Лекция. №13. Создание комплексной системы защиты конфиденциальной информации

Введение

При создании комплексной системы защиты конфиденциальной информации необходимо защищать информацию во всех фазах ее существования - документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в автоматизированных системах (АС) и отдельных средствах вычислительной техники (СВТ), включая персонал, который ее обрабатывает - всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа (НСД) к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности АС и СВТ, воздействия на персонал и т.п. Обобщая, можно сказать, что информационная структура должна быть защищена от любых несанкционированных действий. Защищать необходимо все компоненты информационной структуры предприятия - документы, сети связи, персонал и т.д.

Целью работы должно являться построение комплексной системы защиты конфиденциальной информации (далее по тексту КСЗИ). Это предполагает необходимость использования, создания и разработки совокупности методологических, организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на использовании методологии построения комплексной системы защиты конфиденциальной информации. Методологические, организационные и технические компоненты КСЗИ разрабатываются и создаются в рамках трех параллельных направлений работ - методическом, организационном и техническом.

Методология есть совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы информационной безопасности. Она дает возможность в рамках единого подхода использовать согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Методология построения комплексной системы защиты конфиденциальной информации описывает основные методы и принципы решения следующих вопросов:

1. Обеспечение комплексной безопасности;

2. Компоненты комплексной системы защиты информации;

3. Направления работ по созданию комплексной системы информационной безопасности;

4. Основные принципы построения системы комплексной информационной безопасности:

o принцип равномощности (комплексности);

o принцип непрерывности защиты;

o разумная достаточность;

o гибкость системы защиты;

o принцип независимости стойкости СЗИ от раскрытия информации о механизмах ее использования;

o принцип простоты применения.

5. Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты:

o создание службы обеспечения конфиденциальности (СОК);

o перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.

6. Рекомендации по методологии построения матрицы конфиденциальности:

o определение объектов и субъектов информационных потоков;

o определение характеристик и признаков объектов и субъектов информационных потоков (матрицы конфиденциальности);

o построение правил разграничения доступа субъектов к объектам информационных потоков на основании матрицы конфиденциальности.

7. Методика оценки рисков:

o методика анализа угроз конфиденциальной информации и построения неформальной модели нарушителя;

o методика определения общих требований к защищенности автоматизированной системы:

§ классификационные требования Гостехкомиссии России к защищенности от НСД средств вычислительной техники и автоматизированных систем;

§ классификационные требования ФАПСИ к системам защиты информации;

§ основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации.

8. Методика определения уровня ЗИ в соответствии с РД ФАПСИ и ГТК.