- •Министерство образования и науки рф
- •Введение
- •Принципы создания систем информационной безопасности
- •Структура систем информационной безопасности
- •Методы обеспечения безопасности информации в информационных системах
- •Этапы разработки систем защиты информации
- •Заключение
- •Список используемых источников
Этапы разработки систем защиты информации
При первоначальной разработке и реализации системы защиты ИС обычно выделяют три стадии.
Первая стадия — выработка требований включает:
• выявление и анализ уязвимых в ИС и ИТ элементов, которые могут подвергнуться угрозам;
• выявление или прогнозирование угроз, которым могут подвергнуться уязвимые элементы ИС;
• анализ риска.
Стоимостное выражение вероятного события, ведущего к потерям, называют риском. Оценки степени риска в случае осуществления того или иного варианта угроз, выполняемые по специальным методикам, называют анализом риска.
На второй стадии — определение способов защиты — принимаются решения о том:
• какие угрозы должны быть устранены и в какой мере;
• какие ресурсы ИС должны быть защищаемы и в какой степени;
с помощью каких средств должна быть реализована защита;
• каковы должны быть стоимость реализации защиты и затраты на эксплуатацию ИС с учетом защиты от потенциальных угроз.
Вторая стадия предусматривает разработку плана защиты и формирование политики безопасности, которая должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.
План защиты содержит следующие разделы (группы сведений):
1. Текущее состояние системы (как результат работы первой стадии).
2. Рекомендации по реализации системы защиты.
3. Ответственность персонала.
4. Порядок ввода в действие средств защиты.
5. Порядок пересмотра плана и состава защиты.
Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку, реализуемых при помощи организационных мер и программно-технических средств и определяющих архитектуру системы защиты. Для конкретных организаций политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и т.д.
Третья стадия — построение системы информационной безопасности, т.е. реализация механизмов защиты как комплекса процедур и средств обеспечения безопасности информации. В заключение производится оценка надежности системы защиты, т.е. уровня обеспечиваемой ею безопасности.
Функционирование системы информационной безопасности направлено на реализацию принципа непрерывного развития. Необходимо с определенной периодичностью анализировать текущее состояние системы и вводить в действие новые средства защиты. В этом отношении интересна практика защиты информации в США.
Американский специалист в области безопасности информации А. Патток предлагает концепцию системного подхода к обеспечению защиты конфиденциальной информации, получившую название «метод Opsec» (Operation Security).
Суть метода в том, чтобы пресечь, предотвратить или ограничить утечку той части информации, которая позволит конкуренту определить, что осуществляет или планирует предприятие.
Процесс организации защиты информации по методу Opsec проводится регулярно и каждый раз поэтапно.
1. Анализ объекта защиты – состоит в определении того, что нужно защищать. Анализ проводится по следующим направлениям:
• определяется информация, которая нуждается в защите;
• выделяются наиболее важные элементы (критические) защищаемой информации;
• определяется срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации);
• определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;
• классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения управления и т.д.).
2. Выявление угроз:
• определяется, кого может заинтересовать защищаемая информация;
• оцениваются методы, используемые конкурентами для получения информации;
• оцениваются вероятные каналы утечки информации;
• разрабатывается система мероприятий по пресечению действий взломщика.
3. Анализ эффективности принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи).
4. Определение необходимых мер защиты.
5. Рассмотрение представленных предложений по всем необходимым мерам безопасности и расчеты их стоимости и эффективности.
6. Реализация принятых дополнительных мер безопасности с учетом установленных приоритетов.
7. Контроль и доведение до персонала фирмы реализуемых мер безопасности.
Рассмотренный метод требует участия в его реализации группы аналитиков из числа опытных специалистов как в области информатики, так и в тех областях знаний, которые необходимы для проведения анализа.