Принципы построения системы информационной безопасности объекта
Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов. Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности.
Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации.
Таким образом, обеспечение информационной безопасности не может быть разовым мероприятием. Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации. Комплексный характер защиты информации обусловлен действиями злоумышленников. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения. Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм - систему информационной безопасности.
Только в этом случае появляются системные свойства, не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования. Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа.
Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.
Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты. С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.
Защита информации должна быть:
• централизованной: необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;
• плановой: планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;
• конкретной и целенаправленной: защите подлежат абсолютно конкретные информационной ресурсы, представляющие интерес для конкурентов;
• активной: защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментов, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;
• надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта: методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;
• нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;
• открытой для изменения и дополнения мер обеспечения безопасности информации;
• экономически эффективной: затраты на систему защиты не должны превышать размеры возможного ущерба. Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут полезны создателям систем информационной безопасности:
• средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;
• каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;
• возможность отключения защиты в особых случаях, например когда механизмы защиты реально мешают выполнению работ;
• независимость системы защиты от субъектов защиты;
• разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
• отсутствие на предприятии излишней информации о существовании механизмов защиты.
Все перечисленные позиции должны лечь в основу формирования системы защиты информации. Теперь, владея основными концептуальными положениями, необходимо освоить механизм выработки детальных предложений по формированию политики и построению системы информационной безопасности.
Последовательность действий при разработке системы обеспечения информационной безопасности объекта Прежде чем приступать к разработке системы информационной безопасности, необходимо определить, что же для организации (физического лица) является интеллектуальной собственностью. С точки зрения делового человека, интеллектуальной собственностью являются информационные ресурсы, знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль.
Способ управления производством, технологический процесс, список клиентов, профиль научных исследований, анализ конкурентоспособности - вот лишь некоторые примеры. Незнание того, что составляет интеллектуальную собственность - уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации.
Затем, вне зависимости от размеров организации и специфики ее информационной системы, необходимо:
• определить границы управления информационной безопасностью объекта;
• провести анализ уязвимости;
• выбрать контрмеры, обеспечивающие информационную безопасность; определить политику информационной безопасности;
• проверить систему защиты;
• составить план защиты;
• реализовать план защиты (управление системой защиты).
Дата добавления: 2015-08-14; просмотров: 2521;