|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Основы методология обеспечения информационной безопасности объектаАнализ подходов к обеспечению информационной безопасности (ИБ) СФЗ ЯО базируется на определенном теоретическом базисе, который включает в себя термины и определения, а также описание типовых процедур, связанных с проектированием, созданием и эксплуатацией соответствующих систем. Методология обеспечения информационной безопасности любого объекта (на примере автоматизированных систем) изложена в нормативных документах Государственной технической комиссии при Президенте РФ (ГТК РФ) [12.1] и в хорошо известных работах В.А.Герасименко и А.А.Малюка [12.2, 12.3]. Под термином «информационная безопасность», согласно определению ГТК РФ [12.1], понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз, которые могут привести к следующим последствиям: •искажению информации (нарушение целостности); •утрате или снижению степени доступности (нарушение доступности); •нежелательному разглашению информации (нарушение конфиденциальности). В конечном итоге эти нарушения приводят к материальному и моральному ущербу владельца или пользователя информации. Комплекс мероприятий, направленных на обеспечение информационной безопасности связывают с определением «защита информации». Эти мероприятия проводятся с целью предотвращения ущерба от действия угроз безопасности информации, где угроза является потенциальной возможностью нарушения безопасности информации [12.4]. Первое и самое главное, от чего зависит уровень обеспечения ИБ объекта – это правильная формулировка и оптимальная реализация политики безопасности (ПБ). В соответствии с определением ГТК РФ [12.1] политика безопасности – это правила разграничения доступа, представляющие собой совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. Таким образом, политика информационной безопасности СФЗ ЯО – это формальная спецификация правил и рекомендаций, на основе которых пользователи этой системы используют, накапливают и распоряжаются ее информационными ресурсами. Политику безопасности необходимо формулировать для конкретного объекта на уровне руководителей объекта. Цель обеспечения ИБ объекта не может быть достигнута, пока на самом высоком уровне не будет определено, чего следует добиваться, и не будут выделены ресурсы, которые позволят должным образом защитить информационную инфраструктуру объекта и обеспечить управление ею. Политика безопасности должна быть согласована с основами теории защиты информации, а также со всеми нормативно-правовыми документами, соблюдение которых требуется от организации. Политика информационной безопасности должна быть определена в момент проектирования СФЗ ЯО (в некоторых случаях требуется разработать ПБ для уже существующей системы). Процесс выработки ПБ включает в себя следующие этапы: 1. Организационный (определение состава группы разработчиков ПБ; определение способа выработки ПБ – на основе какой информации будет определена ПБ, кем эта информация будет предоставляться и какова степень доверия к этой информации; вид представления ПБ как документа). 2. Описание позиции организации (отношение руководства объекта к ИБ). 3. Определение применимости ПБ – ответ на вопросы о том где, как, когда, кем и к чему применима данная ПБ, те перечисление всех пользователей и ресурсов, кого эта ПБ касается. 4. Определение ролей и обязанностей – указание ответственных лиц и их обязанности в отношении разработки и внедрения различных аспектов ПБ, а также в случае нарушения ПБ. 5. Выработка мер защиты, реализующих ПБ на конкретном объекте, обоснование выбора именно такого перечня мер защиты, указание на то, какие угрозы ИБ наиболее эффективно предотвращаются какими мерами защиты. 6. Выработка мер по соблюдению ПБ (задачи конкретным подразделениям объекта). В отношении защиты информации ПБ должна определять: · кто может иметь доступ к конфиденциальной информации вообще и при особых обстоятельствах; · как регламентируется соглашение о неразглашении конфиденциальной информации между руководством и сотрудниками организации и какова ответственность за нарушение данного соглашения; · как должна храниться и передаваться конфиденциальная информация (зашифрованной, заархивированными файлами, закодированной с помощью специальных программ и т.д.); · в каких системах может храниться и обрабатываться конфиденциальная информация; · информация какой степени секретности может быть распечатана на физически незащищенных принтерах; · как конфиденциальная информация удаляется из систем и запоминающих устройств (например, размагничиванием носителей данных, чисткой жестких дисков, резкой бумажных копий). Рассмотрение ряда вопросов, относящихся к разработке политики безопасности СФЗ ЯО, может стать методической основой предметной области, связанной с информационной безопасностью СФЗ ЯО. В этом случае необходимо рассмотреть особенности СФЗ ЯМ как информационного объекта (глава 2), провести классификацию информации, которая обращается в рассматриваемых системах, рассмотреть модель вероятного нарушителя, провести классификацию угроз ИБ и возможные последствия реализации этих угроз, рассмотреть каналы утечки или нарушения целостности информации, требования и порядок разработки подсистемы защиты информации, сформулировать требования по ЗИ от несанкционированного доступа (НСД) с учетом требований по классификации СФЗУиК. Перед тем, как перейти к рассмотрению перечисленных вопросов необходимо описать нормативную базу, определяющую разработку, реализацию и использование систем обеспечения информационной безопасности СФЗ ЯО. Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.003 сек.) |