Формирование концепции обеспечения информационной безопасности
17.1
Формирование концепции обеспечения информационной безопасности
Содержание
Введение ......................................................................................................................... |
17.3 |
1. Информационно-логическая модель объекта защиты ....................................... |
17.3 |
2.Обобщенная структура концепции обеспечения информационной
безопасности ........................................................................................................... |
17.3 |
3.Адаптация общих концептуальных положений информационной безопасности к
особенностям предприятия .................................................................................... |
17.5 |
Заключение .................................................................................................................... |
17.8 |
17.2
Формирование концепции обеспечения информационной безопасности
Введение
Одним из самых важных и ответственных для любой организации документов является Концепция информа ционной безопасности. Так называемых гостированных требований к структуре и содержанию Концепции нет. Вместе с тем практика показывает, что большинство организаций испытывает определенные затруднения при ее написании. В связи с этим представляется целесообразным рассмотреть практические рекомендации по составлению этого документа, полученные из опыта работы отдельных организаций и научно исследователь ских центров.
1. Информационно-логическая модель объекта защиты
Следующим за этапом выявления сведений, представляющих интеллектуальную собственность организации, является определение границ управления информационной безопасности.
Цель этого этапа заключается в построении модели прохождения и обработки информации в АСУ пред приятия (организации) с последующим выявлением потенциальных точек доступа к информации (или информационного вторжения). Любое моделирование осуществляется в интересах получения новой ин формации, необходимой для принятия каких либо решений. В одном случае модель строится исходя из необходимости совершенствования процесса обработки информации на объекте. В другом случае ин формационная модель должна позволить выявить все возможные точки атак и пути доступа к ним. И это как раз тот самый случай.
Для работ на данном этапе используется следующая информация:
•Перечень сведений, составляющих коммерческую или служебную тайну.
•Организационно штатная структура предприятия или организации.
•Характеристика и план объекта. На плане объекта указывается:
порядок расположения административных зданий, производственных и вспомогательных помеще ний, различных строений, площадок, складов, стендов и подъездных путей с учетом масштаба изоб ражения;
помещения, в которых имеются технические средства обработки критичной информации с учетом их расположения;
контуры вероятного установления информационного контакта с источником излучений по видам технических средств наблюдения с учетом условий среды, по времени и месту.
•Структура и состав автоматизированной системы, перечень и характеристика используемых автоматизи рованных рабочих мест, серверов, носителей информации, размещение средств вычислительной техни ки и поддерживающей инфраструктуры на объекте.
•Технология обработки информации при решении производственных задач, описание информационных потоков, порядок хранения носителей информации.
•Характеристика каналов связи и передачи информации.
В результате работ на этом этапе должна быть получена информационно логическую модель объекта в виде вербально графического документа, включающего наглядное графическое представление структуры АСУ и раз мещения ее элементов на предприятии, основных узлов, технологию прохождения по системе и обработки критичной информации с выделением вероятных точек атак, по каждой из которых необходимо иметь пол ную характеристику в виде описательных приложений к графическому плану.
Такая модель является базой, а ее полнота залогом успеха на следующем этапе построения системы инфор мационной безопасности.
Следующему ключевому этапу в создании системы информационной безопасности (анализу риска) будет по священ отдельный раздел. А пока что необходимо отметить, что на основе информационно логической мо дели осуществляется анализ уязвимостей по всем возможным точкам атак, определяется вероятный ущерб, в соответствии с которым осуществляется ранжирование угроз, а значит и выбор соответствующих контрмер. Совокупность наиболее общих взглядов на решение задач обеспечения информационной безопасности вы ливается в концепцию информационной безопасности предприятия как замысел на решение проблем бе зопасности.
2. Обобщенная структура концепции обеспечения информационной безопасности
Концепция, определяя основные положения по обеспечению информационной безопасности на предприятии, является базовым документом, на основе которого в дальнейшем строится политика построения системы защи ты информации, обосновывается структура органов защиты информации, оцениваются риски и угрозы безо пасности, проводится единая техническая политика.
17.3
Формирование концепции обеспечения информационной безопасности
В обобщенном виде Концепция должна включать в себя:
•структурированное описание защищаемой информационной среды. Такое описание можно представить графически в виде типовых структурных компонент системы обработки информации (узлов обработки, концентрации информации) и связей между ними, характеризующих направления циркуляции и пара метры потоков информации;
•всесторонний количественный анализ уязвимости информации, базирующийся на обоснованной сово купности угроз и моделей оценки значений показателей уязвимости;
•научное обоснование комплекса защиты информации в конкретных условиях обстановки, опирающееся на структуризацию факторов, определяющих степень защищенности и количественную оценку способов защиты (преимущественно экспертным путем);
•оптимизация системы защиты при выделенных ресурсах и заданном уровне защиты информации.
К концептуальным положениям могут быть отнесены следующие из них:
•адаптированные к предметной области основные понятия из области защиты информации (безопас ность информации, конфиденциальность, целостность, доступность и др.);
•группы сведений, подлежащие обязательной защите;
•порядок отнесения информации к коммерческой или служебной тайне;
•ответственность сотрудников предприятия за соблюдение требований по обеспечению безопасности информации;
•административные меры защиты;
•программно технические меры защиты;
•порядок выбора конкретных средств защиты;
•организация оценки рисков и угроз безопасности;
•модель нарушителя, организация ее корректуры с учетом новых технических и информационных реше ний, созданием новых средств добывания информации и несанкционированного воздействия на нее, изменения условий и особенностей деятельности предприятия;
•принципы построения системы информационной безопасности предприятия (этапность, модульность, способы реализации базового и повышенного уровня требований безопасности;
•действия в случаях нарушения системы безопасности.
Разработанная Концепция утверждается первым лицом предприятия или его заместителем по представле нию начальника службы (отдела) информационной безопасности предприятия.
На основе Концепции разрабатывается Политика информационной безопасности в виде совокупности правовых, организационных и инженерно технических решений, которые, в свою очередь, являются базо выми для формирования вариантов построения системы защиты информации. При этом естественно воз никает следующая задача – выбор варианта системы защиты на основе оценки их эффективности.
Рассмотренные в предыдущих разделах методологические вопросы обеспечения информационной безопасно сти являются основой для разработки концепции обеспечения информационной безопасности предприятия.
Вданном контексте под концепцией будем понимать совокупность взглядов, основных идей, связанных с ре" шением задач, обеспечивающих информационную безопасность предприятия.
Внекоторых источниках предлагается унифицированная концепция защиты информации (УКЗИ). Основные положения УКЗИ представляются следующим перечнем:
1.Непременное (перед решением вопросов ЗИ) структурированное описание среды защиты в виде направ ленного графа, вершины которого отображают структурные компоненты объекта, а дуги направления циркуляции информации в процессе его функционирования. В целях создания условий для унификации методов такого представления введены понятия типового структурного компонента и типового состоя ния компонента.
2.Всесторонний количественный (хотя бы приближенный, оценочный) анализ уязвимости информации на объекте для возможно более объективной оценки реальных угроз информации и необходимых (доста точных, но оправданных) усилий и расходов на ЗИ. Для этого должна быть определена совокупность угроз информации, разработаны показатели уязвимости и модели (методики) определения текущих и ожидаемых значений показателей уязвимости. Практическая реализация этих задач сопряжена с пре одолением трудностей, связанных с формированием исходных данных, необходимых для оценки уязви мости.
3.Обоснованное определение требуемого уровня защиты на каждом конкретном объекте в изменяющихся ус ловиях его функционирования. Трудности решения этой задачи определяются тем, что на требуемый уровень защиты оказывает влияние больше количество разноплановых факторов. В силу этого указанные оценки определяются экспертным путем.
4.Решение всех задач, связанных с созданием и организацией функционирования системы ЗИ на объекте, на основе единой унифицированной методологии, обеспечивающей построение систем защиты на осно ве количественных оценок получаемых решений.
При этом задача оптимизации систем защиты может быть сформулирована двояко:
•при выделенных на защиту ресурсах обеспечить максимально возможный уровень защищенности;
•обеспечить требуемый уровень ЗИ при минимальном расходе ресурсов.
17.4