Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Проектирование системы обеспечения информационной безопасности предприятия⇐ ПредыдущаяСтр 37 из 37
Проектирование системы обеспечения информационной безопасности предприятия может состоять из следующих этапов. 1. Построение профиля защиты. На этом этапе разрабатывается план проектирования системы защиты информационной среды предприятия. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств защиты. Необходимым элементом работы является утверждение допустимого риска объекта защиты. Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности. Работа по построению плана защиты объекта начинается с построения профиля защиты данного объекта. При этом часть этой работы уже была проделана при проведении анализа рисков. 2. Формирование организационной политики безопасности. Организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Шагами построения организационной политики безопасности являются: · внесение в описание объекта автоматизации структуры ценности и проведение анализа риска; · определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается на предприятии. 3. Оформление условий безопасного использования информационных технологий (ИТ). Система обеспечения безопасности предприятия, соответствующая выбранному профилю защиты, может обеспечивать требуемый уровень безопасности только в том случае, если она установлена, управляется и используется в соответствии с выработанными правилами. Операционная среда должна управляться согласно принятой для данного профиля защиты нормативной документации, а также инструкциям администраторов и пользователей.
Выделяются следующие виды условий безопасного использования ИТ: · физические условия; · условия для персонала; · условия соединений. Физические условия касаются размещения ресурсов объекта, а также защиты аппаратных средств и программного обеспечения, критичных к нарушению политики безопасности. Условия для персонала содержат организационные вопросы управления безопасностью и отслеживания полномочий пользователей. Условия соединений не содержат явных требований для сетей и распределенных систем, но, например, условие равенства положения означает наличие единой области управления всей сетью объекта. Условия безопасного использования объекта автоматизации оформляются в виде отдельного документа, который согласовывается и утверждается на предприятии. 4. Формулирование целей безопасности объекта. В этом разделе профиля защиты дается детализованное описание общей цели построения системы безопасности предприятия, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив). Факторы безопасности, в свою очередь, могут распределяться на технологические, технические и организационные. 5. Определение функциональных требований безопасности. Функциональные требования профиля защиты определяются на основе набора хорошо известных, отработанных и согласованных функциональных требований безопасности. Все требования к функциям безопасности можно разделить на два типа: управление доступом к информации и управление потоками информации. На этом этапе предстоит правильно определить для объекта компоненты функций безопасности. Компонент функции безопасности описывает определенный набор требований безопасности – наименьший выбираемый набор для включения в профиль защиты. Между компонентами могут существовать зависимости.
6. Требования гарантии достигаемой защищенности. Структура требований гарантии аналогична структуре функциональных требований и включает классы, семейства, компоненты и элементы гарантии, а также уровни гарантии. Классы и семейства гарантии отражают такие вопросы, как разработка, управление конфигурацией, рабочая документация, поддержание этапов жизненного цикла, тестирование, оценка уязвимости и другие вопросы. Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями «базовая», «средняя», «высокая». Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего. Уровни гарантии. Предлагается использовать табличную сводку уровней гарантированности защиты. Уровни гарантии имеют иерархическую структуру, где каждый следующий уровень предоставляет большие гарантии и включает все требования предыдущего. 7. Формирование перечня требований. Перечень требований к системе информационной безопасности (СИБ), Эскизный проект, План защиты (далее – техническая документация, ТД) содержат набор требований безопасности информационной среды предприятия, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде. В общем виде разработка ТД включает: · уточнение функций защиты; · выбор архитектурных принципов построения СИБ; · разработку логической структуры СИБ (четкое описание интерфейсов); · уточнение требований функций обеспечения гарантоспособности СИБ; · разработка методики и программы испытаний на соответствие сформулированным требованиям. 8. Оценка достигаемой защищенности. На этом этане производится оценка меры гарантии безопасности информационной среды объекта автоматизации. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта. Базовые положения методики должны предполагать, что степень гарантии следует из эффективности усилий при проведении оценки безопасности. Увеличение усилий оценки предполагает: · значительное число элементов информационной среды объекта, участвующих в процессе оценивания; · расширение типов проектов и описаний деталей выполнения при проектировании системы обеспечения безопасности; · строгость, заключающуюся в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия. Вопросы для самоконтроля 1. Что является целью системы обеспечения информационной безопасности? 2. Перечислите основные задачи системы информационной безопасности предприятия. 3. Дайте определение термину аудит информационной безопасности корпоративной системы Интернет/Интранет.
4. В чем заключается основная задача аудита безопасности? 5. Назовите основные причины роста уязвимости корпоративных систем Интернет/Интранет. 6. Назовите причины, подтверждающие актуальность аудита безопасности российских компаний. 7. Перечислите основные проблемы безопасности электронной почты для конечного пользователя. 8. Назовите рекомендательные меры, повышающие уровень безопасности электронной почты для конечного пользователя. 9. В чем состоит суть проблемы безопасности электронной почты на уровне администратора? 10. Какие опасности существуют для пользователя информационных ресурсов WWW? 11. Перечислите меры, необходимые для обеспечения безопасности сети. 12. Назовите меры, необходимые для обеспечения безопасности хоста. 13. Охарактеризуйте основные практические шаги аудита безопасности. 14. Из каких этапов состоит проектирование системы обеспечения информационной безопасности предприятия? 15. Что понимается под политикой информационной безопасности компании? 16. Назовите основные причины создания политик безопасности. 17. Какими принципами следует руководствоваться при разработке политик безопасности? 18. Какие требования предъявляются к защите конфиденциальной информации в органах исполнительной власти? 19. Перечислите средства защиты информации, используемые в коммерческих структурах. 20. Какие политики информационной безопасности выделяют в настоящее время? Контрольные тесты
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Последнее изменение этой страницы: 2016-04-20; просмотров: 1176; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.145.77.114 (0.022 с.) |