Порядок проектирования защиты
Решение вопросов создания системы безопасности (СБИ) информации должно поручаться лицам одного уровня с лицами, занимающимися вопросами функционирования ИС. У главного конструктора ИС должен быть соответствующий заместитель, профессионально отвечающий за качество СБИ. На всех документах, касающихся изменений ИС, должна быть его виза. Под его руководством должно работать подразделение специалистов, профессионально занимающихся разработкой СБИ ИС. Разработка СБИ требует привлечения специалистов широкого профиля, знающих, кроме системных вопросов, вопросов программного обеспечения, разработки систем, комплексов и отдельных аппаратных средств, специальные вопросы защиты информации. В этом подразделении независимо от масштабов работ должно быть как минимум три направления: анализа ИС на предмет постановки задач СБИ, проектирования СБИ и применения готовых криптографических средств.
Для построения системы защиты информации в комплексе средств автоматизации к началу рабочего проектирования должны быть известны следующие исходные данные:
• назначение и выполняемые функции;
• состав и назначение аппаратных и программных средств;
• структурная или функциональная схема;
• структура и состав информационной базы;
• перечень, время жизни, важность, места размещения и циркуляции сведений, подлежащих защите;
• модель ожидаемого поведения потенциального нарушителя;
• состав, количество и виды внутренних и выходных документов;
• описание функциональных задач прикладного программного обеспечения;
• состав и выполняемые функции должностных лиц – пользователей и обслуживающего персонала;
• режим работы (закрытый или открытый, круглосуточный или с перерывами, оперативный или пакетный);
• способы и средства загрузки программного обеспечения;
• базовые вычислительные средства и их характеристики;
• интенсивность отказов входящих технических средств;
• показатели качества функционального контроля;
• план и условия размещения технических средств на объекте эксплуатации.
Перечисленные данные являются параметрами конкретного объекта автоматизации. Его назначение и выполняемые функции дают первое представление о необходимом уровне защиты информации (например, для военных целей – один уровень, для гражданских – другой и т. д.). Уточняет эту задачу режим работы ИС, а также перечень сведении, подлежащих защите. Состав и назначение аппаратных средств, структурная и функциональная схема, способ загрузки программного обеспечения, план размещения технических средств и другие параметры дают представление о возможных каналах несанкционированного доступа к информации, подлежащей защите.
Перечень сведений, подлежащих защите, состав, количество и виды документов, содержащих эти сведения, дают представление о предмете защиты. Состав и выполняемые функции должностных лиц – пользователей и обслуживающего персонала, структура и состав информационной базы, операционная система программного обеспечения базовых вычислительных средств позволяют построить систему контроля и разграничения доступа к информации, подлежащей защите от преднамеренного НСД. Интенсивность отказов входящих в комплекс технических средств и показатели качества функционального контроля необходимы для оценки эффективности защиты от случайных НСД. План размещения и состав технических средств, а также данные о наличии соответствующих датчиков дают представление о возможности и выборе принципов построения системы контроля вскрытия аппаратуры и системы контроля доступа в помещения объекта эксплуатации ИС При построении системы защиты информации в распределенных информационных системах должны быть известны следующие исходные данные:
• структура, состав, назначение и задачи информационной системы и ее элементов;
• территориальное размещение ее элементов;
• информационные процессы, подлежащие автоматизации;
• задачи и функции управления, их распределение между исполнителями.
• схема информационных потоков и места сосредоточения информации! подлежащей защите;
• структура, состав и размещение информационной базы;
• перечень, размещение, циркуляция, важность и сроки сохранения сведений, подлежащих защите;
• перечень, форма и количество входных, внутренних и выходных документов (при взаимодействии с другими АС);
• режим использования (открытый, закрытый и т.д.);
• вероятностно-временные характеристики обработки сообщений;
• органы управления и их размещение в АС.
ПОРЯДОК ПРОЕКТИРОВАНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ | ||||||
1. АНАЛИЗ состава и содержания конфиденциальной информации | 2. АНАЛИЗ ценности информации | 3. ОЦЕНКА уязвимости информации | 4. ИССЛЕДОВАНИЕ действующей системы защиты информации | 5. ОЦЕНКА затрат на разработку новой системы защиты информации | ||
Какие сведения следует охранять? Кого интересуют охраняемые сведения и когда? Почему они нуждаются в получении этих сведений? | Какие виды информации имеются? Какова ценность каждого вида информации? Какая защита необходима для каждого вида информации? | Какие каналы утечки информации имеются? Какова степень уязвимости каналов утечки? Насколько уменьшится уязвимость информации при использовании системы и средств защиты? | Какие меры безопасности используются? Какой уровень организации защиты информации? Какова стоимость доступных мер защиты информации? Какова эффективность действующей системы защиты информации? | Какова стоимость новой системы защиты? Какой уровень организации новой системы? Какая стоимость доступна и какая велика? Какой выигрыш будет получен при новой системе? | ||
Обеспечить изучение вопросов состояния секретности и защиты информации. Составить подробный обзор всех информационных потоков. Проверить обоснованность и необходимость информационных потоков | Установить правовые и законодательные требования. Разработать принципы определения ценности информации. Определить ценность каждого вида информации | Составить перечень каналов утечки информации. Составить перечень уязвимых помещений. Установить приоритеты информации и определить охраняемые сведения. Классифицировать информацию по приоритетам и ценности | Составить аналитический обзор действующей системы защиты информации. Оценить затраты и степень риска при действующей системе защиты информации | Разработать план реализации замысла на создание новой системы защиты информации. Изыскать необходимые ресурсы | ||
Оценить необходимость накопленной информации | Законодательную ответственность администрации за безопасность информации. Степень ущерба при раскрытии, потере, ошибках в информации. Наличие нормативных документов | Распределение приоритетов информации, требующей защиты, путем определения относительной уязвимости и степени секретности | Усиление безопасности не остановит злоумышленника. Что новая технология может быть эффективнее по критерию эффективность/стоимость | Установить требования по финансированию и его источники | ||
Информационная модель организации, предприятия | Структура классификации информации. Принципы классификации информации. Законодательные требования, инструкции, нормы | Классификатор информации. Классификатор каналов утечки информации | Аналитический обзор действующей СЗИ и ее безопасность | Средства СЗИ. Бюджет па разработки. Внедрение и сопровождение новой СЗИ | ||
6. ОРГАНИЗАЦИЯ мер защиты информации | 7. ЗАКРЕПЛЕНИЕ персональной ответственности за защиту информации | 8. РЕАЛИЗАЦИЯ технологии зашиты информации | 9. СОЗДАНИЕ обстановки сознательного отношения к защите информации | 10. КОНТРОЛЬ И ПРИЕМ в эксплуатацию повой системы защиты | ||
Какие появляются новые функции? Какой потребуется новый персонал? Какая квалификация необходима для выполнения новых обязанностей? | Какие конкретные сотрудники имеют доступ к охраняемым сведениям? Проверены лиэти сотрудники на благонадежность? | Каков приоритет секретной информации и изделия? Какие дополнительные ресурсы потребуются? Кто отвечает за согласование проекта СЗИ с партнерами? Замысел реализации проекта | Ориентирована ли политика организации на защиту информации? Имеется ли программа подготовки и обучения сотрудников организации в новых условиях работы с СЗИ? | Какой должен быть состав специальной группы приема системы? Имеются ли стандарты безопасности и секретности информации? Насколько эффективна новая система защиты информации? Какие улучшения можно произвести? | ||
Определить ответственность за безопасность информации в каждом подразделении. Подготовить инструкции по организации защиты информации | Проверить персонал, обрабатывающий секретную информацию. Подготовить перечни секретных сведений для всех сотрудников | Разработать планы реализации проекта новой системы защиты информации. Определить контрольные сроки и позиции их выполнения | Разработать программы подготовки сотрудников. Оценить личные качества согрудни-ков по обеспечению безопасности информации | Утвердить состав группы ревизии. Рассмотреть законодательные требования. Переоценить уязвимость информации и степень риска. Оцепить точность и полноту реализации проекта | ||
Важность организационных мер защиты информации | Необходимость регулярного контроля за работой системы защиты информации | Полноту реализации требований новой системы защиты информации | Необходимость комплексной защиты информации. Сознательное отношение к защите информации и бдительность всего персонала | Оценить реальную эффективность новой системы защиты. Необходимость систематического контроля за работой СЗИ | ||
Организационно-функциональная схема СЗИ. Порядок и правила работы в новых условиях | Профили секретности сотрудников и линейных подразделений | Подробный бюджет проекта новой СЗИ | Руководство по защите конфиденциальной информации | Программа обучения сотрудников. Отчет и рекомендации, выработанные группой ревизии | ||
Дата добавления: 2015-10-06; просмотров: 904;