Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный индустриальный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Ларина Распознанно.doc
Скачиваний:
46
Добавлен:
17.09.2019
Размер:
552.45 Кб
Скачать
►Содержание►

Глава 2. Порядок построения и экономическое обоснование создания системы защиты информации

2.1. Этапы построения системы информационной безопасности предприятия

В коммерческих предприятиях право выбора мероприятий по обеспечению информационной безопасности принадлежит ее собственнику. При этом действующая в стране система правовых норм защиты информации должна оказывать методологическую помощь и правовую поддержку организации защитных меро­приятий.

Безопасность информации — это защита информации от слу­чайного или преднамеренного доступа лиц, не имеющих на это права, ее получения, раскрытия, модификации или разрушения. Реализация требований и правил по защите информации, под­держанию информационных систем в защищенном состоянии, эксплуатация специальных технических и программно-математи­ческих средств защиты и обеспечение организационных и науч­но-технических мер защиты информации, обрабатывающих ин­формацию с ограниченным доступом в непосредственных струк­турах, осуществляются службами безопасности информации.

Построение комплексной системы защиты информации на предприятии предполагает реализацию следующих этапов:

I. Проведение предварительного обследования состояния объекта и уровня организации защиты информации.

На этом этапе проводится анализ объекта защиты с выделе­нием следующих направлений: установление состава информа­ции, нуждающейся в защите; определение наиболее важных (кри­тических) элементов защищаемой информации; срок жизни кри­тической информации (время, необходимое конкуренту для реа­лизации добытой информации); определение ключевых элемен­тов информации (индикаторов), отражающих характер охраняемых сведений; проведение классификации индикаторов по функцио­нальным зонам (производственно-технологические процессы, сис­тема материально-технического обеспечения, подразделения

управления и т.д.), осуществление выбора и обоснование требова­ний ПО ищите информации на заданном объекте.

2. Ни тором папе выявляются потенциально возможные уг-р01Ы информации и вероятности их появления, определяется, ко­го Может чаинтересовать защищаемая информация; оцениваются Методы, используемые конкурентами для получения этой инфор­мации; определяются вероятные каналы утечки информации; раз-рйбятмппется система мероприятий по пресечению действий кон­курента.

На этом этапе определяется политика безопасности, допус­тимый степень риска, набор процедур и методов исключения не­санкционированного доступа к информационным ресурсам.

Разрабатываются специальные шкалы оценок допустимых потерь в натуральном и денежном эквивалентах. Это обусловлено тем, что на каждом предприятии существует своя граница «допус­тимости» потерь, определяемая ценностью информации, масшта­бами разработок, бюджетом и множеством других экономических, организационных, политических и этических факторов. Если поте­ри меньше, чем затраты, требуемые на разработку, внедрение и 'женлуатацию средств защиты, и если с точки зрения интересов 'жономической информационной системы возможный несанкцио­нированный доступ не приведет к существенным изменениям в ра­боте, то такой риск считается допустимым. Однако необходимо учитывать, что в большинстве случаев исключается даже незначи­тельная утечка информации, например, когда идет речь о содержа­нии конфиденциальной информации, связанной с анализом конъ­юнктуры рынка, новых технологий или оригинальных технических решений.

Одним из основных и весьма сложных вопросов создания СЗИ является разработка и принятие политики безопасности. Под политикой безопасности понимают комплекс законов, правил и практических рекомендаций, на основе которых строится управле­ние, защита и распределение критической информации. Политика безопасности должна охватывать все особенности процесса обра­ботки информации, определять поведение системы в различных си­туациях. Важным моментом является разработка механизмов обна­ружения попыток несанкционированного доступа к защищаемым ресурсам, которые могут базироваться на экспертных системах и

16

17

включать регистрацию, распознавание и обработку событий, свя­занных с доступом к информации, а также проверку в реальном масштабе времени соответствия всех условий доступа, принятых в концепции СЗИ и защиты данных.

  1. В рамках третьего этапа анализируется состояние постоян­но действующих подсистем обеспечения безопасности, в том числе таких, как физическая безопасность документации, надеж­ность персонала, безопасность используемых для передачи кон­фиденциальной информации линий связи и т.д.

  2. На основании проведенных аналитических исследований предыдущих трех этапов обосновываются задачи защиты инфор­мации, их классификации и определяются необходимые меры за­щиты, что составляет содержание работ четвертого этапа.

  3. На пятом этапе рассматриваются представленные предло­жения по всем необходимым мерам защиты, сравниваются полу­ченные результаты с требуемыми и анализируются стоимостные затраты на обеспечение безопасности объекта.

  4. Обосновывается структура и технология функционирова­ния комплексной системы защиты информации. Определяется со­став технического, математического, программного, информаци­онного и лингвистического обеспечения, нормативно-методичес­ких документов и организационно-технических мероприятий по защите информации.

  5. Определяются технико-экономические оценки разработан­ного проекта комплекса. На этом этапе оцениваются: надежность всех компонентов комплексной системы защиты информации и надежность выполнения функций защиты; живучесть системы защиты, экономическая оценка эффективности комплексной сис­темы защиты информации.

  6. Осуществляется отработка организационно-правовых и нормативно-методических вопросов защиты информации, разра­ботка правил выполнения процедур и мероприятий по защите ин­формации, определение прав и обязанностей подразделений и лиц, участвующих в работе комплексной системы защиты ин­формации. Установление правил и порядка контроля работы сис­темы защиты.

9. Внедрение системы защиты информации и доведение до персонала реализуемых мер безопасности.

18

Отпи включает непосредственно работы по внедрению и вво­ду СПИ в жсплуатацию, обучение и аттестацию персонала, даль­нейшее развитие и поддержку составных частей системы инфор­мационной безопасности, а также регулярное тестирование. Тести-роиание должно проводиться регулярно на протяжении всего жиз­ненного цикла СИЕ для выявления новых видов угроз, которые не были предусмотрены при разработке. На основе информации о но­вых угрозах и каналах утечки информации, модификации инфор­мационных и коммуникационных технологий должна проводиться саоевремсниая модификация и развитие отдельных компонентов или всей СЗИ.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности