Мероприятия по защите информации

Мероприятия охватывают целый ряд аспектов законодательного, организационного и программно-технического характера. Для каждого из них формулируется ряд задач, выполнение которых необходимо для защиты информации. Перечислим самые общие из них.

В нормативно-законодательном аспекте необходимо решение следующих задач:

· определение круга нормативных документов международного, федерального и отраслевого уровня, применение которых требуется при проектировании и реализации системы информационной безопасности;

· определение на основе нормативных документов требований по категорированию информации;

· определения на основе нормативных документов базовых требований к системе информационной безопасности и ее компонентам.

В организационном аспекте:

· определение соответствия структурируемой и защищаемой информации подсистемам и ресурсам информационной системы, в которых производится хранение, обработка и передача информации конечному пользователю (должно быть организовано ведение реестра ресурсов, содержащих информацию, значимую по критериям конфиденциальности, целостности и доступности);

· определения набора служб, обеспечивающих доступ к информационным ресурсам системы (необходима выработка и согласование типовых профилей пользователей, ведение реестра таких профилей);

· формирования политики безопасности, включающей описание границ и способов контроля безопасного состояния системы, условия и правила доступа различных пользователей к ресурсам системы, мониторинга деятельности пользователей.

В процедурном аспекте:

· организация физической защиты помещений и компонентов информационной системы, включая сети и телекоммуникационные устройства;

· обеспечение решения задач информационной безопасности при управлении персоналом;

· формирование, утверждение и реализация плана реагирования на нарушения режима безопасности;

· внесение дополнений, связанных со спецификой ликвидации последствий несанкционированного доступа, в план восстановительных работ.

В программно-техническом аспекте:

· обеспечение архитектурной и инфраструктурной полноты решений, связанных с хранением, обработкой и передачей конфиденциальной информации;

· обеспечение проектной и реализационной непротиворечивости механизмов безопасности по отношению к функционированию информационной системы в целом;

· выработка и реализация проектных и программно-аппаратных решений по механизмам безопасности.

Рассматривая эти аспекты применительно к обеспечению безопасности современных информационных систем, можно сфокусировать их на следующих положениях [Галатенко В.А., 2006]:

· базовые требования к ИБ и техническое задание на создание защищенной ИС разрабатываются с учетом федеральных и региональных законов и нормативных документов, с использованием международных стандартов

· корпоративная ИС может иметь несколько территориально разнесенных частей, связи между которыми находятся в ведении внешнего поставщика сетевых услуг например, частные виртуальные сети (Virtual Private Net — VPN), выходящие за пределы зоны, контролируемой организацией;

· корпоративная сеть имеет одно или несколько подключений к Internet;

· на каждой из производственных площадок могут находиться критически важные серверы, в доступе к которым нуждаются сотрудники, работающие на других площадках, мобильные пользователи и, возможно, внешние пользователи;

· для доступа пользователей могут применяться не только компьютеры, но и потребительские устройства, использующие, в частности, беспроводную связь, не все пользовательские системы контролируются сетевыми и/или системными администраторами организации;

· в течение одного сеанса работы пользователю приходится обращаться к нескольким информационным сервисам, опирающимся на разные аппаратно-программные платформы;

· к доступности информационных сервисов предъявляются жесткие требования, которые обычно выражаются в необходимости круглосуточного функционирования с максимальным временем простоя порядка нескольких минут;

· ИС представляет собой сеть с активными агентами, то есть в процессе работы программные компоненты, такие как апплеты или сервлеты, передаются с одной машины на другую и выполняются в целевой среде, поддерживая связь с удаленными компонентами;

· программное обеспечение, особенно полученное по сети, не может считаться надежным, в нем могут быть ошибки, создающие проблемы в защите;

· конфигурация ИС постоянно изменяется на уровнях административных данных, программ и аппаратуры (меняется состав пользователей, их привилегии и версии программ, появляются новые сервисы, новая аппаратура и т.п.).

При формулировании требований к обеспечению информационной безопасности и построению соответствующей функциональной модели ИБ, следует учитывать следующие важные моменты.

Во-первых, для каждого сервиса основные требования к ИБ (доступность, целостность, конфиденциальность) трактуются по-своему. Целостность с точки зрения СУБД и с точки зрения почтового сервера — вещи принципиально разные. Бессмысленно говорить о безопасности локальной или иной сети вообще, если сеть включает в себя разнородные компоненты. Следует анализировать защищенность конкретных сервисов и устройств, функционирующих в сети. Для разных сервисов и защиту строят по-разному.

И, во-вторых, основная угроза ИБ организаций, как было отмечено выше, в большей степени исходит не от внешних злоумышленников, а от собственных сотрудников. В связи с этим необходима разработка и внедрения в практику работы предприятия совокупности управленческих и организационных мер по обеспечению ИБ.

⇐ Предыдущая234567891011Следующая ⇒

Поделиться: