Последовательность действий при разработке системы обеспечения информационной безопасности объекта
Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима информационной безопасности в том или ином виде должны содержать следующие этапы:
Определение политики информационной безопасности.
Определение границ управления информационной безопасностью и конкретизация целей ее создания.
Оценка рисков и управление рисками.
Выбор контрмер, обеспечивающих информационную безопасность.
Составление плана защиты.
Реализация плана защиты.
Определение политики информационной безопасности
Определение политики информационной безопасности должно сводиться к следующим шагам:
1. Определение используемых руководящих документов и стандартов в области информационной безопасности, а также основных положений политики ИБ.
2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный анализ рисков.
3. Структуризация контрмер по уровням.
4. Порядок сертификации на соответствие стандартам в области ИБ.
Результатом данного этапа является документы, определяющие политику информационной безопасности
Определение границ управления информационной безопасности
Описание границ системы рекомендуется выполнять по следующему плану:
1. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы.
2. Определение размещения средств вычислительной техники и поддерживающей инфраструктуры.
3. Инвентаризация информационных ресурсов.
Для работ на данном этапе должны быть собраны следующие сведения:
Организационно-штатная структура предприятия или организации.
Перечень сведений, составляющих коммерческую или служебную тайну.
Характеристика и план объекта.
Описание информационных потоков.
Структура и состав автоматизированной системы.
Перечень используемых автоматизированных рабочих мест.
Используемые виды цифровой связи.
Используемые виды средств голосовой связи.
Порядок хранения носителей информации.
4. Определение технологии обработки информации и решаемые задачи.
Результатом данного этапа является документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности.
Оценка рисков и управление рисками
На данном этапе необходимо наиболее полно проанализировать состояние защищенности информационных ресурсов.
При этом необходимо:
• определить ценность ресурсов;
• составить список угроз, актуальных для исследуемой информационной системы;
• оценить вероятность реализации угроз с использованием модели нарушителя, моделей каналов утечки информации и несанкционированного доступа к информации, а также моделей установления информационного контакта);
• определить стратегию управления рисками.
При определении стратегии управления рисками возможно несколько подходов:
• уменьшение риска;
• уклонение от риска;
• изменение характера риска;
• принятие риска.
Результатом выполнения этапа являются документы, в которых описаны угрозы безопасности, уязвимости, возможные результаты негативного воздействия, а также предложена стратегия управления.
Выбор способов обеспечения информационной безопасности
На данном этапе определяются способы устранения угроз (какие угрозы должны быть устранены и в какой мере), производится выбор средств, которыми должна быть реализована система защиты критических ресурсов, а также определяется стоимость реализации системы защиты и расходы на ее эксплуатацию.
Составление плана защиты
План защиты представляет собой набор требований безопасности автоматизированной системы предприятия, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.
На этапе составления плана защиты выбираются соответствующие организационные и технические меры защиты. По сути, план защиты является документом, утверждаемым руководителем предприятия (организации), вводящим в действие систему защиты информации.
Реализация плана защиты
На данном этапе проводятся мероприятия, описанные в плане защиты, включая разработку необходимых документов, заключение договоров с поставщиками, монтаж и настройку оборудования и т.д.