Сдам Сам

ПОЛЕЗНОЕ


КАТЕГОРИИ







Принципы организации и этапы разработки комплексной системы защиты информации (КСЗИ) на предприятии





Технологическое и организационное построение КСЗИ

 

При создании КСЗИ ограниченного доступа защищать необходимо все компоненты информационной структуры предприятия - документы, сети связи, персонал и т.д.

Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты:

- создание службы защиты информации, включая подбор, расстановку и обучение ее персонала;

- создание основных нормативных и организационно-распорядительных документов, необходимых для организации КСЗИ.

КСЗИ предприятия целесообразно строить с учетом реальных угроз, в результате осуществления которых предприятию (или в отношении государственной тайны — государству) может быть нанесен ущерб.

В целях выработки и обеспечения единого понимания всеми должностными лицами предприятия проблем и задач по обеспечению защиты информации на предприятии разрабатывается Концепция защиты информации. Она должна определять цели и задачи КСЗИ, принципы и правовые основы ее организации и функционирования, виды угроз информации и ресурсы, подлежащие защите, а также основные направления разработки КСЗИ, включая правовую, организационную и инженерно-техническую защиту.

Примерное содержание разделов Концепции:

1. Характеристика предприятия как объекта защиты.

2. Цели КСЗИ.

3. Типовые задачи КСЗИ:

- прогнозирование;

- отнесение информации к категории ограниченного доступа;

- создание механизма и условий оперативного реагирования на угрозы и проявления негативных тенденций в функционировании;

- эффективное пресечение угроз на основе правовых, организационных и инженерно-технических мер и средств защиты информации;



- создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения на достижение стратегических целей предприятия.

4. Принципы создания и функционирования КСЗИ (типовые):

- комплексность;

- своевременность;

- непрерывность;

- активность;

- законность;

- обоснованность;

- экономическая целесообразность и сопоставимость возможного ущерба и затрат;

- специализация;

- взаимодействие и координация;

- совершенствование;

- централизация управления.

5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия.

6. Организация защиты информации на предприятии.

 

Организационное направление работ по созданию КСЗИ.

На основе концепции защиты информации на предприятии, законодательства и иных нормативных документов в информационной области, с учетом уставных положений и специфики деятельности предприятия определяется и разрабатывается комплект внутренних нормативных и методических документов, как правило, включающий:

• перечни сведений, подлежащих защите на предприятии;

• документы, регламентирующие порядок обращения сотрудников предприятия с информацией, подлежащей защите;

• положения о структурных подразделениях предприятия;

• документы, регламентирующие порядок взаимодействия предприятия со сторонними организациями по вопросам обмена информацией;

• документы, регламентирующие порядок эксплуатации автоматизированных систем предприятия;

• планы защиты автоматизированных систем предприятия;

• документы, регламентирующие порядок разработки, испытания и сдачи в эксплуатацию программных средств;

• документы, регламентирующие порядок закупки программных и аппаратных средств (в т.ч. средств защиты информации);

• документы, регламентирующие порядок эксплуатации технических средств связи и телекоммуникации.

Технология КСЗИ предусматривает взаимодействие и реализацию функций по ЗИ структурными подразделениями и должностными лицами предприятия:

• руководством предприятия, принимающим стратегические решения по вопросам ЗИ и устанавливающим (утверждающим) основные документы, регламентирующие порядок функционирования и развития КСЗИ, обеспечивающий безопасную обработку и использование защищаемой информации;

• подразделением защиты информации;

• подразделением, ведущим учет и хранение носителей защищаемой информации;

• подразделением, отвечающим за разработку или приобретение технических средств обработки защищаемой информации;

• подразделениями, отвечающими за обеспечение нормальной работы вычислительных средств, программных средств, средств телекоммуникации;

• подразделением, отвечающим за проведение проверок подразделений предприятия по вопросам соблюдения технологии;

• основными подразделениями предприятия, решающими задачи с использованием защищаемой информации.

 

Техническое направление работ по созданию КСЗИ.

Техническая составляющая КСЗИ — комплекс технических средств и технологий защиты информации при ее обработке, хранении и передаче.

Для реализации технического направления проводится сбор исходных данных для разработки технических предложений по оснащенности автоматизированной системы обработки, хранения и передачи информации средствами ЗИ, позволяющими реализовать требуемый уровень защищенности.

АС является составляющей информационной системы предприятия, поэтому подготовка технических предложений хронологически следует за разработкой общей концепции КСЗИ.

Подготовка технических решений проблемы соответствия параметров АС установленным требованиям защищенности (определяются в Концепции безопасности) возможна в двух направлениях:

• первоначальная разработка АС с учетом требований защищенности;

• встраивание механизмов защиты в уже существующую АС.

 


 

Принципы организации и этапы разработки комплексной системы защиты информации (КСЗИ) на предприятии

 

КСЗИ — сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Поэтому определение основных принципов КСЗИ позволит определить основные подходы к ее построению.

1. Принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов — другим государственным нормативным документам по защите.

2. В соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата которой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности.

3. Принцип обоснованности защиты информации заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой информации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу.

4. Принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением.

5. Принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты.

6. Принцип персональной ответственности за защиту информации требует, чтобы каждое лицо персонально отвечало за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную или иную ответственность.

7. Принцип наличия и использования всех необходимых правил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней руководства предприятия и специальной службы защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организационных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, включая технические средства защиты.

8. Принцип превентивности принимаемых мер по защите информации предполагает априорное опережающее заблаговременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.

Среди рассмотренных принципов едва ли можно выделить более, или менее важные. А при построении КСЗИ важно использовать их в совокупности.

По мнению ведущих специалистов в области защиты информации, в настоящее время можно выделить три различных концептуальных подхода к проектированию систем защиты:

1. «Продуктовый». Данный подход характерен для компаний-производителей средств защиты информации, занимающихся, кроме того, и разработкой законченных проектов в области безопасности.

2. «Комплекс продуктов». Данный подход используют компании-поставщики решений в области защиты информации. Понимая отсутствие единого продукта, защищающего от всех угроз, компания предлагает комплексное решение проблемы. Это решение состоит из комбинации продуктов разных производителей, каждый из которых предназначен для решения какой-либо задачи. Этот подход наиболее привлекателен для небольших компаний, которые не могут позволить себе покупать дорогие услуги компаний-интеграторов.

3. «Комплексный». При двух ранее рассмотренных подходах окончательное решение о построении КСЗИ принимает заказчик, который в общем случае не является экспертом в области информационной безопасности, поэтому и вся ответственность за принятые решения лежит на нем. Иногда, хотя и достаточно редко, встречается и третий подход, когда ответственность за принимаемые решения по защите информации возлагает на себя компания-интегратор. При этом она реализует единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.

Основными этапами работ по созданию КСЗИ являются:

1. Обследование организации.

Услуги по обследованию организации могут достаточно сильно различаться у разных поставщиков услуг. Это может быть анализ защищенности вычислительной системы, обследование вычислительной системы (гораздо более глубокий уровень детализации), обследование организации в целом, т.е. охват «бумажного» документооборота и бизнес процессов организации с точки зрения информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п.

На стадии обследования организации:

• устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой КСЗИ, оценивается уровень конфиденциальности и объемы;

• определяется наличие аттестованных помещений, средств защиты от утечки по техническим каналам;

• определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;

• изучаются принятые в организации правила бумажного документооборота;

• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;

• определяются мероприятия по обеспечению режима секретности на стадии разработки.

2. Проектирование системы защиты информации.

При проектировании системы информационной безопасности могут быть охвачены как все три уровня защиты — организационный, технический и программно-аппаратный, так и исключительно технический уровень. Это два принципиально разных типа работ и по сути, и по объемам, так как первый предполагает разработку концепции (политики) информационной безопасности, нормативно-распорядительных документов, различных регламентов и только потом — технического проекта.

3. Внедрение системы защиты информации.

Заказчику выгодно использовать подрядную организацию и не иметь проблем с единовременным привлечением большого количества специалистов по информационной безопасности, контролем качества выполняемых работ, выработкой единой политики безопасности.

4. Сопровождение системы информационной безопасности.

Оперативное реагирование на внештатные ситуации, периодическое обновление специального ПО, установка необходимых «заплат» на общесистемное ПО, отслеживание появления новых атак и уязвимостей.

5. Обучение специалистов по защите информации.

Обучение руководителей служб безопасности, руководителей ІТ-подразделений, пользователей средств защиты.

 


 









Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:


©2015- 2019 zdamsam.ru Размещенные материалы защищены законодательством РФ.