Выбор контрмер, обеспечивающих информационную безопасность

 

Предпринимаемые меры защиты должны быть адекватны вероятности осуществления данного типа угрозы и потенциальному ущербу, который может быть нанесен в том случае, если угроза осуществится (включая затраты на защиту от нее).

Необходимо иметь в виду, что многие меры защиты требуют достаточно больших вычислительных ресурсов, что в свою очередь существенно влияет на процесс обработки информации. В связи с этим современный подход к решению этой проблемы заключается в применении в АСУ принципов ситуационного управления защищенностью информационных массивов.

Суть такого подхода заключается в том, что требуемый уровень безопасности информации устанавливается в соответствии с ситуацией, определяющей соотношение между ценностью перерабатываемой информации, затратами (снижением производительности АСУ, дополнительным расходом оперативной памяти и др.), которые необходимы для его достижения, и возможными суммарными потерями (материальными, моральными и др.) от искажения и несанкционированного использования информации.

Необходимые характеристики защиты информационных ресурсов определяются в ходе ситуационного планирования при непосредственной подготовке к реализации технологического процесса защищенной обработки информации с учетом сложившейся ситуации, а также (в сокращенном объеме) во время процесса обработки. Выбирая защитные меры, приходится учитывать не только прямые расходы на закупку оборудования и программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала.

Важным обстоятельством является совместимость нового средства со сложившейся аппаратно-программной структурой объекта. Зарубежный опыт в области защиты интеллектуальной собственности и отечественный опыт в защите государственных секретов показывает, что эффективной может быть только комплексная защита, сочетающая в себе такие направления защиты, как правовое, организационное и инженерно-техническое.

Правовое направление предусматривает формирование совокупности законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

Организационное направление - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий.

По мнению специалистов, организационные мероприятия играют большую роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловлены не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

К организационным мероприятиям можно отнести: - мероприятия, осуществляемые при проектировании, строительстве и оборудовании служебных и производственных зданий и помещений; - мероприятия, осуществляемые при подборе персонала; - организация и поддержание надежного пропускного режима, охраны помещений и территории, контроля посетителей; - организация хранения и использования документов и носителей конфиденциальной информации; - организация защиты информации; - организация регулярного обучения сотрудников. Одним из основных компонентов организационного обеспечения информационной безопасности объекта является Служба информационной безопасности (СИБ).

СИБ является органом управления системой защиты информации. Именно от профессиональной подготовленности сотрудников службы информационной безопасности, наличия в их арсенале современных средств управления безопасностью во многом зависит эффективность мер по защите информации. Ее штатная структура, численность и состав определяются реальными потребностями фирмы, степенью конфиденциальности ее информации и общим состоянием безопасности.

Основная цель функционирования СИБ - используя организационные меры и программно-аппаратные средства, избежать или хотя бы свести до минимума возможность нарушения политики безопасности, либо, в крайнем случае, вовремя заметить и устранить последствия нарушения. Для обеспечения успешной работы СИБ необходимо определить ее права и обязанности, а также правила взаимодействия с другими подразделениями по вопросам защиты информации на объекте. Численность службы должна быть достаточной для выполнения всех возлагаемых на нее функций. Желательно, чтобы штатный состав службы не имел обязанностей, связанных с функционированием объекта защиты.

Службе информационной безопасности должны быть обеспечены все условия, необходимые для выполнения своих функций. Ядром инженерно-технического направления являются программно-аппаратные средства защиты информации. К аппаратным средствам относятся механические, электромеханические, электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации. Под программным обеспечением безопасности информации понимается совокупность специальных программ, реализующих функции защиты информации и режима функционирования.

Сформированная совокупность правовых, организационных и инженерно-технических мероприятий выливается в соответствующую политику безопасности. Политика безопасности определяет облик системы защиты информации в виде совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений, направленных на противодействие угрозам с целью исключения или минимизации возможных последствий проявления информационных воздействий.

После принятия того или иного варианта политики безопасности необходимо оценить уровень безопасности информационной системы. Естественно, что оценка защищенности производится по совокупности показателей, основными из которых являются стоимость, эффективность, реализуемость. Задача оценки вариантов построения системы защиты информации достаточно сложная, требующая привлечения современных математических методов многопараметрической оценки эффективности. К таким методам относятся метод анализа иерархий, экспертные методы, метод последовательных уступок и ряд подобных.

 








Дата добавления: 2015-08-14; просмотров: 1041;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.004 сек.