В качестве конкретных объектов защиты, как правило, выступают не разрозненные носители информации, а объединённая общими задачами упорядоченная их совокупность. Тогда в целом под объектом защиты понимается информационная система (ИС), реализующая автоматизированный сбор, обработку и манипулирование данными, и включающая: технические средства, программное обеспечение, соответствующий персонал и вспомогательные средства (рис. 5).
Рис. 5
Систему защиты информации (СЗИ) концептуально для конкретных объектов (информационных систем) в соответствии с [2] можно представить в виде:
Ø основ построения системы защиты информации;
Ø направлений по защите информации;
Ø этапов построения СЗИ.
Основой построения СЗИ являются.
1. Законодательная, нормативно-правовая, научная и методическая база обеспечения защиты информации.
2. Структура и задачи органов (подразделений), обеспечивающих безопасность информационных технологий.
3. Организационно-технические и режимные меры и методы защиты информации.
4. Программно-технические способы и средства, используемые для защиты информации.
Направления защиты информации формируются исходя из конкретных особенностей информационной системы как объекта защиты. В общем случае, исходя из типовой структуры ИС и исторически сложившихся видов работ по защите информации, можно выделить следующие направления.
1. Защита объектов информационных систем.
2. Защита процессов, процедур и программ обработки информации.
3. Защита каналов связи.
4. Подавление побочных электромагнитных излучений и наводок.
5. Управление системой защиты.
Этапы построения СЗИ необходимо пройти в равной степени для всех и каждого в отдельности направлений (с учетом всех основ).
В общем случае можно выделить следующие этапы построения СЗИ, содержание которых несколько отличается от приведенных в [2].
1. Определение информационных ресурсов (ИР), подлежащих защите.
2. Выявление полного множества угроз безопасности ИР, подлежащих защите.
3. Проведение оценки уязвимости и рисков для ИР, подлежащих защите, при выявленном множестве угроз;
4. Разработка проекта (плана) системы защиты информации, снижающего по выбранному критерию риски для ИР, подлежащих защите, при выявленном множестве угроз;
5. Реализация проекта (плана) защиты информации.
6. Определение качества реализованной системы защиты.
7. Осуществление контроля функционирования и управление системой защиты.
Взаимосвязь всех элементов системы защиты информации показана на рис. 6.
Прохождение этапов необходимо в той или иной степени осуществлять непрерывно и по замкнутому циклу, с проведением соответствующего анализа состояния СЗИ и уточнением требований к ней после каждого шага (рис. 7).
Рис. 7
Используя международный стандарт ISO/IEC 15408 "Общие критерии оценки безопасности информационных технологий", можно показать (рис. 8) динамику построения системы защиты информации и происходящие при этом процессы.
Рис. 8
Здесь
контрмеры – комплекс средств защиты;
угрозы события, которые потенциально могут нарушить одно из защищаемых свойств информации;
нарушитель – человек, деятельность которого может привести к реализации угроз, т.е он является источником;
уязвимости – свойства носителей информации, которые могут способствовать реализации угроз безопасности информации;
риск – величина, характеризующая возможность понести ущерб из-за нарушения режима информационной безопасности
управлением рисками ‑ процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.