Общие алгоритмы создания системы защиты объектов эвт

Комплексность применения всех методов и средств в создании защиты ведет к необходимости реализации вопроса безопасности и защиты информации на объектах ЭВТ. На всех этапах жизненного цикла, в том числе и при вводе объекта в эксплуатацию, алгоритм создания защиты объектов предполагает выполнения ряда этапов:

1) Выполняя требования комплексного подхода к построению системы защиты объектов ЭВТ и АС в целом необходимо предусматривать мероприятия по защите информации от НСД к ней. С этой целью на первом этапе построения системы защиты осуществляется определение класса защищенности самой АС, а также и средств вычислительной техники на её объекте.

2) Категорирование – результаты классификации АС и категорирования средств вычислительной техники оформляются актами, предварительно производятся оценки выполнения требований показателя защищенности от НСД как к средствам вычислительной техники, так и к самой АС. Категорированию объектов ЭВТ подлежат все действующие и проектируемые объекты, на которых обрабатывается секретная информация или используются секретные алгоритмы или программы. Результаты категорирования оформляются актом категорирования объекта ЭВТ и протоколами определения времени обработки информации, а также определения условий расположения объекта ЭВТ.

3) Характеризуется тем, что для проведения работ по защите объектов ЭВТ. В соответствии с присвоенной ему категорией и составом средств выбираются соответствующие специальные требования и рекомендации по защите. После этого проводится обследование объекта с целью проверки правил использования, выбором спец. требований и рекомендаций. Анализ структуры объекта защиты – определяются основные функции и обще назначение объекта ЭВТ, выявляются вероятные каналы утечки информации за счет ПЭМИН (побочного электромагнитного излучения и наводки). Анализируются данные нормативно – технической, эксплуатационной документации, относящейся к конкретному объекту ЭВТ по вопросам технического, программного и информационного обеспечения. Исследуется помещение объекта, оборудование систем электропитания рабочего, защитного и измерительного приземления.

При необходимости может проводиться инструментальная проверка с целью определения или уточнения требований по защите с учетом реальных условий эксплуатации объекта ЭВТ. На этом же этапе осуществляется и анализ потенциальной стратегии нападения нарушителя на объект ЭВТ и информацию, то есть несанкционированного действия пользователя системы.

Планирование мероприятий по обеспечению информационной безопасности объекта

Планомерным поступательным условием стабильного бизнеса является стабильная деятельность составляющих его производственных объектов – предприятий, финансовых учреждений, офисов. Стабильность работы обеспечивается совокупностью множества факторов, в том числе она невозможна без надежной защиты происшествий или злонамеренных действий, которые могут повлечь за собой крупные убытки, или привести к более серьезным последствиям, например, к полному краху всей деловой структуры. В настоящее время отсутствует единая система безопасности предпринимательства, поэтому руководителю любой организации приходится самостоятельно решать сложную задачу обеспечения своей экономической и информационной безопасности с ограниченными финансовыми затратами, но на необходимом уровне защиты. От решения этих вопросов никуда не уйти, поэтому руководствующее звено должно понимать всю сложность и многогранность стоящей перед ним проблемы. Основной принцип её решения заключается в том, что информационная защита объекта должна быть обеспечена по всему спектру гипотетических угроз. даже одно слабое звено в системе безопасности, возникающее в результате какого-либо изъяна в её организации, не позволяет прочим звеньям в нужный момент противостоять возникшим угрозам, даже в случае значительного усиления их защитных свойств. Неполноценная система – это во многом напрасно потраченные деньги. Защита каждого объекта, а также подходы к её реализации строго индивидуальны. Обеспечение информационной безопасности предполагает проведение комплекса организационных технических мероприятий, направленных на обнаружение, отражение и ликвидацию различных видов возможных информационных угроз. Это требование влечет за собой необходимость выполнения целого ряда работ по формированию политики безопасности, проведению анализа рисков и составлению плана защиты. Решение перечисленных задач осуществляется на основе проекта обеспечения безопасности объекта.