- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Сущность и задачи комплексной системы защиты информации.
КСЗИ - система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации.
Проблема обеспечения нужного уровня ЗИ – сложная задача, требующая для своего решения применения комплекса специальных средств и методов по ЗИ.
Комплексный (системный) подход к построению любой системы включает в себя: 1. Изучение объекта внедряемой системы; 2. Оценку угроз безопасности объекта; 3. Анализ средств, которыми будем оперировать при построении системы; 4. Оценку экономической целесообразности; 5. Изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности; 6. Возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.
Комплексный подход — это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задача – оптимизация всей системы.
Перед созданием системы следует определить: 1. Входные элементы (угрозы безопасности, возможные на данном объекте); 2. Ресурсы 3. Окружающая среда; 4. Назначение и функции (должна быть цель, подцели) 5. Критерий эффективности.
Задачи КСЗИ: 1. Прогнозирование. Выявление и устранение угроз безопасности персоналу и ресурсам предприятия, которые могут причинить материальный и моральный ущерб; 2. Отнесение информации к категории ограниченного доступа (служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов — к различным уровням уязвимости (опасности), подлежащих сохранению; 3. Создание механизма и условий оперативного реагирования на угрозы безопасности проявления негативных тенденций в функционировании предприятия; 4. Эффективное пресечение угроз на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности; 5. Создание условий для уменьшения ущерба, последствий.
Принципы организации комплексной системы защиты информации.
Концептуальные принципы: 1. Адаптируемость – Приспособление при изменении структуры, условий функционирования автоматизированных систем обработки данных (АСОД), а также при изменении главных угроз. 2. Непрерывность – построение КСЗИ происходит постоянно. 3. Комплексность – использование всех средств защиты для блокирования угроз защищаемой информации по всем каналам утечки. 4. Научная обоснованность – системное рассмотрение проблем, изучение, обобщение и применение научных знаний и передового практического опыта при создании СЗИ. 5. Концептуальное единство – создание КСЗИ на основе единой концепции ЗИ.
Основные принципы: 1. Адекватность – СЗИ строится в соответствии с требованиями к защите. Уровень защиты должен быть адекватен угрозам. 2. Функциональная самостоятельность – СЗИ должна быть самостоятельной подсистемой АСОД и не зависеть от других подсистем. 3. Минимизация предоставляемых прав – предоставление пользователям лишь тех прав, которые ему нужны для работы. 4. Полнота контроля – все процедуры должны быть под контролем, результаты контроля должны быть документированы. 5. Активность реагирования – СЗИ должна реагировать на любые попытки НСД. 6. Централизованность управления СЗИ – процесс управления должен быть централизован, СЗИ должна соответствовать структуре объекта, а также целям и задачам защиты. 7. Плановость – взаимодействие всех объектов относительно принятой концепции, формирование планов ЗИ. 8. Целенаправленность – защищаться должно то, что необходимо защищать в интересах поставленных целей, а не все подряд. 9. Конкретность – защите подлежат конкретные ИР, представляющие интерес для противника, утечка которых может привести к ущербу. 10. Активность защиты – СЗИ должна не только обнаружить и устранить, но и предвидеть и предотвратить.
Этапы разработки комплексной системы защиты информации.
1. Определение состава защищаемой информации и объектов защиты. 2. Определение факторов, влияющих на КЗИ на предприятии 3. Выявление опасных информационных угроз и нарушителей 4. Выявление каналов утечки защищаемой информации и каналов НСД (уязвимость, ущерб, риски) 5. Формулирование стратегии КСЗИ. (Оборонительная 0,62; Наступательная 0,86; Упреждающая 0,92;) 6. Определение подсистем и средств КЗИ 7. Моделирование КСЗИ. Дает структурно-функциональное, информационное, кадровое построение КСЗИ. 8. Проектирование и внедрение КСЗИ; 9. Управление КСЗИ. Процессы управления: принятие решения, планирование, эффективность вырабатываемых решений. Оптимальный вариант противодействия угрозы. 10. Планирование КСЗИ (Стратегическое и организационное). Детализация выбранного решения, какие средства, ресурсы необходимы. 11. Управление в ЧС 12. Аудит и контроль эффективности КСЗИ. Решение дальнейших задач службы, специалистов. Аудит проводится постоянно. Оценка выполнения требований.
Сущность и назначение КСЗИ.
КСЗИ - система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации.
Проблема обеспечения нужного уровня ЗИ – сложная задача, требующая для своего решения применения комплекса специальных средств и методов по ЗИ.
Комплексный (системный) подход к построению любой системы включает в себя: 1. Изучение объекта внедряемой системы; 2. Оценку угроз безопасности объекта; 3. Анализ средств, которыми будем оперировать при построении системы; 4. Оценку экономической целесообразности; 5. Изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности; 6. Возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.
Комплексный подход — это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задача – оптимизация всей системы.
Перед созданием системы следует определить: 1. Входные элементы (угрозы безопасности, возможные на данном объекте); 2. Ресурсы 3. Окружающая среда; 4. Назначение и функции (должна быть цель, подцели) 5. Критерий эффективности.
Назначение КСЗИ: 1. Комплексные решения объединяют в одно целое локальные СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, например, виды защиты информации (правовая, организационная, инженерно-техническая).
2. Комплексные решение обусловлены назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Надежность защиты зависит не только от составляющих системы, но и от их полноты. При этом учитываются возможные угрозы для информации, охватываются все необходимые объекты защиты. Используются все методы, средства и ресурсы защиты. Осуществляются все вытекающие из целей мероприятия. 3. При комплексном подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите.
Значимость комплексного подхода к ЗИ состоит: 1. В интеграции локальных систем защиты; 2. В обеспечении полноты всех составляющих системы защиты; 3. В обеспечении всеохватности ЗИ.
Методологические основы организации КСЗИ.
Комплексный подход охватывает основные принципы (требования, правила, установки) и рекомендации по обеспечению ЗИ на предприятии, а также методологию построения КСЗИ которая предусматривает следующие процедуры: 1. Выявление сведений, составляющих закрытую информацию (по отдельным структурным подразделениям и в целом за предприятие); Формирование списка лиц и организаций, допускаемых к охраняемой информации (также выявление злоумышленников; 2. Формирование концепции ИБ (ЗИ предприятия); 3. Принятие решения по комплексной ЗИ (на основе принятой концепции по ЗИ); 4. Оценка и анализ информационных угроз и информационных рисков; 5. Оценка уязвимости защищаемых информационных ресурсов (процессов); 6. Формирование облика типового нарушителя для КСЗИ (как правило рассматриваются организации-нарушители); 7. Управление комплексной ЗИ (создание службы ЗИ и ответственных структурных подразделений по ЗИ); 8. Обеспечение ЗИ в ЧС; 9. Планирование обеспечения ЗИ на предприятии.
Непрерывный цикл создания СЗИ: 1. Внедрение и организация использования выбранных мер, способов и средств защиты 2. Осуществление контроля целостности и управление системой ЗИ 3. Определение информации подлежащей защите 4. Оценка уязвимостей и рисков информации при имеющемся множестве угроз и каналов утечки 5. Выявление потенциально возможных угроз и каналов утечки 6. Определение требований к системе защиты 7. Выбор средств ЗИ и их характеристик.
Научно-методологические основы: 1. Фундаментальные науки: а) теория систем б) общие законы. 2. Прикладные научно-методологические науки: а) конвенция управления б) методы моделирования.
Факторы, влияющие на организацию комплексной системы защиты информации.
Факторы общего характера.
1.Быстро развивающаяся и приобретающая новые качества информационно-коммуникационная инфраструктура современных предприятий;
2.Трансформация знаменитой экономической формулы "деньги-товар-деньги" в новую формулу "деньги-информация-товар-информация-деньги";
3.Зависимость от уровня защищенности информационно-телекоммуникационной инфраструктуры состояния основных элементов систем обеспечения функционирования предприятий;
4.Представительный арсенал видов и способов дестабилизирующего воздействия на информацию, а также способов ее злоумышленного использования.
Внутренние факторы.
1.Организационно-правовая форма предприятия и виды тайн, подлежащих защите.
2.Характер основной деятельности (НИР, ОКР, производство, торговля, услуги).
3.Перечень защищаемых сведений и количество носителей.
4.Степень конфиденциальности и ценность информации.
5.Структура и территориальное расположение предприятия.
6.Режим функционирования.
7.Уровень автоматизации средств обработки информации.
8.Уровень защищенности предприятия на момент начала работ.
Внешние факторы
1.Экономическая обстановка в регионе.
2.Степень развития рыночных отношение и уровень конкурентной борьбы.
3.Криминальная обстановка в регионе.
Психологические факторы.
1.Психологическая готовность руководства к расходам на защиту информации.
2.Отсутствие понимания необходимости защиты информации у руководителей среднего звена и персонала.
3.Противостояние служб АСОД и СБ.
4.Личные амбиции и взаимоотношения руководителей среднего звена.
5.Низкая квалификация специалистов по защите информации и сотрудников, работающих с КИ.
Факторы, способствующие созданию эффективных систем защиты.
1.Наличие опыта организации защитных процессов по отношению к традиционным и автоматизированным технологиям ее обработки.
2.Наличие эффективных научных и практических разработок способов и средств защиты информации по всем основным направлениям (правовому, инженерно-техническому, программному, криптографическому, организационному).
3.Наличие развитой системы подготовки, переподготовки и повышения квалификации кадров в сфере защиты информации.
Характер и степень влияния различных факторов на комплексную систему защиты информации.
Практика показывает, что можно выделить из всего перечня факторов порядка 17 наименований и которые могут принимать одно из 4 возможных значений, при этом все указанные факторы (17 штук) можно объединить в виде 5 классов (групп) – определяющих факторов.
Наименование группы факторов: (создается виде таблицы)
Обусловленная характером обрабатываемой информации
Степень конфиденциальности (очень высокая степень, высокая степень, средняя, не высокая)
Объемы обрабатываемой информации
Интенсивность обработки информации
Обусловленная архитектурой объекта защиты
Геометрические размеры объекта
Территориальная распределенность объекта защиты
Структурированность объекта защиты
Условия функционирования объекта защиты
Расположенность в населенном пункте
Расположение на территории предприятия
Обустроенность объекта защиты
Обусловленные технологии обработки информации
Масштаб обработки
Стабильность информации
Доступность информации
Структурированность информации
Обусловленность организации работы с закрытой информацией
Общая постановка целей, подготовка кадров и т.д. эта группа характеризует организационную защиту информации
Влияние форм собственности предприятия на особенности КСЗИ
Под формой собственности понимается законодательное урегулирование имущественных отношений, т.е. закрепление имущества предприятия за определенным собственником.
Общероссийским классификатором форм собственности (1999) рассматриваются следующие виды собственности:
Российская собственность (государственная, федеральная, субъектов РФ, муниципальная, частная и др. формы собственности).
Иностранная собственность (иностранная фирма).
Совместная российская и иностранная собственность (совместные предприятия).
Смешанная российская собственность с долей государственной собственности.
Указанные формы собственности определяют виды защищаемой информации и особенности ее защиты.
Влияние организационно-правовой формы предприятия на особенности КСЗИ
Общероссийским классификатором рассматриваются следующие организационно-правовые формы:
Юридические лица, которые являются коммерческими организациями:
Хозяйственные товарищества и общества
Полные товарищества
Общества с ограниченной ответственностью
Акционерные общества (открытые или закрытые)
Производственные кооперативы
Крестьянские (фермерские) хозяйства
Унитарные предприятия
Дочерние унитарные предприятия
Юридические лица, которые являются не коммерческими организациями:
Потребительские кооперативы
Общественные и религиозные организации
Различные фонды
Учреждения
Государственные корпорации
Некоммерческие партнерства
Различные объединения, ассоциации и союзы
и т.д.
Организация без права юридического лица:
Финансо-промышленные группы
Простые товарищества
Представительства и филиалы
Индивидуальные предприниматели и другие
Организационно-правовые формы предприятия определяют виды защищаемой информации и особенности защиты их.
Виды деятельности предприятий и их влияние на КСЗИ
По видам деятельности предприятия классифицируются на:
Производственные предприятия;
Предприятия, осуществляющие услуги;
Торговые предприятия;
Добывающие предприятия;
Перерабатывающие предприятия;
Транспортные предприятия
и т.д.
Также целесообразно рассмотреть классификацию КСЗИ по типу производственной кооперации, т.е. бывают:
Замкнутые предприятия – конечный продукт производят без участия сторонних предприятий;
Предприятия-соисполнители – которые представляют часть конечной продукции головному предприятию;
Предприятия-исполнители – предприятие производит конечный продукт в кооперации с предприятиями-соисполнителями.