2015-04-17
603
Выделяют еще один тип АС [9] – системы информационной безопасности (СИБ).
СИБ представляют собой решение, направленное на обеспечение защиты критичной информации организации от разглашения, утечки и несанкционированного доступа. Как и КСЗИ, СИБ объединяет в себе комплекс организационных мероприятий и технических средств защиты информации.
СИБ в основном предназначены для защиты информации в АС класса 2 и класса 3. Однако между КСЗИ и СИБ есть принципиальные отличия.
Первое отличие заключается в том, что при построении СИБ нет необходимости выполнять требования нормативных документов в сфере технической защиты информации, так как основными потребителями СИБ являются коммерческие организации, которые не обрабатывают информацию, принадлежащую государству. Вторым принципиальным отличием является отсутствие контролирующего органа, и, как следствие, спроектированная СИБ не требует проведения государственной экспертизы. Еще одно отличие от КСЗИ — свободный выбор технических средств, возможное применение любых аппаратных и программных средств защиты информации.
|
|
|
СИБ можно рекомендовать коммерческим организациям, которые заботятся о сохранности своей коммерческой (критичной) информации или собираются принимать меры по обеспечению безопасности своих информационных активов.
Для определения необходимости построения СИБ и направления работ по защите информации, а также для оценки реального состояния информационной безопасности организации необходимо проводить аудит информационной безопасности.
Применительно к КСЗИ РСО и КСЗИ АС класса 2 и класса 3 проведение такого аудита тоже является первым этапом работ. Такие работы называются обследованием информационной инфраструктуры организации.
Важным моментом, который касается эксплуатации как КСЗИ АС класса 2 и класса 3, так и СИБ, является тот факт, что недостаточно просто построить и эксплуатировать эти системы защиты, необходимо постоянно их совершенствовать так же, как совершенствуются способы несанкционированного доступа, методы взлома и хакерские атаки.
Сравнительный анализ всех перечисленных систем защиты информации представлен в таблице 1.
Как мы видим, более жесткие требования выдвинуты к процессу построения КСЗИ и исполнителю этих работ по сравнению с требованиями к построению СИБ.
В дальнейшем, при проектировании системы защиты будем брать за основу АС класса 1 и 2, так как именно эти системы обработки информации представляют наиболее огромный интерес у злоумышленника с точки зрения ее хищения.
Таблица 1.1 – Сравнительный анализ систем защиты информации
|
|
|
| Особенности КСЗИ | РСО КСЗИ | АС класса 2 (3) | СИБ |
| Потребители услуг | Органы государственной власти, коммерческие организации | Органы государственной власти, коммерческие организации | Коммерческие организации |
| Обрабатываемая информация | Конфиденциальная информация, которая принадлежит государству, или информация, которая содержит государственную тайну | Конфиденциальная информация, которая принадлежит государству (физическому лицу), или открытая информация, которая принадлежит государству | Критическая информация организации (персональная, финансовая, договорная информация, информация о заказчиках) |
| Субъекты | Заказчик Исполнитель Контролирующий орган | Заказчик Исполнитель Контролирующий орган | Заказчик Исполнитель |
| Наличие лицензии на проведение работ по построению | Лицензия на проведение работ по технической защите информации | Лицензия на проведение работ по технической защите информации | Не требуется |
| Проведение государственной экспертизы | Обязательно | Обязательно | Не требуется |
| Технические средства защиты информации | Только сертифицированные средства защиты информации | Только сертифицированные средства защиты информации | Любые средства защиты информации |
| Выполнение требований нормативной базы | Обязательно | Обязательно | Не требуется |
