Методика построения комплексной системы защиты информации в организации

 

 

 

2.3. Содержательная характеристика этапов разработки КСЗИ

 

При создании КСЗИ в КС предлагается следующий порядок работ:

Обследование информационно-коммуникационной системы, категорирование информационных ресурсов и разработка концепции информационной безопасности. Т.е. необходим глубокий и детальный анализ структура объекта защиты и условий его функционирования, а также категории обрабатываемой информации. На этом этапе изучается технология обработки данных, принятая в организации и разрабатываются документы, необходимые для регламентации процесса работы пользователя в КС, в которых представляется:

• описание технологии обработки данных,
• описание угроз с оценкой вероятности их появления и возможного ущерба,
• порядок взаимодействия подразделений организации для обеспечения безопасности,
• рекомендации по совершенствованию системы защиты,
• организационно-распорядительные документы, регламентирующие деятельность пользователей и обслуживающего персонала КС.

По результатам обследования разрабатывается концепция информационной безопасности. Данный документ определяет общую систему взглядов в организации на проблему защиты информации и пути решения этой проблемы с учетом накопленного опыта и современных тенденций развития средств и способов защиты.

 Создание службы защиты информации. Служба защиты информации в структуре организации функционирует как специальное подразделение, обеспечивающее разработку правил эксплуатации КС, определяющее полномочия пользователей по доступу к ресурсам системы, осуществляющее административную поддержку КСЗИ (настройку, контроль и оперативное реагирование на сигналы о нарушениях правил доступа, анализ журналов регистрации событий и т.д.).

Формирование политики безопасности и разработка организационно-распорядительных документов. Политика безопасности КС является частью общей политики безопасности организации. Для каждой КС политика безопасности информации является уникальной. Она должна содержать следующие положения:

• организационные меры по обеспечению безопасности;
• классификация и принципы управления информационными ресурсами;
• безопасность персонала;
• физическая безопасность;
• перечень составляющих информационной безопасности;
• управление коммуникациями и процессами;
• контроль доступа;
• разработка и техническая поддержка вычислительных систем.

Разработка технологии защиты и определение требований к составу средств защиты. На этом этапе производится:

• интеграция в единый комплекс разнородных средств и механизмов защиты и централизованное администрирование механизмов защиты;
• определение уровней доступа объектов, прав доступа пользователей к объектам КС и правил разграничения доступа;
• формирование правил реагирования на угрозы информационным ресурсам;
• оперативное оповещение администратора безопасности о попытках нарушения политики безопасности;
• регистрация действий пользователей в защищенных журналах для последующего анализа;
• мониторинг состояния защищенности информационных ресурсов;
• контроль целостности программно-технической среды КС.

Выбор, приобретение, установка и настройка средств защиты.

Обучение персонала работе со средствами защиты и правилам организационного обеспечения безопасности.

Проведение государственной экспертизы КСЗИ и ввод ее в эксплуатацию. Перед вводом в эксплуатацию необходимо проведение опытной эксплуатации КСЗИ в следующем порядке:

• опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации;
• разработка программы и методики приемо-сдаточных испытаний;
• приемо-сдаточные испытания.

По результатам приемо-сдаточных испытаний система вводится в эксплуатацию.

Эксплуатация системы.

Постоянный мониторинг состояния защищенности информационных ресурсов и выработка предложений по ее совершенствованию. Подразумевается периодический пересмотр следующих положение политики безопасности:

• эффективность политики, определяемый по характеру, числу и воздействию зарегистрированных инцидентов, касающихся безопасности;
• стоимости средств обеспечения безопасности на показатели эффективности функционирования КС;
• влияние изменений на безопасность технологии

 

 

Заключение

 

Решение вопросов защиты данных в современных информационных системах будет успешным только при условии использования комплексного подхода к построению системы обеспечения безопасности информации.

Важную роль в создании комплексного подхода к построению системы обеспечения безопасности информации непосредственно играют принципы и этапы разработки КСЗИ.

Начинать работу по организации КСЗИ необходимо с выявления информационных ресурсов предприятия, подлежащих защите. Далее — провести оценку возможного ущерба от утечки данных, подлежащих защите, и классифицировать информацию по степеням важности. Затем определить все виды носителей информации, требующих защиты и возможные угрозы. Учитывая именно эти (и еще ряд других) факторы, необходимо определить состав разрабатываемой системы.

КСЗИ представляет собой действующие в единой совокупности законодательные, организационные, технические и другие меры, обеспечивающие защиту информации. Связующим звеном в этой системе является управляющий орган (например, отдел по ЗИ), который может быть представлен как подразделением, осуществляющим руководство, так и одним сотрудником, отвечающим за эту деятельность.

И наконец, никакую систему защиты нельзя считать абсолютно надежной, поэтому необходимо осуществлять постоянный мониторинг и развитие функционирующей на предприятии системы защиты информации.

 

 

 

Список литературы

 

1. Гришина Н.В. Организация комплексной системы защиты информации.
2. [Электронный документ], (http://www.renom.ru/production.htm)
3. [Электронный документ], (http://www.bnti.ru/index.asp?tbl=04.01.06.)
4. [Электронный документ], (http://www.cbi-info.ru)