При первоначальной разработке и реализации системы защиты ИС обычно выделяют три стадии.
Первая стадия - выработка требований включает:
· выявление и анализ уязвимых в НС и ИТ элементов, которые могут подвергнуться угрозам;
· выявление или прогнозирование угроз,. которым могут подвергнуться уязвимые элементы ИС;
. анализ риска.
Стоимостное выражение вероятного события, ведущего к потерям, называют риском. Оценки степени риска в случае осуществления того или иного варианта угроз, выполняемые по специальным методикам, называют анализом риска.
На второй стадии ~ определение способов защиты - принимаются решения о том:
· какие угрозы должны быть устранены и в какой мере;
· какие ресурсы НС должны быть защищаемы и в какой степени;
· с помощью каких средств должна быть реализована защита;
· каковы должны быть стоимость реализации защиты и затраты на эксплуатацию ИС с учетом защиты от потенциальных угроз.
Вторая стадия предусматривает разработку плана защиты и формирование политики безопасности, которая должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.
План защиты содержит следующие разделы (группы сведений):
1. Текущее состояние системы (как результат работы первой Стадии).
2. Рекомендации по реализации системы защиты.
3. Ответственность персонала.
4. Порядок ввода в действие средств защиты.
5. Порядок пересмотра плана и состава защиты.
Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку, реализуемых при помощи организационных мер и программно-технических средств и определяющих архитектуру системы защиты. Для конкретных организаций политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и Т.д.
Третья стадия - построение системы информационной безопасности, Т.е. реализация механизмов защиты как комплекса процедур и средств обеспечения безопасности информации. В заключение производится оценка надежности системы защиты, т.С. уровня обеспечиваемой ею бе3Ofraсности.
Функционирование системы информационной безопасности направлено на реализацию принципа непрерывного развития. Необходимо с определенной периодичностью анализировать текущее состояние системы и вводить в действие новые средства защиты.
В этом отношении интересна практика защиты информации в США.
Американский специалист в области безопасности информации А. Паток предлагает концепцию системного подхода к обеспечению защиты конфиденциальнсти информации, получившую на: шание «метод Opsec» (Орегаtiоп Sесшitу).
Суть метода в том, чтобы пресечь, предотвратит или ограничить утечку той части информации, которая позволит конкуренту определить,то осуществляет или планирует предприятие.
Процесс организации защиты информации по методу Opsec проводится регулярно и каждый раз поэтапно.
Первый этап (анализ объекта защиты) состоит в определении того, что нужно защищать.
Анализ проводится по следующим направлениям:
. определяется информация, которая нуждается в защите;
11 выделяются наиболее важные элементы (критические) ащаемой информации;
11 Определяется срок жизни критической информации (время, необходимость конкуренту дня реализации добытой информации);
11 определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;
111 классифицируются индикаторы по функциональным предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения управления и т.д.).
Второй этап предусматривает выявление угроз:
определяется, кого может заинтересовать защищаемая информация;
оцениваются методы, используемые конкурентами для получения этой информации;
оцениваются вероятные каналы утечки информации;
разрабатывается система мероприятий по пресечению действий конкурента или любого взломщика.
На третьем этапе проводится анализ эффективности принятых и поспешно действующих обеспечению безопасности (физическая безопасность докуменции, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.).
На четвертом этапе определяются необходимые меры защиты. На основании проведенных на первых трех этапах аналитических исследований вырабатываются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.
На пятом этапе руководителями фирмы (организации) рассматриваются представленные предложения по всем необходимым мерам безопасности расчеты их стоимости и эффективности.
Шестой этап состоит в реализации принятых дополнительных мер безопасности с учетом установленных приоритетов.
Седьмой этап предполагает контроль и доведение до персонала фирмы реализуемых мер безопасности.
Следует отметить, что рассмотренный метод требует участия в его реализации группы аналитиков из числа опытных специалистов как в области информатики, так и в тех областях знании, которые необходимы дли проведения анализа.
Из главы рекомендуется запомнить
EI Недооценка проблем, связанных с безопасностью информации, приводит к огромному ущербу. Рост компьютерной преступности вынуждает заботится об информационной безопасности.
EI Эксплуатация в российской практике однотипных массовых программно-технических средств (например, IВМ-совместимые персональные компьютеры, операционные системы - Windows, Unix, MS DOS, Netwarc и ТД) создаст в определенной мере условия для злоумышленников.
EI Стратегия построения системы защиты информации должна опираться на комплексные решения, интеграцию информационных технологий и систем защиты, использование передовых методик и средств, универсальные технологии защиты информации промышленного типа.
Вопросы и знания для самоконтроля
1. Какие существуют виды угроз информации? Дайте понятие угрозы. 2.Охарактеризуйте способы защиты информации.
3. Рассмотрите управление доступом, как способ защиты информации, его роли и значение.
4. Каково назначение криптографических методов защиты информации? Перечислите эти методы.
5. Дайте понятия аутентификации и цифровой подписи. В чем состоит их сущности.
6. В чем заключаются проблемы защиты информации в сетях и каковы возможности их разрешения?
7. Раскройте особенности стратегии защиты информации с использованием системного подхода, комплексных решений и принципа интеграции в информационных технологиях.
8. Рассмотрите этапы создания систем защиты информации,