При создании КСЗИ необходимо учитывать, что информацию следует защищать во всех видах ее существования — документальном (бумажные документы, микрофильмы и т.п.), электронном, содержащемся и обрабатываемом в автоматизированных системах (АС) и отдельных средствах вычислительной техники (СВТ); это относится к персоналу, который обрабатывает информацию. Необходимо также принимать меры по защите; информации от утечки по техническим каналам. При этом требуется защищать информацию не только от несанкционированно го доступа (НСД) к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах нарушения работоспособности АС и СВТ, воздействия на персонал и т. п. Должны быть обеспечены конфиденциальность целостность и доступность информации. Таким образом, защищать необходимо все компоненты информационной структуры предприятия — помещения, аппаратуру, информационные системы, документы на бумажных и электронных носителях, сети;: связи, персонал и т.д.
|
|
Целью проводимых работ должно являться построение комплексной системы зашиты информации. Это предполагает необходимость использования, создания и разработки совокупности методологических, организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на использовании методологии построения комплексной системы защиты |информации.
Можно выделить три направления работ по созданию КСЗИ:
• методическое, в рамках которого создаются методологические компоненты КСЗИ, разрабатывается замысел ее построения, прорабатываются правовые вопросы; >
• организационное, в ходе которого разрабатываются распорядительные документы, проводится обучение и инструктаж персонала и т.д.
• техническое, заключающееся, в выборе, закупке и инсталляции программных, программно-аппаратных и аппаратных средств
защиты информации.
Для эффективного обеспечения безопасности информации требуется создание развитого методологического аппарата, позволяющего решить следующие комплексные задачи [6]:
• создать систему органов, ответственных за безопасность информации;
• разработать теоретико-методологические основы, обеспечения безопасности информации;
• решить проблему управления защитой информации и ее автоматизации;
• создать нормативно-правовую базу, регламентирующую решение всех задач обеспечения безопасности информации;
• наладить производство средств защиты информации;
• организовать подготовку специалистов по защите информации;
• подготовить нормативно-методологическую базу для проведения работ по обеспечению безопасности информации.
|
|
Особою внимания требует проработка правовых вопросов обеспечения безопасности информации. Необходимо проанализировать всю совокупность законодательных актов, нормативно-правовых документов, требования которых обязательны в рамках сферы деятельности по защите информации. Предметом правового регулирования является правовой режим информации (степень конфиденциальности, собственность, средства и формы защиты информации, которые можно использовать), правовой статус участников информационного взаимодействия, порядок отношения субъектов с учетом их правового статуса.
Организационное обеспечение заключается в регламентации взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к информации становится невозможным или будет существенно затруднен за счет проведения организационных мероприятий.
Организационное обеспечение состоит из таких компонентов, как подбор сотрудников и службы безопасности; оборудование служебных помещений; организация режимно - пропускной службы; организация хранения документов; организация системы делопроизводства; эксплуатация технических средств; создание охраняемых зон.
Техническое направление работ по созданию КСЗИ состоит в выборе, закупке и инсталляции средств зашиты информации: физических; аппаратных; программных; аппаратно-программных.
1. Планирование инженерно-технического обеспечения КСЗИ рекомендуется проводить в соответствии со следующей методикой [251: Анализ объекта и ресурсов, подлежащих защите.
2.Выявление способов несанкционированного доступа и каналов утечки информации.
3.Составление моделей угроз и способов их реализации.
4. Выбор защитных мероприятий.
5. Анализ риска.
6.Формулирование политики безопасности.
7. Составление плана инженерно-технических мероприятии комплексной зашиты информации.
8.Оценка эффективности принятых решений.
В рамках методического направления создания КСЗИ должна быть разработана политика безопасности. Иногда ее также называют концепцией безопасности.
Мероприятия по созданию КСЗИ, реализуемые вне единого комплекса мер, прописанных в рамках концепции политики безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности. Поэтому рассмотрим основные принципы, лежащие в основе политики безопасности.