Основные термины и определения из области информационной

разработке системы обеспечения информационной
безопасности объекта
1
2
Требования к системе информационной
безопасности

объекта

Принципы построения системы информационной
безопасности объекта

4

Методологические основы обеспечения
информационной безопасности объекта

3

и целостности обрабатываемой информации, а также доступности информации для пользователей.

Под безопасностью информации будем понимать такое ее состояние, при котором исключается возможность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имеющими на это права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники.

ознакомления

изменения

уничтожения

утечки

конфиденциальности

целостности

доступности

Конфиденциальность – содержание критичной информации, доступ к которой
ограничен узким кругом пользователей (отдельных лиц или организаций), в секрете.

Целостность - свойство, при выполнении которого информация сохраняет заранее
определенные вид и качество.

Доступность - такое состояние информации, когда она находится в виде и месте,
необходимом пользователю, и в то время, когда она ему необходима.

Цель защиты информации - сведение к минимуму потерь в управлении,
вызванных нарушением целостности данных, их конфиденциальности или
недоступности информации для потребителей.

вид и качество

находится в виде и месте

в секрете

в то время

сведение к минимуму потерь в управлении

мест, потенциально возможных каналов утечки информации и
НСД, обновлении и

дополнении механизмов защиты в зависимости от изменения
характера внутренних и внешних угроз, обосновании и реализации на этой основе
наиболее рациональных методов, способов и путей защиты информации.

Обеспечение информационной безопасности не может быть
одноразовым актом !!!.

Оружие защиты должно быть адекватно оружию нападения !!!.

Комплексный характер защиты информации проистекает, прежде всего, из характера
действий злоумышленников, стремящихся любой совокупностью средств добыть
важную для конкурентной борьбы информацию.

Принцип непрерывности совершенствования и развития
системы информационной безопасности.

Принцип комплексного использования
всего арсенала имеющихся средств защиты во всех структурных элементах
производства и на всех этапах технологического цикла обработки информации.

методы
и мероприятия объединяются в единый, целостный механизм —

систему информационной безопасности.
Только в этом случае появляются системные свойства не присущие ни одному
из отдельных элементов системы защиты, а также возможность управлять системой,
перераспределять ее ресурсы и применять современные методы
повышения эффективности ее функционирования.

Система информационной безопасности - организованная совокупность
органов, средств, методов и мероприятий, обеспечивающих защиту
информации от разглашения, утечки и несанкционированного доступа к ней.

Важнейшими условиями обеспечения безопасности являются:
- законность
- разумная достаточность
- соблюдение баланса интересов личности и предприятия
- высокий профессионализм службы информационной безопасности,
- подготовка пользователей и соблюдение ими всех установленных правил
сохранения конфиденциальности
- взаимная ответственность персонала и руководства
- взаимодействие с государственными правоохранительными органами.

Без соблюдения этих условий никакая система информационной
безопасности не может обеспечить требуемого уровня защиты !!!

Требования к системе защиты информации:

централизованность; процесс управления всегда централизован, в то время как структура
системы, реализующей процесс, должна соответствовать структуре защищаемого объекта;
плановость; планирование осуществляется для организации взаимодействия подразделений
объекта в интересах реализации принятой политики безопасности; каждая служба, отдел,
направление разрабатывают детальные планы защиты информации в сфере своей компетенции
с учетом общей цели организации;
конкретность и целенаправленность; защите подлежат абсолютно конкретные
информационные ресурсы, могущие представлять интерес для конкурентов;
активность; защищать информацию необходимо с достаточной степенью настойчивости и
целеустремленности. Это требование предполагает наличие в составе системы информационной
безопасности средств прогнозирования, экспертных систем и других инструментариев,
позволяющих реализовать наряду с принципом “обнаружить и устранить” принцип
“предвидеть и предотвратить”;
надежность и универсальность, охват всего технологического комплекса информационной
деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные
каналы утечки информации и противодействовать способам несанкционированного доступа
независимо от формы представления информации, языка ее выражения и вида носителя, на
котором она закреплена;
нестандартность (по сравнению с другими организациями), разнообразие средств защиты;
открытость для изменения и дополнения мер обеспечения безопасности информации;
экономическая эффективность; затраты на систему защиты не должны превышать размеры
возможного ущерба.

простота технического обслуживания и “прозрачность” средства защиты
для пользователей;

минимальный набор привилегий, необходимых для работы каждого пользователя ;

возможность отключения защиты в особых случаях, когда механизмы защиты
реально мешают выполнению работ;

независимость системы защиты от субъектов защиты;

разработчики системы защиты информации должны предполагать, что
пользователи имеют наихудшие намерения (враждебность окружения), что они
будут совершать серьезные ошибки и искать пути обхода механизмов защиты;

отсутствие на предприятии излишней информации о существовании механизмов
защиты.

Устоявшиеся рекомендации,
которые будут не бесполезны создателям систем информационной безопасности:

действий на каждом этапе создания системы информационной безопасности
Список сведений,

составляющих коммерческую тайну, и организаций (частных лиц), которых эти сведения могут интересовать
Инфологическая модель объекта с выявлением возможных точек нападения

Сценарий осуществления противоправных действий
Ранжирование угроз п о вероятности их осуществления и возможному ущербу
Принятие стратегии управления рисками

Правовые, организационные и инженерно-технические мероприятия. Определение политики безопасности
Формирование системы информационной безопасности на основе результатов оценки эффективности и тестирования
Пакет документов по построению системы информационной безопасности и реализации политики безопасности
Монтаж и настройка оборудования, управление системой защиты

Основные этапы создания системы информационной безопасности

1. Выявление информации, представляющей интеллектуальную собственность организации.
2.Определение границ управления информационной безопасностью.
3. Анализ уязвимости:
каналы утечки и НСД,
вероятность реализации угроз (установления информационного контакта),
модель действий нарушителя,
оценка ущерба (потерь).
4. Выбор контрмер, обеспечивающих
информационную безопасность.

5. Проверка системы защиты информации:
оценка эффективности вариантов построения,
тестирование системы.

6. Составление плана защиты.

7. Реализация плана защиты информации.

ПОСЛЕДОВАТЕЛЬНОСТЬ
РАЗРАБОТКИ СИСТЕМЫ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

Облик будущей системы информационной безопасности