Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Етапи створення комплексної системи захисту інформації

Поиск

Організація та порядок виконання робіт із захисту інформації у АС згідно з законодавством України, нормативними документами у сфері технічного та криптографічного захисту інформації передбачає визначення порядку прийняття рішень щодо складу КСЗІ кожного з вузлів (підсистем) АС залежно від умов їх функціонування і видів оброблюваної інформації, визначення переліку та обсягів робіт, етапності їх реалізації, основних завдань та порядку приймання робіт на кожного етапі.

Порядок створенняКСЗІ в АС є єдиним незалежно від того, створюється КСЗІ в елементах (підсистемах) системі, які проектуються, чи в діючих елементах АС.

Якщо певний вид робіт не нормовано національною нормативною базою з технічного захисту інформації, то допускається використання рекомендацій міжнародних стандартів, що не суперечить нормативно-правовим актам та нормативним документам України.

В рамках послуг із формування вимог до системи захисту та проектування системи захисту передбачається виконання наступних етапів:

ü проведення обстеження АС;

ü формування завдання (вихідних вимог) на створення КСЗІ;

ü розробка моделі загроз інформації;

ü розроблення ТЗ на створення КСЗІ в АС та його погодження з Держспецзв'язку України.

1. Обстеження АС. Вважається, що під час виконання цих робіт розглядається організаційно-технічна система, яка поєднує обчислювальну систему, фізичне середовище, середовище користувачів, оброблювану інформацію і технологію її обробки (далі - середовища функціонування АС).

Метою обстеження є підготовка вихідних даних для формування вимог до КСЗІ у вигляді опису кожного середовища функціонування АС та виявлення в ньому елементів, які безпосередньо чи опосередковано можуть впливати на безпеку інформації, виявлення взаємного впливу елементів різних середовищ, документування результатів обстеження для використання на наступних етапах виконання робіт.

АС вважається інтегрованою, якщо за суттю вона є сукупністю декількох взаємопов’язаних інформаційних та телекомунікаційних систем, в яких функціонування будь якої складової залежить від інших. Цей випадок потребує прискіпливої уваги під час обстеження.

Зокрема, інтегрована АС за архітектурою обчислювальної системи, функціональним завданнями компонент, особливостями середовища користувачів та технологій обробки інформації тощо може бути неоднорідною системою. У цьому випадку визначаються межі однорідних підсистем, які потім розглядаються як умовно окремі об’єкти захисту.

2. На етапі формування вихідних вимог для створення КСЗІ:

ü визначаються завдання захисту інформації в АС, мета створення КСЗІ, варіант вирішення задач захисту відповідно до стандарту ДСТУ 3396.1, основні напрями забезпечення захисту;

ü здійснюється аналіз ризиків, включаючи вивчення моделі загроз і моделі порушника, можливих наслідків від реалізації потенційних загроз, величини можливих збитків тощо, визначається перелік суттєвих загроз;

ü визначаються загальна структура та склад КСЗІ в АС, вимоги до можливих заходів, методів та засобів захисту інформації, допустимі обмеження щодо застосування певних заходів і засобів захисту, інші обмеження щодо середовищ функціонування АС, обмеження щодо використання ресурсів АС для реалізації задач захисту, припустимі витрати на створення КСЗІ, умови створення, введення в дію і функціонування КСЗІ.

3. У ході розробки моделі загроз інформації в АС створюється документ (неформальна модель), що описує можливі методи та засоби реалізації загроз для інформації в конкретних умовах функціонування автоматизованої системи.

Формування моделі загроз є одним з головних чинників забезпечення безпеки інформації АС, оскільки безпосередньо пов'язано з вибором необхідного переліку послуг безпеки, заходів і засобів захисту, що реалізуються в системі.

Всебічність та повнота аналізу загроз дає необхідну впевненість, що враховано всі суттєві загрози безпеки інформації.

Конструктивним шляхом створення моделі загроз є формування окремих моделей загроз для кожного типового компоненту системи (зокрема для локально обчислювальних мереж підрозділів, вузла Інтернет, вузлів зв'язку з Інтернет, каналів зв'язку і вузлів зв'язку з підрозділами) та типових об'єктів захисту (робочих станцій, серверів, мережевого обладнання локальних обчислювальних мереж тощо).

Формування окремих моделей загроз повинно здійснюватись на підставі загальної класифікації загроз інформації, загальної моделі порушника, моделі загроз.

На протязі життєвого циклу АС модель загроз необхідно переглядати у зв'язку з модернізацією та розвитком АС, а також з удосконаленням технічних та програмних засобів подолання механізмів захисту.

Під час створення моделі загроз виконується оцінка, у процесі здійснення якої, фахівці у галузі інформаційної безпеки одержують інформацію для її використання на всіх наступних етапах побудови комплексної системи забезпечення інформаційної безпеки. А саме:

ü класифікація та опис ресурсів АС: операційних систем, засобів зв'язку і комунікацій, інформації, її категорій, виду подання, технології обробки тощо, обслуговуючого персоналу і користувачів, території і приміщень тощо;

ü аналіз інформаційної моделі існуючої АС, тобто неформальний опис інформаційних потоків АС;

ü визначення переліку загроз і можливих каналів витоку інформації;

ü визначення послуг безпеки, які треба реалізувати;

ü визначення вимог до нормативно-правових, організаційних, інженерно-технічних, та інших заходів захисту, що реалізуються у доповнення до комплексу програмно-апаратних засобів захисту;

ü прийняття остаточного рішення про склад КСЗІ.

4. Розробка політики (основних правил) безпеки інформації є ключовим етапом створення КСЗІ, що визначає ефективність усіх наступних кроків.

Політикою безпеки інформації за суттю є сукупністю законів, правил, обмежень, рекомендацій тощо регламентують порядок обробки інформації та спрямовані на захист інформації від впливу реалізації визначених загроз.

Політика безпеки повинна визначати ресурси, що потребують захисту. Мають бути визначені загрози для інформації і вимоги до захисту від цих загроз.

Кожен користувач, а також адміністратори та особи, яких призначено відповідальними за безпеку інформації, мають бути ознайомлені з положеннями політики безпеки в частині, що їх стосується, і нести персональну відповідальність за додержання цих положень.

Політика безпеки повинна встановлювати функціональні обов'язки керівників, користувачів, адміністраторів і осіб, яких призначено відповідальними за безпеку інформації.

Політика інформаційної безпеки являє собою головний нормативний документ, який затверджується керівництвом власника АС. Документ розробляється з урахуванням особливостей діяльності органу (підприємства, організації), його організаційної структури, структури й розміщення корпоративної інформаційної системи й характеру розв'язуваних завдань.

Політика безпеки визначає порядок забезпечення безпеки у всіх областях діяльності органу (підприємства) й на всіх ділянках автоматизованої системи:

ü на кожному окремому об'єкті (центральний офіс, підрозділи, регіональні філії);

ü при взаємодії між підрозділами;

ü при інформаційному обміні з партнерами й клієнтами;

ü при використанні ресурсів відкритих мереж.

Політика забезпечення інформаційної безпеки включає наступні основні розділи:

ü основні цілі й напрямки забезпечення інформаційної безпеки корпоративної інформаційної системи;

ü основні загрози інформаційної безпеки органу (підприємства), способи їхньої реалізації й можливі види збитку;

ü необхідні заходи, методи й засоби забезпечення інформаційної безпеки корпоративної системи (організаційні, програмно-технічні, фізичні);

ü порядок організації робіт із забезпечення інформаційної безпеки корпоративної інформаційної системи.

5. Розроблення технічного завдання на створення КСЗІ в АС. ТЗ на створення КСЗІ в АС є основним організаційно-технічним документом, який визначає вимоги із захисту оброблюваної в АС інформації, порядок створення КСЗІ, порядок проведення всіх видів випробувань КСЗІ та введення її в експлуатацію в складі АС.

ТЗ на створення КСЗІ розробляється на відповідній стадії робіт зі створення АС, яка визначається ТЗ на створення АС, з урахуванням комплексного підходу до побудови КСЗІ, який передбачає об’єднання в єдину систему усіх необхідних заходів і засобів захисту від визначених загроз безпеці інформації на всіх етапах життєвого циклу АС.

В ТЗ на КСЗІ встановлюються вимоги до функціонального складу, порядку розробки і впровадження технічних та програмних засобів, що забезпечують безпеку інформації в процесі її оброблення в АС.

Додатково будуть викладені вимоги до організаційно-технічних, нормативно-правових та інших заходів захисту, що реалізуються поза АС у доповнення до комплексу програмних та програмно-апаратних засобів захисту інформації.

У випадку інтегрованої АС створення КСЗІ може відбуватися за модульним принципом, коли кожна умовно незалежна компонента АС має свій власний модуль КСЗІ, а КСЗІ інтегрованої АС є сукупністю всіх модулів, управління якими здійснюється централізовано.

Розроблення та оформлення ТЗ на КСЗІ його зміст, порядок погодження та затвердження відповідатиме вимогам нормативно-правових актів та нормативних документів у сфері технічного захисту інформації та аналізу загроз інформації.

Проект технічного завдання повинен бути сформований відповідно до вимог нормативних документів у галузі захисту інформації і включати наступні розділи:

ü загальні вимоги щодо створення КСЗІ в АС;

ü перелік і вимоги до нормативних документів, які необхідно розробити і погодити під час побудови КСЗІ в АС;

ü перелік етапів по створенню КСЗІ;

ü перелік устаткування й програмних засобів для створення КСЗІ;

ü термін виконання робіт по створенню КСЗІ.

Для побудови КСЗІ можуть бути використані апаратні та програмні засоби, що мають експертні висновки (сертифікати відповідності) Дежспецзв’язку, наприклад, програмні та апаратні засоби захисту інформації від несанкціонованого доступу «Гриф», «Лоза», «Рубіж».

Склад комплексу засобів захисту може бути уточнений виконавцем робіт та погоджений з замовником КСЗІ на етапі розроблення технічного проекту.



Поделиться:


Последнее изменение этой страницы: 2016-04-08; просмотров: 428; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.146.206.87 (0.008 с.)