Лекция. №13. Создание комплексной системы защиты конфиденциальной информации
Введение
При создании комплексной системы защиты конфиденциальной информации необходимо защищать информацию во всех фазах ее существования - документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в автоматизированных системах (АС) и отдельных средствах вычислительной техники (СВТ), включая персонал, который ее обрабатывает - всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа (НСД) к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности АС и СВТ, воздействия на персонал и т.п. Обобщая, можно сказать, что информационная структура должна быть защищена от любых несанкционированных действий. Защищать необходимо все компоненты информационной структуры предприятия - документы, сети связи, персонал и т.д.
Целью работы должно являться построение комплексной системы защиты конфиденциальной информации (далее по тексту КСЗИ). Это предполагает необходимость использования, создания и разработки совокупности методологических, организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на использовании методологии построения комплексной системы защиты конфиденциальной информации. Методологические, организационные и технические компоненты КСЗИ разрабатываются и создаются в рамках трех параллельных направлений работ - методическом, организационном и техническом.
Методология есть совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы информационной безопасности. Она дает возможность в рамках единого подхода использовать согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Методология построения комплексной системы защиты конфиденциальной информации описывает основные методы и принципы решения следующих вопросов:
1. Обеспечение комплексной безопасности;
2. Компоненты комплексной системы защиты информации;
3. Направления работ по созданию комплексной системы информационной безопасности;
4. Основные принципы построения системы комплексной информационной безопасности:
o принцип равномощности (комплексности);
o принцип непрерывности защиты;
o разумная достаточность;
o гибкость системы защиты;
o принцип независимости стойкости СЗИ от раскрытия информации о механизмах ее использования;
o принцип простоты применения.
5. Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты:
o создание службы обеспечения конфиденциальности (СОК);
o перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.
6. Рекомендации по методологии построения матрицы конфиденциальности:
o определение объектов и субъектов информационных потоков;
o определение характеристик и признаков объектов и субъектов информационных потоков (матрицы конфиденциальности);
o построение правил разграничения доступа субъектов к объектам информационных потоков на основании матрицы конфиденциальности.
7. Методика оценки рисков:
o методика анализа угроз конфиденциальной информации и построения неформальной модели нарушителя;
o методика определения общих требований к защищенности автоматизированной системы:
§ классификационные требования Гостехкомиссии России к защищенности от НСД средств вычислительной техники и автоматизированных систем;
§ классификационные требования ФАПСИ к системам защиты информации;
§ основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации.
8. Методика определения уровня ЗИ в соответствии с РД ФАПСИ и ГТК.
Дата добавления: 2015-12-01; просмотров: 1177;