На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Последовательность действий при разработке системы обеспечения информационной безопасности объекта

 

Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима информационной безопасности в том или ином виде должны содержать следующие этапы:

•  Определение политики информационной безопасности.

•  Определение границ управления информационной безопасностью и конкретизация целей ее создания.

•  Оценка рисков и управление рисками.

•  Выбор контрмер, обеспечивающих информационную безопасность.

•  Составление плана защиты.

•  Реализация плана защиты.

Определение политики информационной безопасности

Определение политики информационной безопасности должно сводиться к следующим шагам:

1.  Определение используемых руководящих документов и стандартов в области информационной безопасности, а также основных положений политики ИБ.

2.  Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный анализ рисков.

3. Структуризация контрмер по уровням.

4. Порядок сертификации на соответствие стандартам в области ИБ.

Результатом данного этапа является документы, определяющие политику информационной безопасности

Определение границ управления информационной безопасности

Описание границ системы рекомендуется выполнять по следующему плану:

1. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы.

2. Определение размещения средств вычислительной техники и поддерживающей инфраструктуры.

3. Инвентаризация информационных ресурсов.

Для работ на данном этапе должны быть собраны следующие сведения:

•  Организационно-штатная структура предприятия или организации.

•  Перечень сведений, составляющих коммерческую или служебную тайну.

•  Характеристика и план объекта.

•  Описание информационных потоков.

•  Структура и состав автоматизированной системы.

•  Перечень используемых автоматизированных рабочих мест.

•  Используемые виды цифровой связи.

•  Используемые виды средств голосовой связи.

•  Порядок хранения носителей информации.

4. Определение технологии обработки информации и решаемые задачи.

Результатом данного этапа является документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности.

Оценка рисков и управление рисками

На данном этапе необходимо наиболее полно проанализировать состояние защищенности информационных ресурсов.

При этом необходимо:

• определить ценность ресурсов;

• составить список угроз, актуальных для исследуемой информационной системы;

• оценить вероятность реализации угроз с использованием модели нарушителя, моделей каналов утечки информации и несанкционированного доступа к информации, а также моделей установления информационного контакта);

• определить стратегию управления рисками.

При определении стратегии управления рисками возможно несколько подходов:

• уменьшение риска;

• уклонение от риска;

• изменение характера риска;

• принятие риска.

Результатом выполнения этапа являются документы, в которых описаны угрозы безопасности, уязвимости, возможные результаты негативного воздействия, а также предложена стратегия управления.

Выбор способов обеспечения информационной безопасности

На данном этапе определяются способы устранения угроз (какие угрозы должны быть устранены и в какой мере), производится выбор средств, которыми должна быть реализована система защиты критических ресурсов, а также определяется стоимость реализации системы защиты и расходы на ее эксплуатацию.

Составление плана защиты

План защиты представляет собой набор требований безопасности автоматизированной системы предприятия, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.

На этапе составления плана защиты выбираются соответствующие организационные и технические меры защиты. По сути, план защиты является документом, утверждаемым руководителем предприятия (организации), вводящим в действие систему защиты информации.

Реализация плана защиты

На данном этапе проводятся мероприятия, описанные в плане защиты, включая разработку необходимых документов, заключение договоров с поставщиками, монтаж и настройку оборудования и т.д.

 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru