Як захищатися?

date image 2014-02-02
views image 310
Поделись с друзьями: 
123456

Найбільш простий спосіб - купити новітні рекламовані засоби захисту й установити їх у себе в організації, не утруждая себе обґрунтуванням їхньої корисності й ефективності. Якщо компанія багата, то вона може дозволити собі цей шлях. Однак щирий керівник повинен системно оцінювати ситуацію й правильно витрачати кошти. В усьому світі зараз прийнято будувати комплексну систему захист інформації й інформаційних систем у кілька етапів - на основі формування концепції інформаційної безпеки, маючи на увазі в першу чергу взаємозв'язок її основних понять (рис. 7.2)

Перший етап - інформаційне обстеження підприємства - найважливіший. Саме на цьому етапі визначається, від чого в першу чергу необхідно захищатися компанії.


Рис. 7.2. Взаємозалежні параметри поля інформаційної безпеки

Спочатку будується так звана модель порушника, що описує ймовірний вигляд зловмисника, тобто його кваліфікацію, наявні засоби для реалізації тих або інших атак, звичайний час дії й т.п. На цьому етапі можна одержати відповідь на два питання, які були задані вище: "Навіщо й від кого треба захищатися?" На цьому ж етапі виявляються й аналізуються уразливі місця й можливі шляхи реалізації погроз безпеки, оцінюється ймовірність атак і збиток від їхнього здійснення.

За результатами етапу виробляються рекомендації з усунення виявлених погроз, правильному вибору й застосуванню засобів захисту. На цьому етапі може бути рекомендовано не здобувати досить дорогі засоби захисту, а скористатися вже наявними в розпорядженні. Наприклад, у випадку, коли в організації є потужний маршрутизатор, можна рекомендувати скористатися убудованими в нього захисними функціями, а не здобувати більше дорогий межсетевой екран (Fairwall).

Поряд з аналізом існуючої технології повинна здійснюватися розробка політики в області інформаційної безпеки й зводу організаційно-розпорядницьких документів, що є основою для створення інфраструктури інформаційної безпеки (рис. 7.3).Ці документи, засновані на міжнародному законодавстві й законах Російської федерації й нормативних актів, дають необхідну правову базу службам безпеки й відділам захисту інформації для проведення всього спектра захисних заходів, взаємодії із зовнішніми організаціями, залучення до відповідальності порушників і т.п.


Рис. 7.3. Складові інфраструктури інформаційної безпеки

Формування політики ИБ повинне зводитися до наступних практичних кроків.

  1. Визначення й розробка керівних документів і стандартів в області ИБ, а також основних положень політики ИБ, включаючи:
    • принципи адміністрування системи ИБ і керування доступом до обчислювальних і телекомунікаційних засобів, програмам і інформаційним ресурсам, а також доступом у приміщення, де вони розташовуються;
    • принципи контролю стану систем захисту інформації, способи інформування про інциденти в області ИБ і виробіток коригувальних мір, спрямованих на усунення погроз;
    • принципи використання інформаційних ресурсів персоналом компанії й зовнішніх користувачів;
    • організацію антивірусного захисту й захисту проти несанкціонованого доступу й дій хакеров;
    • питання резервного копіювання даних і інформації;
    • порядок проведення профілактичних, ремонтних і відбудовних робіт;
    • програму навчання й підвищення кваліфікації персоналу.
  2. Розробка методології виявлення й оцінки погроз і ризиків їхнього здійснення, визначення підходів до керування ризиками: чи є достатнім базовий рівень захищеності або потрібно проводити повний варіант аналізу ризиків.
  3. Структуризацію контрзаходів по рівнях вимог до безпеки.
  4. Порядок сертифікації на відповідність стандартам в області ИБ. Повинна бути визначена періодичність проведення нарад по тематиці ИБ на рівні керівництва, включаючи періодичний перегляд положень політики ИБ, а також порядок навчання всіх категорій користувачів інформаційної системи з питань ИБ.

Наступним етапом побудови комплексної системи інформаційної безпеки служить придбання, установка й настроювання рекомендованих на попередньому етапі засобів і механізмів захисту інформації. До таких засобів можна віднести системи захисту інформації від несанкціонованого доступу, системи криптографічного захисту, межсетевые екрани, засоби аналізу захищеності й інші.

Для правильного й ефективного застосування встановлених засобів захисту необхідний кваліфікований персонал.

Із часом наявні засоби захисту застарівають, виходять нові версії систем забезпечення інформаційної безпеки, постійно розширюється список знайдених слабких місць і атак, міняється технологія обробки інформації, змінюються програмні й апаратні засоби, приходить і йде персонал компанії. Тому необхідно періодично переглядати розроблені організаційно-розпорядницькі документи, проводити обстеження ИС або її підсистем, навчати новий персонал, обновляти засобу захисту.

Проходження описаним вище рекомендаціям побудови комплексної системи забезпечення інформаційної безпеки допоможе досягти необхідного й достатнього рівня захищеності вашої автоматизованої системи.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

123456

double arrow
Сейчас читают про:
article image
Расчет на прочность при срезе и смятии
article image
Источники международного права
article image
Контроль за санитарным состоянием тумбочек, холодильников, за ассортиментом и сроками хранения продуктов
article image
МЕТОДЫ ПРОГНОЗИРОВАНИЯ
article image
Назначение, устройство и работа делителя передач. Управление коробкой передач с делителем
article image
ВЫПИСКА, ХРАНЕНИЕ И ПРИМЕНЕНИЕ ЛЕКАРСТВЕННЫХ СРЕДСТВ
article image
Самый сильный аргумент, почему эволюция человека не могла быть

В своей жизни мне часто приходилось проглатывать собственные слова, и должен признаться, что это всегда была очень полезная диета. © Черчилль ==> читать все изречения...
like icon 5851
like icon 5717
Понравился сайт? Поделись им с друзьями: