double arrow

Подходы к созданию систем защиты информации

2

Приступая к созданию конкретной системы защиты информации (СЗИ), необходимо определится с тем, какая именно информация подлежит защите, какие силы, методы и средства для этого потребуются.

По этой причине системы защиты информации создают по методике, предполагающей следующую, циклически повторяющуюся в течение всего периода ее функционирования, последовательность действий.

1. Определение информации, подлежащей защите.

2. Выявление полного множества потенциально возможных угроз и каналов утечки информации.

3. Оценка уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки.

4. Определение требований к системе защиты.

5. Осуществление выбора средств защиты информации и их характеристик.

6. Внедрение и организация использования выбранных мер, способов и средств защиты.

7. Осуществление контроля целостности и управление системой защиты.

Указанная последовательность действий осуществляется непрерывно по замкнутому циклу, с проведением соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага.

Непрерывный цикл создания СЗИ

Построение СЗИ всегда начинают с определения объема той информации, которую необходимо защищать. Такая оценка принципиально необходима и должна быть по возможности точной, поскольку мероприятия направленные на ее защиту стоят очень дорого. Достаточно сказать, что ведущие фирмы в странах с высокоразвитой экономикой тратят на защиту своих производственных и коммерческих секретов до 20-ти процентов чистой прибыли.

Система защиты информации должна создаваться одновременно с созданием предприятия или организации, в которой она будет функционировать. Это поможет свести к минимуму экономические и моральные потери в случае атаки злоумышленников на информацию. С этой целью создается служба безопасности. В ее задачи входит реализация правовых, организационных и технических мер защиты информации.

Создание такой службы должно начинаться с экономического обоснования ее создания, поскольку не каждой организации под силу нести расходы по ее содержанию.

Организационные меры по защите информации на предприятии сводятся к регламентированию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей нанесение ущерба коммерческой деятельности.

Oрганизационны меры:

- действия службы безопасности, которые связаны с подбором и расстановкой кадров;

- поддержка установленного режима охраны на предприятии;

- выполнение мер по обеспечению сохранения конфиденциальной информации.

Техническая защита предполагает использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности. К техническим средствам и методам следует отнести: физические, аппаратные и программные средства, а также математические (криптографические) методы.

Служба безопасности, на которую возлагается выполнение перечисленных мероприятий, может включать, помимо руководства самой службы, аналитиков, юристов, специалистов в области безопасности и промышленной разведки, специалистов по технической защите помещений, а также сотрудников охраны и пропускного режима.


2

Сейчас читают про: