Приступая к созданию конкретной системы защиты информации (СЗИ), необходимо определится с тем, какая именно информация подлежит защите, какие силы, методы и средства для этого потребуются.
По этой причине системы защиты информации создают по методике, предполагающей следующую, циклически повторяющуюся в течение всего периода ее функционирования, последовательность действий.
1. Определение информации, подлежащей защите.
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации.
3. Оценка уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки.
4. Определение требований к системе защиты.
5. Осуществление выбора средств защиты информации и их характеристик.
6. Внедрение и организация использования выбранных мер, способов и средств защиты.
7. Осуществление контроля целостности и управление системой защиты.
Указанная последовательность действий осуществляется непрерывно по замкнутому циклу, с проведением соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага.
|
|
Непрерывный цикл создания СЗИ |
Построение СЗИ всегда начинают с определения объема той информации, которую необходимо защищать. Такая оценка принципиально необходима и должна быть по возможности точной, поскольку мероприятия направленные на ее защиту стоят очень дорого. Достаточно сказать, что ведущие фирмы в странах с высокоразвитой экономикой тратят на защиту своих производственных и коммерческих секретов до 20-ти процентов чистой прибыли.
Система защиты информации должна создаваться одновременно с созданием предприятия или организации, в которой она будет функционировать. Это поможет свести к минимуму экономические и моральные потери в случае атаки злоумышленников на информацию. С этой целью создается служба безопасности. В ее задачи входит реализация правовых, организационных и технических мер защиты информации.
Создание такой службы должно начинаться с экономического обоснования ее создания, поскольку не каждой организации под силу нести расходы по ее содержанию.
Организационные меры по защите информации на предприятии сводятся к регламентированию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей нанесение ущерба коммерческой деятельности.
Oрганизационны меры:
- действия службы безопасности, которые связаны с подбором и расстановкой кадров;
- поддержка установленного режима охраны на предприятии;
- выполнение мер по обеспечению сохранения конфиденциальной информации.
|
|
Техническая защита предполагает использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности. К техническим средствам и методам следует отнести: физические, аппаратные и программные средства, а также математические (криптографические) методы.
Служба безопасности, на которую возлагается выполнение перечисленных мероприятий, может включать, помимо руководства самой службы, аналитиков, юристов, специалистов в области безопасности и промышленной разведки, специалистов по технической защите помещений, а также сотрудников охраны и пропускного режима.