07. Формування завдання та варіанту побудови КСЗІ

Останні кроки 1-го етапу «Формування вимог до КСЗІ в ІТС» складаються з таких робіт:

1. Формування завдання на створення КСЗІ в ІТС.
2. Аналіз ризиків реалізації загроз для інформації в ІТС.
3. Вибір варіанту побудови та складу КСЗІ в ІТС.
4. Оформлення звіту за результатами проведеної роботи.

7.1. Формування завдання на створення КСЗІ

Під час цього кроку визначаються завдання захисту інформації та відповідні ним напрями забезпечення її захисту, в результаті чого визначається конкретний варіант забезпечення безпеки інформації.

Завданнями захисту інформації можуть бути:

- забезпечення необхідних властивостей інформації (конфіденційності, цілісності, доступності) під час створення та експлуатації ІТС;

- своєчасне виявлення та ліквідація загроз для ресурсів ІТС, причин та умов, які спричиняють (можуть привести до) порушення її функціонування та розвитку;

- створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні ІТС;

- ефективне попередження загроз для ресурсів ІТС шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;

- керування засобами захисту інформації, керування доступом користувачів до ресурсів ІТС, контроль за їхньою роботою з боку персоналу СЗІ, оперативне сповіщення про спроби НСД до ресурсів ІТС;

- реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації;

- створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками, зменшення негативного впливу наслідків порушення безпеки на функціонування ІТС.

Концепція безпеки інформації розкриває основні напрями забезпечення безпеки інформації та розробляється на підставі аналізу таких чинників:
- правових засад;
- вимог безпеки інформації;
- загроз для інформації.

За результатами аналізу формулюються загальні положення безпеки, які впливають на технологію обробки інформації в ІТС:
- мета і пріоритети, яких необхідно дотримуватись в ІТС під час забезпечення безпеки інформації;
- загальні напрями діяльності, необхідні для досягнення цієї мети;
- аспекти діяльності у галузі безпеки інформації, які повинні вирішуватися на рівні організації в цілому;
- відповідальність посадових осіб та інших суб’єктів взаємовідносин в ІТС, їхні права і обов'язки щодо реалізації завдань безпеки інформації.

Вибір основних рішень з безпеки інформації розглядається на 3-х рівнях:
- правовому;
- організаційному;
- технічному.

На правовому рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо виконання вимог нормативно-правових актів з безпеки інформації. Цей рівень забезпечується виконанням таких заходів:

- підтримка керівництвом організації заходів з безпеки інформації в ІТС, визначення відповідальності посадових осіб, організаційної структури, комплектування і розподіл обов'язків співробітників СЗІ;

- розробка політики безпеки, плану захисту та іншої документації згідно вимог нормативно-правових актів з безпеки інформації;

- визначення процедури доведення до персоналу і користувачів ІТС основних положень політики безпеки інформації, їхнього навчання та підвищення кваліфікації з питань безпеки інформації;

- система контролю за своєчасністю, ефективністю і повнотою реалізації в ІТС рішень з безпеки інформації, дотриманням персоналом і користувачами положень політики безпеки.

На організаційному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо організації та впровадження режимних заходів, регламентації доступу та навчання персоналу. Цей рівень забезпечується виконанням таких заходів:

- застосування режимних заходів на об’єктах ІТС;

- забезпечення фізичного захисту обладнання ІТС, носіїв інформації, інших ресурсів;

- визначення порядку виконання робіт з безпеки інформації, взаємодії з цих питань з іншими суб'єктами системи ТЗІ в Україні;

- регламентація доступу користувачів і персоналу до ресурсів ІТС;

- організація навчання та підвищення кваліфікації персоналу і користувачів ІТС з питань безпеки інформації;

- реалізація окремих положень політики безпеки, найбільш критичних з точки зору забезпечення захисту аспектів (наприклад, організація віддаленого доступу до ІТС, використання мереж передачі даних загального користування, зокрема Інтернет тощо).

На технічному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо застосування інженерно-технічних і програмно-апаратних засобів реалізації вимог безпеки. Під час розгляду різних варіантів реалізації рекомендується враховувати наступні аспекти:

- інженерно-технічне обладнання приміщень, в яких розміщуються компоненти ІТС;

- реєстрація санкціонованих користувачів ІТС, авторизація користувачів в системі;

- керування доступом до інформації і механізмів, що реалізують послуги безпеки, включаючи вимоги до розподілу ролей користувачів і адміністраторів;

- виявлення та реєстрація небезпечних подій з метою здійснення повсякденного контролю;

- перевірка і забезпечення цілісності критичних даних на всіх стадіях їхньої обробки в ІТС;

- забезпечення конфіденційності інформації, у тому числі використання криптографічних засобів;

- резервне копіювання критичних даних, супроводження архівів даних і ПЗ;

- відновлення роботи ІТС після збоїв, відмов, особливо для систем із підвищеними вимогами до доступності інформації;

- захист ПЗ, окремих компонентів і ІТС в цілому від внесення несанкціонованих доповнень і змін;

- забезпечення функціонування засобів контролю.

7.2. Аналіз ризиків реалізації загроз

Під час цього кроку здійснюється аналіз ризиків, який передбачає вивчення моделей загроз і порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди). В результаті аналізу ризиків реалізації загроз визначається перелік суттєвих загроз для ІТС.

Аналіз ризиків полягає в моделюванні картини появи несприятливих умов з урахуванням всіх можливих чинників, що визначають ризики, які називаються вхідними параметрами. До них відносяться активи, вразливості, загрози та збитки.

Активи - ключові компоненти ІТС, що залучені в технологічні процеси та мають певну цінність.

Вразливості - слабкості в засобах захисту, викликані помилками або недосконалістю процедур, які можуть бути використані для проникнення в ІТС або пошкодження активів.

Загрози - реалізація яких можлива за допомогою використання вразливостей.

Збитки - втрати після реалізації загрози з урахуванням витрат на відновлення пошкоджених активів.

Керування ризиками - це процес послідовного виконання трьох основних етапів:
- визначення початкових ризиків (в незахищеній ІТС);
- застосування засобів захисту для скорочення ризиків;
- прийняття залишкових ризиків.

З метою підвищення ефективності аналізу ризиків він проводиться по різних напрямах:
- для об'єктів ІТС;
- для процесів, процедур і програм обробки інформації;
- для каналів зв'язку;
- для побічних електромагнітних випромінювань і наведень;
- для механізмів керування системою захисту.

Процес аналізу ризиків включає оцінку:
- можливих втрат в результаті реалізації загроз;
- вірогідності виявлення вразливостей системи, що впливає на оцінку можливих втрат;
- витрат на впровадження заходів і засобів захисту, які скорочують ризик до прийнятного рівня.

Витрати на КСЗІ необхідно співвіднести з цінністю інформаційних ресурсів, які піддаються ризику, а також зі збитком, який може бути нанесений організації в результаті реалізації загроз. По завершенні аналізу ризиків реалізації загроз уточнюються допустимі залишкові ризики та витрати на заходи захисту інформації...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика