Принципы построения системы информационной безопасности объекта

 

Современный опыт решения проблем информационной безопасности показывает, что для достижения наибольшего эффекта при организации защиты информации необходимо руководствоваться рядом принципов. Первым и наиболее важным является принцип непрерывности совершенствования и развития системы информационной безопасности.

Суть этого принципа заключается в постоянном контроле функционирования системы, выявлении ее слабых мест, возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации.

Таким образом, обеспечение информационной безопасности не может быть разовым мероприятием. Вторым является принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации. Комплексный характер защиты информации обусловлен действиями злоумышленников. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения. Кроме того, наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм - систему информационной безопасности.

Только в этом случае появляются системные свойства, не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования. Можно определить систему информационной безопасности как организованную совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм представителей службы информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.

Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты. С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.

Защита информации должна быть:

• централизованной: необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;

• плановой: планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;

• конкретной и целенаправленной: защите подлежат абсолютно конкретные информационной ресурсы, представляющие интерес для конкурентов;

• активной: защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментов, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;

• надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта: методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;

• нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;

• открытой для изменения и дополнения мер обеспечения безопасности информации;

• экономически эффективной: затраты на систему защиты не должны превышать размеры возможного ущерба. Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут полезны создателям систем информационной безопасности:

• средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;

• каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;

• возможность отключения защиты в особых случаях, например когда механизмы защиты реально мешают выполнению работ;

• независимость системы защиты от субъектов защиты;

• разработчики должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;

• отсутствие на предприятии излишней информации о существовании механизмов защиты.

Все перечисленные позиции должны лечь в основу формирования системы защиты информации. Теперь, владея основными концептуальными положениями, необходимо освоить механизм выработки детальных предложений по формированию политики и построению системы информационной безопасности.

Последовательность действий при разработке системы обеспечения информационной безопасности объекта Прежде чем приступать к разработке системы информационной безопасности, необходимо определить, что же для организации (физического лица) является интеллектуальной собственностью. С точки зрения делового человека, интеллектуальной собственностью являются информационные ресурсы, знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль.

Способ управления производством, технологический процесс, список клиентов, профиль научных исследований, анализ конкурентоспособности - вот лишь некоторые примеры. Незнание того, что составляет интеллектуальную собственность - уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации.

Затем, вне зависимости от размеров организации и специфики ее информационной системы, необходимо:

• определить границы управления информационной безопасностью объекта;

• провести анализ уязвимости;

• выбрать контрмеры, обеспечивающие информационную безопасность; определить политику информационной безопасности;

• проверить систему защиты;

• составить план защиты;

• реализовать план защиты (управление системой защиты).

 








Дата добавления: 2015-08-14; просмотров: 2521;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.005 сек.