41. Структура управления ксзи
Сущность комплексной системы защиты информации определяется ее функциями и принципами построения. Функции системы, в свою очередь, определяются:
предметной областью, в которой действует предприятие;
информационными связями этого предприятия с физическими и
юридическими лицами;
особенностями технологических и информационных процессов
реализуемых на этом предприятии;
совокупностью нормативных документов, регулирующих деятельность этого предприятия;
положением в иерархической структуре (соподчиненностью), если предприятие является частью корпорации.
Основной целью построения комплексной системы защиты информации на предприятии является создание условий надежной и безопасной работы посредством применения комплекса мер защиты, которые должны отвечать главным требованиям: успешно отражать большую часть вероятных атак;
при существенных нарушениях нормального функционирования, которые могут возникать при внешних воздействиях разного рода (в том числе, и в результате реализованных атак) система должна иметь способность либо к полному самовосстановлению, либо к восстановлению за нормативные сроки и с минимальными потерями;
при построении системы должно соблюдаться оптимальное соотношение (цена системы)/вероятные потери.
Эти цели определяют совокупность задач, основные из которых следующие:
проведение категорирования объекта защиты;
формирование плана защиты на основе проведения обследования предприятия или изучения проектной и другой нормативной документации (если система комплексной защиты строится для вновь создаваемого предприятия);
проектирование
системы эшелонированной защиты, выделение
подсистем; разработка технических
заданий на проектировании и создание
подсистем;определение источников
финансирования, разработка и внедрение
подсистем в соответствии с предварительно
подготовленным планом внедрения.
Типовая структура КСЗИ состоит из нескольких подсистем и укрупнено может быть представлена в виде основных модулей
43. Принципы функционирования ксзи:
разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т.е. предоставление пользователям минимума строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации;
полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации без ее предварительной регистрации;
обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или преднамеренных ошибок пользователей и обслуживающего персонала;
обеспечения контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты;
«прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей АС;
экономическая целесообразность использования системы защиты, выражающаяся в том, что стоимость разработки и функционирования системы защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АС без системы защиты.