КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Создание системы обеспечения информационной безопасности наиболее целесообразно рассматривать одновременно с созданием ИТКС
|
|
|
|
Ключевые системы информационной инфраструктуры.
Система обеспечения информационной безопасности
Как видно из вышесказанного, для нейтрализации угроз информационной безопасности ИТКС необходимо в первую очередь ликвидировать существующие уязвимости в системе и предотвратить появление новых.
Выполнение данной задачи решается созданием системы обеспечения информационной безопасности, которая представляет собой механизм по реализации приемов и способов по защите информации в ИТКС путем скоординированной деятельности элементов этой системы.
Создание системы предполагает комплексный поэтапный подход к ее построению. Такой подход предусматривает создание защищенной среды для информации и технологий, объединяющей разнородные меры противодействия угрозам: правовые, организационные, программно-технические, проводимые во время всех без исключения этапов создания и работы системы. Указанные меры, объединенные наиболее рациональным способом в единый целостный механизм позволяют гарантировать в рамках реализуемой политики безопасности определенный уровень защищенности ИТКС. Необходимость комплексного подхода для создания эффективной защиты обуславливается еще и тем, что не существует универсального способа защиты от какого-либо вида угроз. Причем наиболее эффективной защитой будет служить многоуровневая система интегрированных технологий, которая позволяет реагировать заблаговременно, а не постфактум.
При этом рекомендуется различать следующие стадии:
а) предпроектная стадия, включающая предпроектное обследование создаваемой ИТКС, разработку аналитического обоснования необходимости создания системы защиты и технического (частного технического) задания на ее создание;
|
|
|
б) стадия проектирования (разработки проектов), включающая разработку средств защиты в составе ИТКС;
в) стадия ввода в эксплуатацию системы обеспечения информационной безопасности, включающая ее опытную эксплуатацию и приемо-сдаточные испытания, а также аттестацию на соответствие требованиям безопасности информации.
На самой первой, предпроектной стадии, выполняются в основном организационные мероприятия, а именно:
а) производится классификации информации с точки зрения требований безопасности;
б) определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта, производится оценка рисков;
в) определяются конфигурация и топология ИТКС в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри системы, так и вне ее;
г) определяются технические средства и системы, предполагаемые к использованию в разрабатываемой системе, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
д) привлекаются специалисты для проведения работ по проектированию и наладке системы
е) определяются режимы обработки информации на ИТКС в целом, в разрабатываемой системе и ее отдельных компонентах;
ж) производится категорирование системы;
з) определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
и) определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования системы.
В результате проведения данных мероприятий можно не только выявить и проанализировать возможные пути реализации угроз безопасности, но и оценить вероятность и ущерб от их реализации, а также провести силами специалистов оценку материальных, трудовых и финансовых затрат на разработку и внедрение средств защиты, ориентировочные сроки разработки и внедрения средств защиты.
|
|
|
Следующая стадия – проектирования и разработки средств защиты в составе ИТКС.
На этом этапе осуществляются такие мероприятия, как:
а) строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
б) разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
в) закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
г) закупка сертифицированных технических, программных и программно-технических средств защиты и их установка;
д) обеспечение участия специалистов в работе по проектированию системы, при необходимости – их обучение;
е) разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации средств защиты в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
ж) организация охраны и физической защиты объекта;
з) разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой информации;
и) определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств защиты, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации системы;
к) разработка эксплуатационной документации на средства защиты, а также организационно-распорядительной документации по информационной безопасности (приказов, инструкций и других документов);
л) выполнение инсталляции прикладных программ в комплексе с программными средствами защиты информации;
м) выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.
На данном этапе большое значение будет иметь разработка организационно-распорядительных документов, дающих необходимую правовую базу формируемым службам безопасности и подразделениям по защите информации для проведения всего спектра защитных мероприятий, взаимодействия с внешними организациями, привлечения к ответственности нарушителей и т. п. К числу таких документов можно отнести Концепцию информационной безопасности, руководство по защите информации, должностные инструкции, положение о категорировании ресурсов ИТКС, разделы в положениях об отделах и подразделениях, затрагивающие вопросы информационной безопасности и пр.
|
|
|
На стадии ввода в эксплуатацию системы необходимо предусмотреть выполнение следующих мероприятий:
а) опытную эксплуатацию средств защиты в комплексе с другими техническими и программными средствами системы в целях проверки их работоспособности в составе ИТКС и отработки технологического процесса обработки (передачи) информации;
б) приемо-сдаточные испытания системы обеспечения информационной безопасности;
в) подбор кадров, расстановку, обучение и переподготовку имеющегося персонала;
г) аттестацию системы по требованиям безопасности информации.
На данном этапе дается общая оценка проведенным работам, а также определяются необходимость проведения дополнительных работ по совершенствованию системы в случае обнаружения возможных неполадок и недоработок. Только после всего этого выполнения проводится аттестация системы. Одновременно с этими работами проводится подбор, распределение специалистов, уточнение должностных обязанностей. При необходимости осуществляется повышение квалификации и обучение сотрудников.
|
|
|
|
Дата добавления: 2014-01-06; Просмотров: 492; Нарушение авторских прав?; Мы поможем в написании вашей работы!