АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Этапы создания системы безопасности

Читайте также:
  1. B. Взаимодействие с бензодиазепиновыми рецепторами, вызывающее активацию ГАМК – ергической системы
  2. CRM системы и их возможности
  3. II. Общие требования безопасности
  4. II. Основные цели и задачи Программы, срок и этапы ее реализации, целевые индикаторы и показатели
  5. II. Этапы подготовки курсовых и ВКР
  6. III. Блок законов по радиационной безопасности населения.
  7. IV. Поземельные книги и другие системы оглашений (вотчинная и крепостная системы)
  8. V1: Основные аспекты организации коммерческой деятельности и этапы ее развития
  9. Автоматизированное рабочее место (АРМ) таможенного инспектора. Назначение, основные характеристики АРМ. Назначение подсистемы «банк - клиент» в АИСТ-РТ-21.
  10. Автоматизированные информационно-поисковые системы
  11. Автоматизированные системы бронирования, управления перевозками, отправками в аэропортах.
  12. Автоматизированные системы управления воздушным движением.

В общем случае создание системы безопасности АСБ направлено на достижение целого комплекса целей:

· Обеспечение физической безопасности;

· Обеспечение пожаро и электробезопасности;

· Обеспечение экологической безопасности;

· Обеспечение безопасности информации;

· Обеспечение безопасности связи;

· Обеспечение безопасности процесса управления и др.

В связи с этим процесс построения системы защиты достаточно сложен и включает следующие этапы:

1. Проведение обследования на предмет выявления реальных угроз и их анализа.

2. Разработка политики безопасности, организационно-распорядительных документов и мероприятий по обеспечению безопасности в соответствии с требованиями.

3. Проектирование системы безопасности.

4. Разработка образца и реализация системы защиты.

5. Внедрение системы безопасности в действующую структуру предприятия.

6. Обучение персонала.

7. Аттестация системы безопасности предприятия.

8. Сопровождение системы.

На практике очень часто наиболее слабыми звеньями, становятся 1 и 8 этапы. Ресурсы выделяются в основном на разработку и реализацию системы, и забывают, что на поддержание системы безопасности в актуальном состоянии требуются тоже значительные усилия.

 

В результате анализа деятельности предприятия должны быть определены следующие элементы:

- список жизненно важных прикладных задач, перечисленных в порядке убывания их приоритетности;

- список ресурсов, обеспечивающих обработку данных и перечисленных в порядке убывания их приоритетности;

- потенциально опасные события и оценка вероятности их наступления;

- оценка возможных денежных убытков в случае наступления опасных событий.

Среди таких событий вполне возможны:

- отказ системы кондиционирования воздуха, электрического питания, оборудования, системы телекоммуникации;

- пожар;

- наводнение;

- гражданские беспорядки;

- вандализм или саботаж;

- кража;

- пикетирование и забастовки;

- военные действия.

 

Как ранее уже говорилось, комплексный подход к обеспечению безопасности основан на разработанной для конкретной ИС политике безопасности. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту ИС и ассоциированных с ней ресурсов.

С практической точки зрения политику безопасности целесообразно разделить на три уровня.

К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать:

- формирование или пересмотр самой комплексной программы обеспечения безопасности

- назначение ответственных за реализацию этой программы;

- формулировку целей и определение общих направлений их достижения;

- обеспечение технической базы для соблюдения соответствующих правил.

На верхний уровень выносится управление ресурсами защиты и координация их использования, выделение специального персонала, поддержание контактов с другими организациями.

К среднему уровню можно отнести отдельные аспекты безопасности, важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов – использование домашних компьютеров или применение пользователями неофициального программного обеспечения. Политика среднего уровня по каждому подобному аспекту предполагает выработку соответствующего документированного управленческого решения, в котором обычно имеются:

- описание аспекта

- указание на область применения

- четкое расписание соответствующих ролей и обязанностей.

- механизм обеспечения «законопослушности», т.е. описание запрещенных действий и наказаний за них

- «точки контакта», т.е. должно быть известно, куда следует обращаться за разъяснениями и дополнительной информацией.

Политика безопасности нижнего уровня относится к конкретным процессам и сервисам. Есть много вопросов, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. Политика этого уровня бывает гораздо более детальной и конкретной и содержит цели и правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддерживать их выполнение. С другой стороны, слишком жесткие правила могут мешать работе пользователей, и вероятно, их придется часто пересматривать. Необходимо найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а работники не окажутся чрезмерно скованными.

Политика безопасности определяется способом управления доступом к объектам.

Объект ИС– это пассивный компонент системы, хранящий, принимающий или передающий информацию. Субъект – это активный компонент системы, который может стать причиной потока информации или изменения состояния системы.

Различают два основных вида способа управления доступом: избирательное и полномочное.

Избирательное (или дискреционное) управление доступом характеризуется заданным множеством разрешенных отношений доступа (например, в виде троек объект-субъект-тип доступа). Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа (столбец соответствует объекту системы, а строка – субъекту, на пересечении – тип разрешенного доступа, например, «доступ на чтение», «Доступ на исполнение» и т.п. Матрица доступа – самый простой подход к моделированию системы управления доступом, она является основой для более сложных моделей.

Полномочное (или мандатное) управление доступом характеризуется совокупностью правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от метки конфиденциальности информации и уровня допуска пользователя. Полномочное управление доступом подразумевает, что:

- все субъекты и объекты системы однозначно идентифицированы;

- каждому объекту системы присвоена метка конфиденциальности информации, определяющая ценность содержащейся в ней информации;

- каждому субъекту системы присвоен определенный уровень допуска, определяющий максимальное значение метки конфиденциальности информации объектов, к которому субъект имеет доступ.

Избирательное и полномочное управление доступом, а также управление информационными потоками являются тем фундаментом, на котором строится вся система защиты.

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)