Студопедия

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника



Общая характеристика и этапы проведения работ по обеспечению информационной безопасности автоматизированной информационной системы




Читайте также:
  1. A) обработки данных, вводимых в ЭВМ
  2. A) прикладная программа, предназначенная для обработки структурированных в виде таблицы данных
  3. A) прикладная программа, предназначенная для обработки структурированных в виде таблицы данных
  4. A) Технологии, ориентированные на полученную обработку, передачу информации с помощью технических средств
  5. A. системы учета
  6. A.Становление системы экспортного контроля
  7. B) Информационные системы в логистике
  8. CASE-средства. Общая характеристика и классификация
  9. Cтанки для абразивной обработки.
  10. D-триггеры. Реализация. Режим работы.

Цель ЗИ — предотвращение нарушения качественных свойств информации (ЦКД). Эта цель может быть достигнута построением системы ЗИ, кот. представляет собой организованную совокупность методов и средств обеспечения ЗИ.

ЗИ осуществляется поэтапно:

1 — идентификация и анализ угроз;

2 — анализ рисков;

3 — разработка и реализация Системы ЗИ;

4 — реализация плана ЗИ;

5 — контроль функционирования и управление Системой ЗИ.

Идентификация и анализ угроз

Анализ объектов ЗИ, ситуационного плана, условий функционирования предприятия, учреждения, организации, оценка вероятность проявления угроз и ожидаемого ущерба от их реализации, подготовка исходные данных для построения частной модели угроз. Угрозы могут осуществляться:

• по техническим каналам (акустический, оптический, радиоэлектронный, материально-вещественный)

• по каналам специального воздействия путем формирования полей и сигналов в целях разрушения системы защиты или нарушения целостности информации;

• НСД в результате подключения к аппаратуре и линиям связи, преодоления мер защиты для использования информации или навязывания ложной информации, применения закладных устройств, программ и внедрения компьютерных вирусов.

Описание угроз и схематическое представление путей и методов их реализации составляют частную модель угроз.

Анализ рисков

Анализ рисков предполагает изучение и систематизацию угроз ИБ, определение требований к средствам обеспечения ИБ.

Изучение и систематизация угроз ИБ предполагает следующие этапы:

- выбор элементов АС и информационных ресурсов, для которых будет производиться анализ;

- идентификация угроз и формирование списка угроз;

- разработка методологии оценки риска;

- оценка ущерба, связанная с реализацией угроз;

- оценка затрат на мероприятия, связанные с защитой и остаточного риска;

- анализ стоимость/эффективность;

- составление итогового документа, содержащего:

· перечни угроз ИБ, оценки рисков и рекомендации по снижению вероятности их возникновения;

· защитные меры, необходимые для нейтрализации угроз;

· анализ стоимость/эффективность, на основании которого делаются выводы о допустимых уровнях остаточного риска и целесообразности применения конкретных вариантов защиты.



Разработка системы защиты информации

Следует осуществить разработку плана ЗИ, включающего организационные, первичные и основные технические меры ЗИ, определить зоны безопасности информации.

Организационные мерырегламентируют порядок информационной деятельности с учетом норм и требований по ЗИ для всех периодов жизненного цикла объекта ЗИ.

Технические мерыпредусматривают ЗИ блокированием угроз с использованием технических средств обеспечения ЗИ.

Меры защиты информации должны:

• быть адекватны угрозам и ценности защищаемой информации;

• быть разработаны с учетом возможного ущерба от их реализации и стоимости защитных мер и вносимых ими ограничений;

• обеспечивать заданную эффективность защиты информации в течение периода ограничения доступа к ней.

Уровень ЗИопределяется системой количественных и качественных показателей, обеспечивающих решение задачи ЗИ на основе норм и требований по ЗИ.

Минимально необходимый уровень ЗИ обеспечивается ограничительными и фрагментарными мерами противодействия наиболее опасной угрозе.

Повышение уровня ЗИ достигается наращиванием технических мер противодействия множеству угроз.



Реализация плана ЗИ

Следует реализовать организационные и основные тех. меры ЗИ, установить необходимые зоны безопасности информации, провести аттестацию ТС обеспечения инф. деятельности, ТСЗИ, рабочих мест (помещений) на соответствие требованиям по безопасности информации.

Техническая ЗИ обеспечивается комплексом мероприятий по защите информации от НСД по различным каналам, а также нейтрализацию специальных воздействий на нее – уничтожения, искажения или блокирования доступа.

Средства ЗИ могут функционировать автономно или совместно с ТС обеспечения инф. деятельности в виде отдельных уст­ройств или встроенных в них составных элементов.

Предоставление услуг по ЗИ, аттестацию и обслуживание средств обеспечения ЗИ могут осуществлять юридические и физические лица, имеющие соответствующую лицензию.

Контроль функционирования и управление Системой ЗИ

Следует провести анализ функционирования системы ЗИ, провер­ку выполнения мер по ЗИ, контроль эффективности за­щиты, подготовить и выдать исходные данные для управления системой ЗИ.

Управление системой ЗИзаключается в адаптации мер ЗИ к текущей задаче. По фактам изменения условий осуществления или выявления новых угроз меры по ЗИ реализуются в кратчайший срок.

В случае необходимости повышения уровня ЗИ необходимо выполнить работы по модернизации системы ЗИ.

Нормативные документы системы СЗИ

Нормативные документы должны обеспечивать:

• проведение единой технической политики; создание и развитие единой терминологической системы;

• функционирование многоуровневых систем ЗИ на основе взаимоувязанных положений, правил, методик, требований и норм; функционирование систем сертификации, лицензирования и аттестации согласно требованиям безопасности информации;



• развитие сферы услуг в области ЗИ;

• установление порядка разработки, изготовления, эксплуатации средств обеспечения ЗИ и специальной контрольно-измерительной аппаратуры;

• организацию проектирования строительных работ в части обеспечения ЗИ;

• подготовку и переподготовку кадров в системе ЗИ.

Нормативные документы системы ЗИ подразделяются на:

• нормативные документы по стандартизации в области ЗИ;

• гос стандарты или приравненные к ним нормативные документы;

• нормативные акты межведомственного значения;

• нормативные документы ведомственного значения.


Дата добавления: 2015-04-18; просмотров: 17; Нарушение авторских прав







lektsii.com - Лекции.Ком - 2014-2021 год. (0.022 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты