Составление и реализация плана защиты

На основе анализа риска строится функциональная схема системы защиты информации, основанная на задачах последней, а также предъявляемых к ней требований с учетом специфики конкретного объекта. Данная схема вместе с политикой безопасности, ответственности персонала, порядком ввода в действе средств защиты, планом их размещения и модернизации составляет план защиты. Элементы системы защиты выбираются путем сравнительного анализа технических и экономических показателей, предлагаемых на рынке средств защиты, которые размещаются на объектах в строгом соответствии с разработанной ранее схемой.

Общие затраты на обеспечение информационной безопасности объекта согласно предъявленным требованиям о защищенности определяются в спецификации средств реализации плана защиты информации. Надо учитывать, что прямое сокращение рекомендуемых средств защиты неминуемо приведет к определенным брешам в системе безопасности. В случае недостатка средств для полноценной реализации плана защиты надо либо снижать требования к защищенности объекта, либо оговаривать допустимые затраты на его защиту перед началом работы по обследованию.

Внедрение и эксплуатация системы защиты требует организационно-технической и организационно-правовой правовой поддержки. Такая поддержка включает в себя разработку соответствующих нормативных документов, управление средствами защиты, их администрирование и контроль за правильностью эксплуатации, выявление попыток и фактов НСД к ИР, поддержание непрерывности процесса обработки информации. В связи с тем, что обработка информации на объекте на объекте осуществляется по децентрализованному принципу, управление системой защиты также не может быть возложено исключительно на службу информационной безопасности. Определенная часть функций, присвоение идентификаторов пользователям, мониторинг функционирования комплексных систем, анализ регистрационных журналов и ряд других целесообразно возложить на специально назначенных сотрудников тех подразделений, в которых выделяется обработка критической информации. План защиты требует ежегодного пересмотра с учетом изменяющейся внешней обстановки.

Следует отметить, как и всякая квалифицированная работа, данная задача требует участия в ней специалистов, имеющих соответствующую профессиональную подготовку и опыт.

Служба безопасности. Создание концепции защиты.

Основные положения

Во всех своих действия и делах любой объект подчинен общему принципу «Выживай». Наградой за действие, способствующее выживанию, является стабилизация ли увеличение прибыли. Наказанием за разрушительное действие (внутреннее или внешнее) становится уменьшение прибыли или прекращение коммерческой деятельности. Выживание любого объекта защиты зависит от двух составляющих: 1) экономической деятельности; 2) экономической безопасности. Оптимальным решением любой проблемы, стоящей перед объектом защиты, является то, которое приносит максимальную пользу обеим составляющим. Возникает вопрос, что могло послужить оптимальной характеристикой выживания различных объектов? Они должны иметь фундаментальные основы, которые были бы неодинаковы у разных объектов. Поэтому между ними существует борьба за выживание, которая называется конкуренцией.

Таким образом, деятельность службы безопасности направлена на поддержание выживания объекта путем сохранения или получения максимальной прибыли за счёт минимизации ущерба от внешних и внутренних разрушительных воздействий. Это может достигаться только при активном противодействии внешним и внутренним угрозам безопасности, то есть формированию внешней и внутренней благоприятной атмосферы, безопасности коммерческой деятельности в условиях конкуренции.

Прежде чем приступить к созданию службы безопасности, надо определить объекты защиты, чьё уничтожение, модификация или несанкционированное использование может привести к потере прибыли. Определив объекты защиты, следует выявить среды их существования и возможные формы. Данный анализ позволяет определить множество угроз безопасности защищаемых объектов. Зная возможные угрозы, можно предположить частоту данных угроз, а затем выбрать адекватные средства защиты и методы защиты.

Предположенный алгоритм обусловлен тем, что в подавляющем числе случаев в процессе защиты присутствует 2 субъекта: нападающий и обороняющийся. Причем 2-й находится в состоянии неопределенности о возможных действиях первого в большей степени, так как он не является инициирующей стороной. Кроме того, процесс защиты ещё более осложняется наличием человеческого фактора с обеих сторон. Конечной целью создания системы защиты является разработка защищенных технологий, обеспечивающих заданный уровень защиты при минимальной стоимости средств и методов защиты для всех функциональных подразделений объекта защиты.

Проведем оценку угроз безопасности. Для того, чтобы риск в деятельности объекта из-за внешней и внутренней обстановки был бы минимальным, необходимо выполнить оценку степени возможных преднамеренных и непреднамеренных угроз, которая должна производиться из учета следующих факторов: 1) Возможного ущерба, вызванного действиями угрозы; 2) использование результата отечественной мировой статистики; 3) Внешней и внутренней обстановки; 4) Результатами собственной статистики. Определенная объективность в оценке степени угроз может быть достигнута путем детального анализа функционировании объекта и использования независимой экспертной оценки экспертов специальных государственных учреждений или частных экспертных фирм. Существенным моментом является международная практика. Так, например, западноевропейские фирмы-производители оборудования для банковских систем защиты придерживаются следующих критериев оценки угроз, согласно которым для сейфовых комнат и хранилищ ценностей и компьютерной информации определены следующие приоритеты: 1) защита от чрезвычайных обстоятельств (пожары, стихийные бедствия, аварии, терроризм); 2) защита от несанкционированное проникновение в сейфную комнату (кража ценностей, информации).