|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Этапы создания системы безопасностиВ общем случае создание системы безопасности АСБ направлено на достижение целого комплекса целей: · Обеспечение физической безопасности; · Обеспечение пожаро и электробезопасности; · Обеспечение экологической безопасности; · Обеспечение безопасности информации; · Обеспечение безопасности связи; · Обеспечение безопасности процесса управления и др. В связи с этим процесс построения системы защиты достаточно сложен и включает следующие этапы: 1. Проведение обследования на предмет выявления реальных угроз и их анализа. 2. Разработка политики безопасности, организационно-распорядительных документов и мероприятий по обеспечению безопасности в соответствии с требованиями. 3. Проектирование системы безопасности. 4. Разработка образца и реализация системы защиты. 5. Внедрение системы безопасности в действующую структуру предприятия. 6. Обучение персонала. 7. Аттестация системы безопасности предприятия. 8. Сопровождение системы. На практике очень часто наиболее слабыми звеньями, становятся 1 и 8 этапы. Ресурсы выделяются в основном на разработку и реализацию системы, и забывают, что на поддержание системы безопасности в актуальном состоянии требуются тоже значительные усилия.
В результате анализа деятельности предприятия должны быть определены следующие элементы: - список жизненно важных прикладных задач, перечисленных в порядке убывания их приоритетности; - список ресурсов, обеспечивающих обработку данных и перечисленных в порядке убывания их приоритетности; - потенциально опасные события и оценка вероятности их наступления; - оценка возможных денежных убытков в случае наступления опасных событий. Среди таких событий вполне возможны: - отказ системы кондиционирования воздуха, электрического питания, оборудования, системы телекоммуникации; - пожар; - наводнение; - гражданские беспорядки; - вандализм или саботаж; - кража; - пикетирование и забастовки; - военные действия.
Как ранее уже говорилось, комплексный подход к обеспечению безопасности основан на разработанной для конкретной ИС политике безопасности. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту ИС и ассоциированных с ней ресурсов. С практической точки зрения политику безопасности целесообразно разделить на три уровня. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать: - формирование или пересмотр самой комплексной программы обеспечения безопасности - назначение ответственных за реализацию этой программы; - формулировку целей и определение общих направлений их достижения; - обеспечение технической базы для соблюдения соответствующих правил. На верхний уровень выносится управление ресурсами защиты и координация их использования, выделение специального персонала, поддержание контактов с другими организациями. К среднему уровню можно отнести отдельные аспекты безопасности, важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов – использование домашних компьютеров или применение пользователями неофициального программного обеспечения. Политика среднего уровня по каждому подобному аспекту предполагает выработку соответствующего документированного управленческого решения, в котором обычно имеются: - описание аспекта - указание на область применения - четкое расписание соответствующих ролей и обязанностей. - механизм обеспечения «законопослушности», т.е. описание запрещенных действий и наказаний за них - «точки контакта», т.е. должно быть известно, куда следует обращаться за разъяснениями и дополнительной информацией. Политика безопасности нижнего уровня относится к конкретным процессам и сервисам. Есть много вопросов, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. Политика этого уровня бывает гораздо более детальной и конкретной и содержит цели и правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддерживать их выполнение. С другой стороны, слишком жесткие правила могут мешать работе пользователей, и вероятно, их придется часто пересматривать. Необходимо найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а работники не окажутся чрезмерно скованными. Политика безопасности определяется способом управления доступом к объектам. Объект ИС– это пассивный компонент системы, хранящий, принимающий или передающий информацию. Субъект – это активный компонент системы, который может стать причиной потока информации или изменения состояния системы. Различают два основных вида способа управления доступом: избирательное и полномочное. Избирательное (или дискреционное) управление доступом характеризуется заданным множеством разрешенных отношений доступа (например, в виде троек объект-субъект-тип доступа). Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа (столбец соответствует объекту системы, а строка – субъекту, на пересечении – тип разрешенного доступа, например, «доступ на чтение», «Доступ на исполнение» и т.п. Матрица доступа – самый простой подход к моделированию системы управления доступом, она является основой для более сложных моделей. Полномочное (или мандатное) управление доступом характеризуется совокупностью правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от метки конфиденциальности информации и уровня допуска пользователя. Полномочное управление доступом подразумевает, что: - все субъекты и объекты системы однозначно идентифицированы; - каждому объекту системы присвоена метка конфиденциальности информации, определяющая ценность содержащейся в ней информации; - каждому субъекту системы присвоен определенный уровень допуска, определяющий максимальное значение метки конфиденциальности информации объектов, к которому субъект имеет доступ. Избирательное и полномочное управление доступом, а также управление информационными потоками являются тем фундаментом, на котором строится вся система защиты.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.) |