Объекты защиты

date image 2014-02-03
views image 1353
Поделись с друзьями: 
13141516171819

Содержание концепции построения КСЗИ

Определение условий функционирования КСЗИ

Гл а в а 10

При построении КСЗИ важно обеспечить полноту составляю­щих зашиты, учесть все факторы и обстоятельства, оказывающие влияние на качество защиты. Необходимо обеспечить безопас­ность всей совокупности подлежащей защите информации во всех компонентах ее сбора, хранения, передачи и использования, а также во время и при всех режимах функционирования систем обработки информации.

Понятно, что'выполнение вышеприведенных требований в первую очередь требует создания замысла (концепции) построе­ния КСЗИ. Рассмотрим содержательную составляющую написа­ния такой концепции на примере «Концепции обеспечения без­опасности информации в автоматизированной системе организа­ции»; 150] (далее — Концепция). Конечно, этот документ не охва­тывает всех вопросов, связанных с защитой информации пред­приятия, но обработка информации в электронном виде приоб­ретает все больший вес, что объясняет важность изучения данной концепции.

Рассматриваемая Концепция состоит из введения, восьми раз­делов и приложений.

Основные разделы Концепции следующие:

1. Общие положения.

2. Объекты защиты.

3. Цели и задачи обеспечения безопасности информации.

4. Основные угрозы безопасности информации АС организации.

5. Основные положения технической политики в области обес­печения безопасности информации АС организации.

6. Основные принципы построения системы комплексной за­щиты информации (КСЗИ).

7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов.

8. Первоочередные мероприятия по обеспечению безопасно­сти информации АС организации.

Во введении кратко описаны причины создания Концепции, ее роль в создании КСЗИ предприятия. В приложениях даны ссыл­ки на нормативные и правовые акты, приведены используемые терминология и сокращения.

В разделе «Общие положения» детализируются вопросы, за­тронутые во введении. Здесь же отмечается, что Концепция — методологическая основа:

• для формирования и проведения единой политики в области обеспечения безопасности информации в АС организации;

• принятия управленческих решений и разработки практиче­ских мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правово­го, технологического и организационно-технического характе­ра, направленных на выявление, отражение и ликвидацию по­следствий реализации различных видов угроз безопасности ин­формации;

• координации деятельности структурных подразделений орга­низации при проведении работ по созданию, развитию и эксплу­атации АС организации с соблюдением требований обеспечения безопасности информации;

• разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации АС организации.

В этом разделе приведены ограничения по рассматриваемым в Концепции вопросам. В частности, указано, что вне пределов описания остались вопросы физической защиты объектов пред­приятия. Кроме того, указано, что «основные положения Кон­цепции базируются на качественном осмыслении вопросов без­опасности информации и не концентрируют внимание на эконо­мическом (количественном) анализе рисков и обосновании необ­ходимых затрат на защиту информации».

Рассмотрим подробнее содержание других разделов Концеп­ции.

В данном разделе Концепции приведены сведения:

• о назначении, целях создания и эксплуатации АС организа­ции как объекта информатизации;

• о структуре, составе и размещении основных элементов АС организации, информационных связях с другими объектами;

• о категориях информационных ресурсов, подлежащих защите;. о категориях пользователей АС организации, режимах ис­пользования и уровнях доступа к информации;

• об уязвимости основных компонентов АС.

В качестве основных объектов защиты выделены:

• информационные ресурсы, причем не только с ограничен­ным доступом, но и иные, чувствительные по отношению к нару­шению их безопасности;

. процессы обработки информации в АС;

• информационная инфраструктура, включающая системы об­работки и анализа информации, технические и программные сред­ства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и сред­ства защиты информации, объекты и помещения, в которых раз­мещены чувствительные компоненты АС.

Общие сведения об АС приводятся в силу того, что КСЗИ яв­ляется подсистемой АС и должна способствовать достижению сто­ящих перед АС целей.

Сведения о размещении компонентов АС позволяют глубже понять задачи КСЗИ. В частности, современные АС предприятия территориально распределены, что накладывает требования защиты каналов связи, проходящих вне контролируемой территории. Если в АС циркулирует информация разных категорий, следовательно, необходимо применение средств разграничения доступа. В случае объединения локальных сетей, обрабатывающих информацию с различным грифом конфиденциальности, необходимо примене­ние межсетевого экранирования и т.д.

Приводимые сведения о комплексе технических средств АС позволяют в дальнейшем определить уязвимые места, нуждающе­еся в обновлении оборудование и определяют во многом выбор СЗИ.

В этом разделе достаточно подробно перечисляются объекты информатизации:

• технологическое оборудование (средства вычислительной тех­ники, сетевое и кабельное оборудование);

• информационные ресурсы, содержащие сведения ограничен­ного доступа и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, информа­ционных физических полях, массивах и базах данных;

• программные средства (операционные системы, системы уп­равления базами данных, другое общесистемное и прикладное про­граммное обеспечение);

• автоматизированные системы связи и передачи данных (сред­ства телекоммуникации);

• каналы связи, по которым передается информация (в том числе ограниченного распространения);

• служебные помещения, в которых циркулирует информация ограниченного распространения;

• технические средства (звукозаписи, звукоусиления, звуковос­произведения, изготовления, тиражирования документов, переговорные и телевизионные устройства и другие технические сред­ства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации;

• технические средства и системы, не обрабатывающие инфор­мацию (вспомогательные технические средства и системы — ВТСС), размещенные в помещениях, где обрабатывается (цирку­лирует) информация, содержащая сведения ограниченного рас­пространения.

Категории информационных ресурсов, подлежащих защите, определяют требования по их обязательной защите в соответ­ствии с законодательством, выбор средств защиты того или ино­го класса.

Например, в рассматриваемой АС имеются сведения:

• составляющие коммерческую тайну, доступ к которым огра­ничен собственником информации в соответствии с Федераль­ным законом «О коммерческой тайне»;

• составляющие банковскую тайну, доступ к которым ограни­чен в соответствии с Федеральным законом «О банках и банков­ской деятельности»;

• персональные данные, доступ к которым ограничен в соот­ветствии с Федеральным законом «О персональных данных».

Описание категорий пользователей помогает, с одной сторо­ны, определить необходимые права доступа, выделить нештатных ответственных за ОБИ, а с другой стороны, выявить потенциаль­ных нарушителей. Например:

• пользователи баз данных;

• ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);

• администраторы серверов (файловых серверов, серверов при­ложений, серверов баз данных) и ЛВС;

• системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих стан­циях пользователей;

• разработчики прикладного программного обеспечения;

• специалисты по обслуживанию технических средств вычис­лительной техники;

• администраторы информационной безопасности (специаль­ных средств защиты) и др.

Описание уязвимостей АС позволяет определить направления, на которых нужно сосредоточить первоочередные усилия. Надо отметить, что ряд уязвимостей можно закрыть организационно-техническими мерами, тогда как для других это невозможно в рамках принятой на предприятии технологии обработки инфор­мации.

В рассматриваемой Концепции оцениваются уязвимости пер­вого и второго типов.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

13141516171819

double arrow
Сейчас читают про:
article image
Константа химического равновесия
article image
Типы организационных структур управления
article image
Полупроводниковые приборы. Транзисторы
article image
Конституционно-правовые нормы: понятие, особенности и виды
article image
Анализ финансового состояния предприятия
article image
Индукция и дедукция. Анализ и синтез
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Бесполезно говорить: «Мы делаем всё, что в наших силах». Вы должны успешно выполнить то, что необходимо. © Черчилль ==> читать все изречения...
like icon 6140
like icon 6001
Понравился сайт? Поделись им с друзьями: