания эффективной |
|
|
||
|
|
|
||
системы защиты, как правило, |
Концепция |
|
|
|
необходимо выполнение сле |
|
Ответственность |
||
дующих основных требова |
информационой |
|
персонала |
|
безопасности |
|
|||
ний: |
|
|
|
|
|
|
|
|
|
• |
комплексность мер за |
Схема защиты, |
|
Порядок ввода в |
|
щиты, закрытие всего |
|
действие средств |
|
|
средства и способы, |
|
||
|
спектра угроз и реали |
Мероприятия, |
защиты |
|
|
стоимость |
|||
|
проводимые в |
|
||
|
зация всех целей страте |
|
|
|
|
|
различные периоды |
|
|
|
гии защиты; |
|
|
|
|
|
|
|
|
• |
надежность средств, |
Рис. 2. Организация планирования |
||
|
входящих в систему за |
|||
|
|
|
|
|
щиты;
•бесконфликтная совместная работа с используемым на объекте программным обеспечением;
•простота эксплуатации и поддержка работы администратора безопасности;
•возможность встраивания средств защиты в программное обеспечение, используемое на объекте;
•приемлемая стоимость.
Политика информационной безопасности определяет облик системы защиты информации совокупности правовых норм, организационных (правовых) мер, комплекса программно технических средств и процедур ных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направлен ных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных по следствий проявления информационных воздействий.
Сформулированная политика информационной безопасности является результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, и руководителей, способ ных влиять на проведение политики в жизнь.
Политика безопасности должна гарантировать, что для каждого вида проблем существует ответственный ис полнитель. В связи с этим ключевым элементом политики безопасности является доведение до каждого со трудника его обязанностей по поддержанию режима безопасности.
Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации. В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.
По времени проведения мероприятия защиты можно разделить на четыре класса:
•разовые;
•периодически проводимые;
•проводимые по необходимости;
•постоянно проводимые.
Разовые мероприятия включают:
•создание научно технических и методологических основ защиты информации;
•мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектов организа ции, предприятия;
•мероприятия, осуществляемые при проектировании, разработке и эксплуатации технических средств и программного обеспечения (проверка и сертификация по требованиям безопасности и т.п.);
•мероприятия по созданию системы защиты информации;
•разработку правил разграничения доступа к ресурсам системы (определение перечня решаемых под разделениями задач, режимных объектов, перечня конфиденциальных сведений, носителей конфиден циальной и критичной информации и процессов ее обработки, прав и полномочий должностных лиц по доступу к информации);
•определение контролируемой зоны и организация надежного пропускного режима;
•определение порядка хранения, учета, выдачи и использования документов и носителей конфиденци альной и критичной информации;
12.4