Требования предъявляемые к ксзи

Комплексная система защиты информации

«Финансовая газета. Региональный выпуск», 2011, N 10

Актуальность проблемы, связанной с обеспечением безопасности информации, возрастает с каждым годом. Наиболее часто потерпевшими от реализации различных угроз безопасности являются финансовые и торговые организации, медицинские и образовательные учреждения. Если посмотреть на ситуацию десятилетней давности, то основной угрозой для организаций были компьютерные вирусы, авторы которых не преследовали каких-то конкретных целей, связанных с обогащением. Современные хакерские атаки стали более изощренными, организованными, профессиональными, разнообразными и, главное, имеющими конкретную цель, например направленными на хищение данных банковских счетов в конкретных банковских системах. Совершенствование сферы информационных услуг, особенно в сфере дистанционного банковского обслуживания, способствует развитию интеллекта киберпреступников.

Статистика подтверждает необходимость комплексной системы защиты информации (КСЗИ). В России, как и за рубежом, она обусловлена двумя во многом пересекающимися группами факторов: требованиями бизнеса и законодательства.

К требованиям бизнеса относятся:

минимизация рисков, связанных с утечками информации;

безопасность ключевых бизнес-процессов;

выполнение требований информационной безопасности в рамках договоров с контрагентами.

Должный уровень информационной безопасности организации обеспечивает дополнительную привлекательность в лице партнеров, заказчиков или инвесторов.

В части российского законодательства основным стимулом для развития информационной безопасности является Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (в ред. от 23.12.2010), требования которого распространяются практически на все российские организации. Для выполнения требований законодательства необходимо руководствоваться нормативно-методологической базой ФСТЭК России (в части, касающейся некриптографических методов защиты информации) и ФСБ России (в части, касающейся криптографических методов защиты информации), а также стандартом Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», который пока носит рекомендательный характер для финансовых организаций.

Распространение на российские организации требований международных стандартов информационной безопасности, как правило, имеет добровольный характер. Однако некоторые виды деятельности требуют обязательного выполнения международных стандартов, например стандарт PCI DSS является обязательным для выполнения банковскими организациями с собственным процессингом платежных карт.

Для построения комплексной системы защиты информации необходимо понимание руководством актуальности проблемы. Создание системы обычно закладывается и формулируется в документе «Политика информационной безопасности», доступность которого для каждого сотрудника — одно из многочисленных необходимых условий эффективного результата. Для разработки политики информационной безопасности следует провести подготовительную работу — выявить потребности бизнеса в области информационной безопасности (это первый этап построения системы). На этапе обследования к активному участию привлекаются руководители бизнес-подразделений, являющихся ключевыми с точки зрения критичности бизнеса. Результатом обследования становятся зафиксированные и формализованные потребности всех заинтересованных сторон в обеспечении информационной защиты.

Аудит и консалтинг в области информационной безопасности организации

Преимущество привлечения стороннего консалтинга заключается в том, что заказчик получает оценку независимых экспертов в области обеспечения информационной безопасности. Например, в процессе работы команды консультантов может быть выявлена ситуация, связанная с отсутствием должного уровня документирования процессов информационного обеспечения бизнеса. Без него бизнес может стать заложником служб IT-обеспечения. Это может произойти в случае сбоя в ключевой информационной системе, отсутствия плана аварийного восстановления и необходимых инструкций администраторов информационных систем. Самая банальная ситуация — увольнение IT-специалиста без передачи дел замещающему его специалисту в достаточном объеме.

Подразделения, желающие скрыть недостатки своей работы, могут использовать нерешенность организационных вопросов в качестве причины для отказа в предоставлении информации, поэтому для беспрепятственной работы внешних специалистов решать эти вопросы необходимо заблаговременно — подписание договоров о неразглашении, назначение рабочих групп из состава как организации-заказчика, так и исполнителя с четким разграничением обязанностей и полномочий, заблаговременное информирование привлекаемых подразделений.

Для подтверждения соответствия требованиям международных стандартов информационной безопасности организация должна пройти сертификационный аудит. При проведении сертификационных аудитов к консалтинговым компаниям должно предъявляться требование о наличии необходимого статуса, позволяющего выполнять такие работы. Например, для проведения сертификационного аудита на соответствие международному стандарту защиты процессинга платежных карт PCI DSS консалтинговая компания должна иметь статус QSA (Qualified Security Assessor), а для проведения сертификационного аудита на соответствие международному стандарту системы менеджмента/управления информационной безопасности ISO 27001 — статус партнерства BSI (British Standards Institution).

Сертификационный аудит, как правило, длится несколько дней, его результатом являются получение или продление соответствующего сертификата либо набор замечаний и рекомендаций по их устранению.

Подготовка к сертификационному аудиту — более длительный и сложный процесс, который может длиться месяцы или годы и требует взаимодействия бизнес-подразделений, служб IT-обеспечения, информационной безопасности и консалтинговой организации.

Предоставление услуг по защите информации, в соответствии с российскими стандартами и законами, подпадает под действие Федерального закона от 08.08.2001 N 128-ФЗ «О лицензировании отдельных видов деятельности» (в ред. от 29.12.2010), согласно которому организации, оказывающие услуги по защите информации, должны обладать соответствующими лицензиями и аттестатами, основными из которых являются (приведен далеко не полный перечень всех существующих лицензий):

лицензия ФСТЭК России на разрешение деятельности по технической защите конфиденциальной информации;

аттестат аккредитации органа по аттестации объектов информатизации ФСТЭК России;

лицензия ФСБ России на осуществление технического обслуживания шифровальных (криптографических) средств;

лицензия ФСБ России на распространение шифровальных (криптографических) средств.

Аттестация проводится для подтверждения выполнения требований ФСТЭК России или ФСБ России, аттестующим органом здесь может быть организация, имеющая соответствующую аккредитацию органа по аттестации (документ, подтверждающий этот статус, тоже называется аттестатом). Аттестат соответствия также выписывается для автоматизированной системы.

Сертификация по требованиям стандарта — процедура, подразумевающая получение организацией какого-либо международного статуса, например сертификата соответствия PCI DSS compliance или сертификата на соответствие системы менеджмента информационной безопасности требованиям международного стандарта ISO/IEC 27001:2005.

Во избежание путаницы необходимо обратить внимание на то, что требования сертификации в контексте российского законодательства распространяются на средства защиты информации. Так, сертификаты ФСТЭК России или ФСБ России распространяются на конкретное средство защиты, например антивирус или межсетевой экран, а сертификат ISO/IEC 27001:2005 — на организацию.

Сертифицированные специалисты

Ответ на вопрос о необходимости наличия в штате организации собственных специалистов по информационной безопасности однозначен — да, нужны. Внешний консалтинг и аутсорсинг не смогут решить все вопросы информационной безопасности. При помощи консалтинга можно выявить и формализовать потребности бизнеса, грамотно обосновать необходимость затрат, написать проекты организационно-распорядительной документации, запустить комплекс технических средств, организовать его техническое сопровождение. Но многие функции отдавать внешним специалистам по разным причинам неправильно, например такие, как информирование высшего менеджмента, защита бюджетов, проведение расследований инцидентов информационной безопасности, организация работы по обучению и информированию персонала, контроль за соблюдением норм информационной безопасности в его организационной части, аудит действий администраторов автоматизированных систем.

Более того, любая заинтересованная в обеспечении информационной безопасности организация должна иметь в штате подразделение информационной безопасности, которое должно подчиняться высшему руководству и быть независимым от других подразделений. Наличие в штате организации специалистов, имеющих соответствующее образование, предусмотрено и законодательством. Например, наличие собственных систем дистанционного банковского обслуживания с применением технологий электронной цифровой подписи, т.е. средств криптографической защиты информации, автоматически подпадает под Закон о лицензировании отдельных видов деятельности, в частности требуется лицензия ФСБ России на обслуживание шифровальных (криптографических средств), а данная лицензия, как и все остальные лицензии ФСТЭК России и ФСБ России, связанные с деятельностью по защите информации, предполагает штатных специалистов по информационной безопасности.

Читайте так же:  Регистрация ооо в магнитогорске

Требования предъявляемые к ксзи

Задачи и принципы организации КСЗИ. Основные задачи КСЗИ. Основные требования, предъявляемые к КСЗИ.

Основные задачи КСЗИ.

1. Задачи анализа – опр-е хар-к изучаемого объекта и целей его функционирования, а также целей организации системы защиты объекта и состава средств и затрат;

2. Задачи синтеза — проектирование архитектуры и технологических схем функционирования объекта и системы.

3. Задачи управления — поиск управляющих воздействий на параметры объекта и системы с целью поддержания их в требуемом состоянии.

Факторы, влияющие на организацию КСЗИ.

· существенные изменения и усложнение в организации ИТ;

· повышение значимости И-и, как общественного ресурса;

· большое разнообразие (арсенал) способов дестабилизирующего воздействия на И-ию, способов ее злоумышленного использования.

Дополняют их факторы внутреннего хар-ра:

· наличие богатого опыта организации защитных процессов по отношению к традиционным и автоматизированным технологиям ее обработки;

· наличие эф-ных научных и практических разработок средств ЗИ по всем основным направлениям (правовому, инженерно-техническому, программно-аппаратному, криптографическому, организационному)

· наличие развитой системы

· подготовки, переподготовки и повышения квалификации кадров в сфере ЗИ.

Принципы организации КСЗИ:

· принцип законности, который заключается в соответствии принимаемых мер законодательству РФ о защите И, а при отсутствии соответствующих законов по другим государственным нормативным документам по ЗИ.

· принцип полноты состава ЗИ, который заключается в том, что защите подлежит не только И содержащая ГТ, КТ или СТ, но и та часть СИ, утрата которой может нанести ущерб ее собственнику либо владельцу.

· принцип обоснованности ЗИ заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой И, вероятных экономических и иных последствий такой защиты, что в свою очередь позволяет расходовать средства на защиту только той И, утрата или утечка которой может нанести действительный ущерб ее владельцу.

· принцип персональной ответственности за ЗИ заключается в том, что каждое лицо персонально отвечает за сохранность и неразглашение вверенной ему защищаемой И, а за утрату или распространение такой И несет уголовную, административную или иную ответственность.

· принцип наличия использования всех необходимых сил и средств для защиты.

· принцип превентивности принимаемых мер по ЗИ, который заключается в опережающем заблаговременном принятии мер по защите И до начала ее разработки или при получении.

Основные требования, предъявляемые к КСЗИ .

КСЗИ — система полно и всесторонне охватывающая все процессы и факторы обеспечивающие безопасность защищаемой И.

Из назначения КСЗИ вытекают основные требования, которые должны к ней предъявляться:

1. Система должна быть привязана к целям и задачам ЗИ на конкретном предприятии.

2. Система должна быть целостной, а именно содержать все необходимые составляющие, иметь структурные связи между компонентами, обеспечивающими ее согласованное функционирование.

3. Система должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на БИ, и все виды, методы и средства защиты.

4. Система должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты.

5. Система должна быть вмонтированной в технологические схемы сбора, хранения, обработки, передачи и использования И.

6. Система должна быть компонентно, логически, технологически и экономически обоснованной.

7. Система должна быть реализуемой, обеспеченная всеми необходимыми ресурсами.

8. Система должна быть простой и удобной в эксплуатации и управлении.

9. Система должна быть непрерывной.

10. Система должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки И, условий защиты.

1.7. Основные требования, предъявляемые к комплексной системе защиты информации

Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

— она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;

— она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;

— она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;

— она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;

— она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;

— она должна быть компонентно, логически, технологически и экономически обоснованной;

— она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;

— она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;

— она должна быть непрерывной;

— она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации — непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:

— безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;:

— никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;

— никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.

2. Методологические основы комплексной системы защиты информации

2.1. Методология защиты информации как теоретический базис комплексной системы защиты информации

Главная цель создания СЗИ — достижение максимальной эффективности защиты за счет одновременного использования всех необходимых ресурсов, методов и средств, исключающих несанкционированный доступ к защищаемой информации и обеспечивающих физическую сохранность ее носителей.

Организация — это совокупность элементов (людей, органов, подразделений) объединенных для достижения какой-либо цели, решения какой-либо задачи на основе разделения труда, распределения обязанностей и иерархической структуры.

СЗИ относится к системам организационно-технологического (социотехнического) типа, т. к. общую организацию защиты и решение значительной части задач осуществляют люди (организационная составляющая), а защита информации осуществляется параллельно с технологическим процессами ее обработки (технологическая составляющая).

Серьезным побудительным мотивом к проведению перспективных исследований в области защиты информации послужили те постоянно нарастающие количественные и качественные изменения в сфере информатизации, которые имели место в последнее время и которые, безусловно, должны быть учтены в концепциях защиты, информации.

Постановка задачи защиты информации в настоящее время приобретает ряд особенностей: во-первых, ставится вопрос о комплексной защите информации; во-вторых, защита информации становится все более актуальной для массы объектов (больших и малых, государственной и негосударственной принадлежности); в-третьих, резко расширяется разнообразие подлежащей защите информации (государственная, промышленная, коммерческая, персональная и т. п.). Осуществление мероприятий по защите информации носит массовый характер, занимается этой проблемой большое количество специалистов различного профиля. Но успешное осуществление указанных мероприятий при такой их масштабности возможно только при наличии хорошего инструментария в виде методов и средств решения соответствующих задач. Разработка такого инструментария требует наличия развитых научно-методологических основ защиты информации.

Читайте так же:  Как оформить на песию

Под научно-методологическими основами комплексной защиты информации (как решения любой другой проблемы) понимается совокупность принципов, подходов и методов (научно-технических направлений), необходимых и достаточных для анализа (изучения, исследования) проблемы комплексной защиты, построения оптимальных механизмов защиты и управления механизмами защиты в процессе их функционирования. Уже из приведенного определения следует, что основными компонентами научно-методологических основ являются принципы, подходы и методы. При этом под принципами понимается основное исходное положение какой-либо теории, учения, науки, мировоззрения; под подходом — совокупность приемов, способов изучения и разработки какой-либо проблемы; под методом — способ достижения какой-либо цели, решения конкретной задачи. Например, при реализации принципа разграничения доступа в качестве подхода можно выбрать моделирование, а в качестве метода реализации — построение матрицы доступа.

Общее назначение методологического базиса заключается в

— формировании обобщенного взгляда на организацию и управление КСЗИ, отражающего наиболее существенные аспекты проблемы;

— формировании полной системы принципов, следование которым обеспечивает наиболее полное решение основных задач;

— формировании совокупности методов, необходимых и достаточных для решения всей совокупности задач управления.

Предмет нашего исследования — рассмотрение различных аспектов обеспечения безопасности социотехнической системы, характерным примером которой является современный объект информатизации.

Поэтому состав научно-методологических основ можно определить следующим образом:

— так как речь идет об организации и построении КСЗИ, то общеметодологической основой будут выступать основные положения теории систем;

— так как речь идет об управлении, то в качестве научно-методической основы будут выступать общие законы кибернетики (как науки об управлении в системах любой природы);

— так как процессы управления связаны с решением большого количества разноплановых задач, то в основе Должны быть принципы и методы моделирования больших систем и процессов их функционирования.

Состав научно-методологических основ комплексной системы защиты информации представлен на рис. 2.

Рис. 2. Состав научно-методологических основ КСЗИ

2.Принципы организации ксзи

1. Адаптируемость– способность к целенаправленному приспособлению при изменении структуры, технологических схем, условий функционирования предприятия, а также при изменении главных угроз.

2. Непрерывность– построение КСЗИ есть непрерывный процесс, а не одноразовый акт.

3. Комплексность– это использование всего арсенала средств защиты для блокирования главных угроз защищаемой информации по всем возможным каналам утечки, во всех структурных элементах производства, на всех этапах технологического цикла обработки информации.

4. Научная обоснованность– системное рассмотрение проблем, изучение, обобщение и применение научных знаний и передового практического опыта при создании СЗИ.

5. Концептуальное единство– построение КСЗИ должно рассматриваться и реализовываться на основе единой концепции защиты информации.

1. Адекватность– СЗИ должна строиться в строгом соответствии с требованиями к защите, которые определяются категорией объекта и факторами, влияющими на защиту. Уровень защиты должен быть адекватен угрозам.

2. Функциональная самостоятельность– СЗИ должна быть самостоятельной подсистемой АСОД и при осуществлении функций защиты не зависеть от других подсистем.

3. Минимизация предоставляемых прав– каждому пользователю и лицам из персонала предприятия должны предоставляться лишь те полномочия на доступ к ресурсам предприятия, которые действительно необходимы ему для исполнения обязанностей.

4. Полнота контроля– все процедуры обработки защищаемой информации должны быть под контролем системы защиты в полном объеме, причем результаты контроля должны документироваться.

5. Активность реагирования– СЗИ должна реагировать на любые попытки НСД.

6. Централизованность управления СЗИ– процесс управления должен быть обязательно централизован, структура системы защиты должна соответствовать структуре защищаемого объекта, а также целям и задачам защиты.

7. Плановость– организация взаимодействия всех подразделений объекта в интересах реализации принятой концепции защиты, формирование каждой службой планов защиты информации в пределах ее компетенции с учетом общих целей предприятия (концепции защиты информации).

8. Целенаправленность– защищаться должно то, что необходимо защищать в интересах поставленных целей, а не все подряд.

9. Конкретность– защите подлежат конкретные ресурсы, представляющие интерес для противника, утечка которых может привести к ущербу.

10.Активность защиты– в том смысле, что СЗИ должно иметь инструменты, реализующие не только требование «обнаружить и устранить», но и «предвидеть и предотвратить».

3. Основные требования, предъявляемые к ксзи

Функциональные– обеспечения решения требуемой совокупности задач, удовлетворение всем требованиям защиты.

Эргономические– минимизация помех для пользователей, простота эксплуатации и технического обслуживания.

Экономические– минимизация затрат на систему защиты, использование серийно выпускаемых средств защиты.

Технические– оптимизация архитектуры технических средств защиты, надежность применяемых технических средств.

Организационные– четкость предоставления пользователям прав доступа к КИ, сведение к минимуму набора полномочий для одного пользователя, надлежащая подготовка пользователей и контроль управления установленных правил по защите информации.

Учет влияния особенностей объекта и факторов внешней среды.

Учет неопределенности при проектировании системы защиты.

Учет эвристического и экспертного характера самого процесса проектирования.

Учет при проектировании того, что источники угроз имеют наихудшие намерения.

Учет выбранной стратегии и целей защиты при обосновании ресурсного обеспечения.

Независимость системы защиты от субъектов защиты.

Ограничение информации об используемых средствах защиты.

Требования предъявляемые к ксзи

Рассматриваются вопросы организации системы защиты информации на предприятии. Определяются методологические подходы к технологии построения, принципы управления комплексной системой защиты информации (КСЗИ). Особое внимание уделено проблеме «человеческого фактора».

Для специалистов, преподавателей, студентов и всех интересующихся проблематикой защиты информации.

Книга: Организация комплексной системы защиты информации

1.7. Основные требования, предъявляемые к комплексной системе защиты информации

1.7. Основные требования, предъявляемые к комплексной системе защиты информации

Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

— она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;

— она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;

— она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;

— она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;

— она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;

— она должна быть компонентно, логически, технологически и экономически обоснованной;

— она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;

— она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;

— она должна быть непрерывной;

— она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации — непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:

Читайте так же:  Увольнение по собственному желанию по окончании отпуска

— безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;:

4. Основные требования, предъявляемые к КСЗИ

Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

§ она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;

§ она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;

§ она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;

§ она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;

§ она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;

§ она должна быть компонентно, логически, технологически и экономически обоснованной;

§ она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;

§ она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;

§ она должна быть непрерывной;

§ она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации — непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:

§ безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;

§ никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;

§ никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.

Основные требования, предъявляемые к КСЗИ

Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

§ она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;

§ она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;

§ она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;

§ она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;

§ она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;

§ она должна быть компонентно, логически, технологически и экономически обоснованной;

§ она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;

§ она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;

§ она должна быть непрерывной;

§ она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации — непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:

§ безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;

§ никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;

§ никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.

Содержательная характеристика этапов разработки КСЗИ

При создании КСЗИ в КС предлагается следующий порядок работ:

1) Обследование информационно-коммуникационной системы, категорирование информационных ресурсов и разработка концепции информационной безопасности. Т.е. необходим глубокий и детальный анализ структура объекта защиты и условий его функционирования, а также категории обрабатываемой информации. На этом этапе изучается технология обработки данных, принятая в организации и разрабатываются документы, необходимые для регламентации процесса работы пользователя в КС, в которых представляется:

§ описание технологии обработки данных,

§ описание угроз с оценкой вероятности их появления и возможного ущерба,

§ порядок взаимодействия подразделений организации для обеспечения безопасности,

§ рекомендации по совершенствованию системы защиты,

§ организационно-распорядительные документы, регламентирующие деятельность пользователей и обслуживающего персонала КС.

По результатам обследования разрабатывается концепция информационной безопасности. Донный документ определяет общую систему взглядов в организации на проблему защиты информации и пути решения этой проблемы с учетом накопленного опыта и современных тенденций развития средств и способов защиты.

2) Создание службы защиты информации. Служба защиты информации в структуре организации функционирует как специальное подразделение, обеспечивающее разработку правил эксплуатации КС, определяющее полномочия пользователей по доступу к ресурсам системы, осуществляющее административную поддержку КСЗИ (настройку, контроль и оперативное реагирование на сигналы о нарушениях правил доступа, анализ журналов регистрации событий и т.д.).

3) Формирование политики безопасности и разработка организационно-распорядительных документов. Политика безопасности КС является частью общей политики безопасности организации. Для каждой КС политика безопасности информации является уникальной. Она должна содержать следующие положения:

§ организационные меры по обеспечению безопасности;

§ классификация и принципы управления информационными ресурсами;

§ перечень составляющих информационной безопасности;

§ управление коммуникациями и процессами;

§ разработка и техническая поддержка вычислительных систем.

4) Разработка технологии защиты и определение требований к составу средств защиты. На этом этапе производится:

§ интеграция в единый комплекс разнородных средств и механизмов защиты и централизованное администрирование механизмов защиты;

§ определение уровней доступа объектов, прав доступа пользователей к объектам КС и правил разграничения доступа;

§ формирование правил реагирования на угрозы информационным ресурсам;

§ оперативное оповещение администратора безопасности о попытках нарушения политики безопасности;

§ регистрация действий пользователей в защищенных журналах для последующего анализа;

§ мониторинг состояния защищенности информационных ресурсов;

§ контроль целостности программно-технической среды КС.

5) Выбор, приобретение, установка и настройка средств защиты.

6) Обучение персонала работе со средствами защиты и правилам организационного обеспечения безопасности.

7) Проведение государственной экспертизы КСЗИ и ввод ее в эксплуатацию. Перед вводом в эксплуатацию необходимо проведение опытной эксплуатации КСЗИ в следующем порядке:

§ опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации;

§ разработка программы и методики приемо-сдаточных испытаний;

По результатам приемо-сдаточных испытаний система вводится в эксплуатацию.

8) Эксплуатация системы.

9) Постоянный мониторинг состояния защищенности информационных ресурсов и выработка предложений по ее совершенствованию. Подразумевается периодический пересмотр следующих положение политики безопасности:

§ эффективность политики, определяемый по характеру, числу и воздействию зарегистрированных инцидентов, касающихся безопасности;

§ стоимости средств обеспечения безопасности на показатели эффективности функционирования КС;

§ влияние изменений на безопасность технологии

Требования предъявляемые к ксзи