Методологические основы организации КСЗИ

Принципы организации и этапы разработки КСЗИ

Гл а в а 2

При создании КСЗИ необходимо учитывать, что информа­цию следует защищать во всех видах ее существования — доку­ментальном (бумажные документы, микрофильмы и т.п.), элек­тронном, содержащемся и обрабатываемом в автоматизирован­ных системах (АС) и отдельных средствах вычислительной техники (СВТ); это относится к персоналу, который обрабатывает информацию. Необходимо также принимать меры по защите информации от утечки по техническим каналам. При этом тре­буется защищать информацию не только от несанкционирован­ного доступа (НСД) к ней, но и от неправомерного вмешатель­ства в процесс ее обработки, хранения и передачи на всех фазах нарушения работоспособности АС и СВТ, воздействия на персонал и т.п. Должны быть обеспечены конфиденциальность, целостность и доступность информации. Таким образом, защищать необходимо все компоненты информационной структуры предприятия — помещения, аппаратуру, информационные си­стемы, документы на бумажных и электронных носителях, сети связи, персонал и т.д.

Целью проводимых работ должно являться построение комп­лексной системы защиты информации. Это предполагает необхо­димость использования, создания и разработки совокупности ме­тодологических, организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на исполь­зовании методологии построения комплексной системы защиты информации.

Можно выделить три направления работ по созданию КСЗИ:

методическое, в рамках которого создаются методологиче­ские компоненты КСЗИ, разрабатывается замысел ее построения, прорабатываются правовые вопросы;

организационное, в ходе которого разрабатываются распоря­дительные документы, проводится обучение и инструктаж персо­нала и т.п.;

техническое, заключающееся в выборе, закупке и инсталля­ции программных, программно-аппаратных и аппаратных средств защиты информации.

Для эффективного обеспечения безопасности информации тре-пуется создание^ развитого методологического аппарата, позволяющего решить следующие комплексные задачи (6):

• создать систему органов, ответственных за безопасность ин­формации;

• разработать теоретико-методологические основы обеспечения безпасности информации;

•решить проблему управления защитой информации и ее автоматизации;

• создать нормативно-правовую базу, регламентирующую ре­шение всех задач обеспечения безопасности информации;

• наладить производство средств защиты информации;

• организовать подготовку специалистов по защите информации;

• подготовить нормативно-методологическую базу для проведения работ по обеспечению безопасности информации.

Особого внимания требует проработка правовых вопросов обес­печения безопасности информации. Необходимо проанализировать всю совокупность законодательных актов, нормативно-правовых документов, требования которых обязательны в рамках сфе­ры деятельности по защите информации. Предметом правового регулирования является правовой режим информации (степень конфиденциальности, собственность, средства и формы зашиты информации, которые можно использовать), правовой статус участников информационного взаимодействия, порядок отношения субъектов с учетом их правового статуса.

Организационное обеспечение заключается в регламентации ишимоотношений исполнителей на нормативно-правовой основе шким образом, что разглашение, утечка и несанкционированный доступ к информации становится невозможным или будет сущест-Инно затруднен за счет проведения организационных мероприятий.

Организационное обеспечение состоит из таких компонентов, как подбор сотрудников и службы безопасности; оборудование служебных помещений; организация режимно-пропускной служ­им; организация хранения документов; организация системы де­лопроизводства; эксплуатация технических средств; создание охраняемых зон.

Техническое направление работ по созданию КСЗИ состоит в выборе, закупке и инсталляции средств защиты информации: физических; аппаратных; программных; аппаратно-программных. Планирование инженерно-технического обеспечения КСЗИ рекомендуется проводить в соответствии со следующей методи­кой [25]:

1. Анализ объекта и ресурсов, подлежащих защите.

2. Выявление способов несанкционированного доступа и ка­налов утечки информации.

3. Составление моделей угроз и способов их реализации.

4. Выбор защитных мероприятий.

5. Анализ риска.

6. Формулирование политики безопасности.

7. Составление плана инженерно-технических мероприятий комплексной защиты информации.

8. Оценка эффективности принятых решений.

В рамках методического направления создания КСЗИ должна быть разработана политика безопасности. Иногда ее также назы­вают концепцией безопасности.

Мероприятия по созданию КСЗИ, реализуемые вне единого комплекса мер, прописанных в рамках концепции политики без­опасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности. Поэтому рассмотрим основ­ные принципы, лежащие в основе политики безопасности.