Принципы организации и этапы разработки комплексной системы защиты информации
Информация - Компьютеры, программирование
Другие материалы по предмету Компьютеры, программирование
ества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу.
Принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением.
Принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты.
Принцип персональной ответственности за защиту информации требует, чтобы каждое лицо персонально отвечало за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную) или иную ответственность.
Принцип наличия и использования всех необходимых сил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней руководства пред приятия и специальной службы защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организационных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, включая технические средства защиты.
Принцип превентивности принимаемых мер по защите информации предполагает априорное опережающее заблаговременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.
Среди рассмотренных принципов едва ли можно выделить более или менее важные. А при построении КСЗИ важно использовать их в совокупности.
4. Основные требования, предъявляемые к КСЗИ
Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:
она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;
она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;
она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;
она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;
она должна быть вмонтированной в технологические схемы сбора, хранения, обработки, передачи и использования информации;
она должна быть компонентно, логически, технологически и экономически обоснованной;
она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;
она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;
она должна быть непрерывной;
она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.
Таким образом, обеспечение безопасности информации - непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:
безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;
никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;
никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.
5. Содержательная характеристика этапов разработки КСЗИ
При создании КСЗИ в КС предлагается следующий порядок работ:
) Обследование информационно-коммуникационной системы, категорирование информационных ресурсов и разработка концепции информационной безопасности. Т.е. необходим глубокий и детальный анализ структура объекта защиты и условий его функционирования, а также категории обрабатываемой информации. На этом этапе изучается технология обработки данных, принятая в организации и разрабатываются документы, необходимые для регламентации процесса работы пользователя в КС, в которых представляется:
описание технологии обработки данных,
описание угроз с оценкой вероятности их появления и возможного ущерба,
порядок взаимодействия подразделений организации для обеспечения безопасности,
рекомендации по совершенствованию системы защиты,
организационно-распорядительные документы, регламентирующие деятельность пользователей и обслуживающего персонала КС.
По результатам обследования разрабатывается концепция информационной безопасности. Донный документ определяет