Принципы организации и этапы разработки комплексной системы защиты информации
Информация - Компьютеры, программирование
Другие материалы по предмету Компьютеры, программирование
общую систему взглядов в организации на проблему защиты информации и пути решения этой проблемы с учетом накопленного опыта и современных тенденций развития средств и способов защиты.
) Создание службы защиты информации. Служба защиты информации в структуре организации функционирует как специальное подразделение, обеспечивающее разработку правил эксплуатации КС, определяющее полномочия пользователей по доступу к ресурсам системы, осуществляющее административную поддержку КСЗИ (настройку, контроль и оперативное реагирование на сигналы о нарушениях правил доступа, анализ журналов регистрации событий и т.д.).
) Формирование политики безопасности и разработка организационно-распорядительных документов. Политика безопасности КС является частью общей политики безопасности организации. Для каждой КС политика безопасности информации является уникальной. Она должна содержать следующие положения:
организационные меры по обеспечению безопасности;
классификация и принципы управления информационными ресурсами;
безопасность персонала;
физическая безопасность;
перечень составляющих информационной безопасности;
управление коммуникациями и процессами;
контроль доступа;
разработка и техническая поддержка вычислительных систем.
) Разработка технологии защиты и определение требований к составу средств защиты. На этом этапе производится:
интеграция в единый комплекс разнородных средств и механизмов защиты и централизованное администрирование механизмов защиты;
определение уровней доступа объектов, прав доступа пользователей к объектам КС и правил разграничения доступа;
формирование правил реагирования на угрозы информационным ресурсам;
оперативное оповещение администратора безопасности о попытках нарушения политики безопасности;
регистрация действий пользователей в защищенных журналах для последующего анализа;
мониторинг состояния защищенности информационных ресурсов;
контроль целостности программно-технической среды КС.
) Выбор, приобретение, установка и настройка средств защиты.
) Обучение персонала работе со средствами защиты и правилам организационного обеспечения безопасности.
) Проведение государственной экспертизы КСЗИ и ввод ее в эксплуатацию. Перед вводом в эксплуатацию необходимо проведение опытной эксплуатации КСЗИ в следующем порядке:
опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации;
разработка программы и методики приемо-сдаточных испытаний;
приемо-сдаточные испытания.
По результатам приемо-сдаточных испытаний система вводится в эксплуатацию.
) Эксплуатация системы.
) Постоянный мониторинг состояния защищенности информационных ресурсов и выработка предложений по ее совершенствованию. Подразумевается периодический пересмотр следующих положение политики безопасности:
эффективность политики, определяемый по характеру, числу и воздействию зарегистрированных инцидентов, касающихся безопасности;
стоимости средств обеспечения безопасности на показатели эффективности функционирования КС;
влияние изменений на безопасность технологии
Заключение
Решение вопросов защиты данных в современных информационных системах будет успешным только при условии использования комплексного подхода к построению системы обеспечения безопасности информации.
Важную роль в создании комплексного подхода к построению системы обеспечения безопасности информации непосредственно играют принципы и этапы разработки КСЗИ.
Список литературы
1. Гришина Н.В. Организация комплексной системы защиты информации.