8.1. Основные требования к системам защиты информации

Требования по защите информации и созданию системы защиты информации

8.1. Основные требования к системам защиты информации

Организация работ по ТКЗИ возлагается на руководителей организации, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) организации.

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

Разработка системы защиты информации может осуществляться как подразделением организации, так и специализированным предприятием, имеющим лицензии ФСТЭК на соответствующий вид деятельности в области защиты информации.

Во втором случае в организации, для которой создается система защиты информации, определяются подразделения (или отдельные должностные лица), ответственные за организацию и проведение мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.

Разработка и внедрение системы защиты информации (СЗИ) осуществляется во взаимодействии разработчика со службой безопасности организации-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:

  • порядок определения защищаемой информации;
  • порядок привлечения подразделений, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
  • порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
  • порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
  • ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

Формирование требований к защите информации осуществляется обладателем информации (заказчиком) с учетом требований действующих нормативных правовых актов и методических документов для конкретного объекта информатизации. Здесь и далее в качестве объекта информатизации будет рассматриваться информационная система.

Требования по защите информации определены в руководящих документах ФСТЭК и ФСБ России. Документы можно разделить на ряд направлений:

  1. Защита конфиденциальной информации (в том числе персональных данных);
  2. Защита государственной тайны;
  3. Защита информации в ключевых системах информационной инфраструктуры (защита информации криптографическими методами).

В рамках данного курса будут рассмотрены требования первой группы.

Одним из основополагающих документов в рамках защиты от утечки по техническим каналам утечки является методический документ Гостехкомиссии «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее СТР-К).

Документ определяет следующие основные вопросы защиты информации:

  • организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
  • состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
  • требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;
  • требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
  • порядок обеспечения защиты информации при эксплуатации объектов информатизации;
  • особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;
  • порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Рассмотрим основные требования и рекомендации СТР-К.

  1. Документально определенный перечень защищаемых помещений (далее ЗП) и лиц, ответственных за их эксплуатацию; технический паспорт на ЗП (форма паспорта приведена в приложениях СТР-К);
  2. ЗП должны быть в пределах контролируемой зоны (далее КЗ). Рекомендуется:
    • Размещать ЗП на удалении от границ КЗ.
    • Ограждающие конструкции не должны быть смежными с помещениями других организаций.
    • Не располагать ЗП на первых этажах.
    • Оборудовать окна ЗП шторами или жалюзи.
  3. Рекомендуется оснащать ЗП сертифицированными ОТСС или ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.
  4. По решению руководителя может быть проведена специальная проверка ЗП на наличие акустических «закладок»
  5. Запрещается использование во время конфиденциальных мероприятий сотовых телефонов, радиотелефонов, аудио и видеозаписывающих устройств. Если в помещении есть телефонные или факсимильные аппараты с автоответчиком или спикерфоном, а также аппараты с автоматическим определителем номера, следует отключать их из сети на время проведения конфиденциальных мероприятий.
  6. Чтобы исключить утечку по электроакустическому каналу рекомендуется в качестве оконечных устройств телефонной связи использовать телефонные аппараты (далее ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
  7. Не рекомендуется устанавливать в ЗП цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками организации. В случае необходимости, рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС, либо устанавливать в эти помещения аналоговые аппараты.
  8. Ввод системы городского радиотрансляционного вещания на территорию организации рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах КЗ.
  9. В случае размещения электрочасовой станции внутри КЗ использование в ЗП электровторичных часов (ЭВЧ) возможно без средств защиты информации. При установке электрочасовой станции вне КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации.
  10. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации и, как правило, размещаться в пределах одной с ЗП контролируемой зоне. В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.
  11. Должна быть звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования. Проверка достаточности звукоизоляции осуществляется путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем. При этом уровень тестового речевого сигнала должен быть не ниже используемого во время штатного режима эксплуатации помещения.
  12. Рекомендуется предусмотреть организационные меры по предотвращению установки устройств разведки на внешних ограждающих конструкциях для предотвращения утечки по виброакустическому каналу. Также рекомендуется элементы инженерно- технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.

В случае если перечисленные меры недостаточны, рекомендуется применять сертифицированные средства активной защиты, которые будут рассмотрены позже.

Помимо перечисленных мер необходимо предусмотреть организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение.

Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам должна быть исключена.

При необходимости такой передачи следует использовать защищенные линии связи, устройства скремблирования или криптографической защиты.

В СТР-К также предусмотрены меры по защите информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов и меры по защите информации при проведении звукозаписи.

Как уже отмечалось в предыдущих лекциях, основными направлениями защиты информации в автоматизированной системе (далее АС) является обеспечение безопасности от несанкционированного доступа (НСД) и от утечки по техническим каналам утечки.

В качестве основных мер защиты информации в СТК-К рекомендуется:

  • документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
  • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
  • ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
  • регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
  • учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
  • использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки; необходимое резервирование технических средств и дублирование массивов и носителей информации. Специальный защитный знак (СЗЗ) — сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции «СЗЗ — подложка» по критериям соответствия характерным признакам визуальными, инструментальными и другими методами;
  • использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
  • использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
  • использование сертифицированных средств защиты информации;
  • размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;
  • размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
  • развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
  • электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
  • использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;
  • размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
  • организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
  • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);
  • предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок[105].

Источник: http://www.intuit.ru/studies/courses/3649/891/lecture/32341

Требования к системам защиты информации Группы требований. Общие и организационные требования

8.1. Основные требования к системам защиты информации

Требования по защите информацииопределяются владельцем ИС и согласовываютсяс исполнителем работ по созданию системызащиты информации (исполнитель должениметь соответствующую лицензию на правопроведения таких работ).

В процессе формирования требований кСЗИ целесообразно найти ответы наследующие вопросы:

  1. Какие меры безопасности предполагается использовать?

  2. Какова стоимость доступных программных и технических мер защиты?

  3. Насколько эффективны доступные меры защиты?

  4. Насколько уязвимы подсистемы СЗИ?

  5. Имеется ли возможность провести анализ риска (прогнозирование возможных последствий, которые могут вызвать выявленные угрозы и каналы утечки информации)?

Совокупность требований к системамзащиты информации

В общем случае целесообразно выделитьследующие группы требований к системамзащиты информации:

  • общие требования;
  • организационные требования;
  • конкретные требования к подсистемам защиты, техническому и программному обеспечению, документированию, способам, методам и средствам защиты.

Общие требования

Прежде всего, необходима полнаяидентификация пользователей, терминалов,программ, а также основных процессов ипроцедур, желательно до уровня записиили элемента. Кроме того, следуетограничить доступ к информации, используясовокупность следующих способов:

  • иерархическая классификация доступа;
  • классификация информации по важности и месту ее возникновения;
  • указание ограничений к информационным объектам, например пользователь может осуществлять только чтение файла без права записи в него;
  • определение программ и процедур, предоставленных только конкретным пользователям.

Система защиты должна гарантировать,что любое движение данных идентифицируется,авторизуется, обнаруживается идокументируется.

Обычно формулируются общие требованияк следующим характеристикам:

  • способам построения СЗИ либо ее отдельных компонент (к программному, программно-аппаратному, аппаратному);
  • архитектуре вычислительных средств и ИС (к классу и минимальной конфигурации ЭВМ, операционной среде, ориентации на ту или иную программную и аппаратную платформы, архитектуре интерфейса);
  • применению стратегии защиты;
  • затратам ресурсов на обеспечение СЗИ (к объемам дисковой памяти для программной версии и оперативной памяти для ее резидентной части, затратам производительности вычислительной системы на решение задач защиты);
  • надежности функционирования СЗИ (к количественным значениям показателей надежности во всех режимах функционирования ИС и при воздействии внешних разрушающих факторов, к критериям отказов);
  • количеству степеней секретности информации, поддерживаемых СЗИ;
  • обеспечению скорости обмена информацией в ИС, в том числе с учетом используемых криптографических преобразований;
  • количеству поддерживаемых СЗИ уровней полномочий;
  • возможности СЗИ обслуживать определенное количество пользователей;
  • продолжительности процедуры генерации программной версии СЗИ;
  • продолжительности процедуры подготовки СЗИ к работе после подачи питания на компоненты ИС;
  • возможности СЗИ реагировать на попытки несанкционированного доступа либо на «опасные ситуации»;
  • наличию и обеспечению автоматизированного рабочего места администратора защиты информации в ИС;
  • составу используемого программного и лингвистического обеспечения, к его совместимости с другими программными платформами, к возможности модификации и т.п.;
  • используемым закупаемым компонентам СЗИ (наличие лицензии, сертификата и т.п.).

Организационные требования

Организационные требования к системезащиты предусматривают реализациюсовокупности административных ипроцедурных мероприятий. Требованияпо обеспечению сохранности должнывыполняться, прежде всего, наадминистративном уровне.

Организационные мероприятия, проводимыес целью повышения эффективности защитыинформации, должны предусматриватьследующие процедуры:

  • ограничение несопровождаемого доступа к вычислительной системе (регистрация и сопровождение посетителей);
  • осуществление контроля за изменением в системе программного обеспечения;
  • выполнение тестирования и верификации изменений в системе программного обеспечения и программах защиты;
  • организацию и поддержку взаимного контроля за выполнением правил защиты данных;
  • ограничение привилегии персонала, обслуживающего ИС;
  • осуществление записи протокола о доступе к системе;
  • гарантию компетентности обслуживающего персонала;
  • разработку последовательного подхода к обеспечению сохранности информации для всей организации;
  • организацию четкой работы службы ленточной и дисковой библиотек;
  • комплектование основного персонала на базе интегральных оценок и твердых знаний;
  • организацию системы обучения и повышения квалификации обслуживающего персонала.

С точки зрения обеспечения доступа кИС необходимо выполнить следующиепроцедурные мероприятия:

  • разработать и утвердить письменные инструкции на загрузку и остановку работы операционной системы;
  • контролировать использование магнитных лент, дисков, карт, листингов, порядок изменения программного обеспечения и доведение этих изменений до пользователя;
  • разработать процедуру восстановления системы при отказах;
  • установить политику ограничений при разрешенных визитах в вычислительный центр и определить объем выдаваемой информации;
  • разработать систему протоколирования использования ЭВМ, ввода данных и вывода результатов;
  • обеспечить проведение периодической чистки архивов и хранилищ носителей информации для исключения и ликвидации неиспользуемых;
  • поддерживать документацию вычислительного центра в соответствии с установленными стандартами.

Источник: https://studfile.net/preview/951071/page:22/

Требования к информационной безопасности

8.1. Основные требования к системам защиты информации

Информационная безопасность – это предотвращение любых несанкционированных действий с данными. Обеспечение информационной безопасности важно и для электронных, и для бумажных данных. Главное требование информационной безопасности – полноценная защита конфиденциальной информации, обеспечение ее целостности при полном отсутствии риска нанести ущерб работе предприятия.

Обеспечение информационной безопасности представляет собой комплекс организационных и технических мероприятий, которые должны выполняться в компании в соответствии с разработанной политикой и другими документами, регламентирующими это направление деятельности предприятия.

Выбирать автоматизированную систему, независимо от ее уровня (основная, вспомогательная), нужно в соответствии с отдельным проектом, который должен оформляться документами – техзаданием, техническими требованиями.

В них определяются критерии оценивания всех параметров системы, такие как бизнес-функции, информационная архитектура, интерфейсы, требования к построению на предприятии системы информационной безопасности (как подсистемы общей безопасности).

Уровень значимости каждого параметра для предприятия в целом определяется его потребностями и особенностями ведения деятельности.

Необходимый опыт и обязанности специалистов, отвечающих за информационную безопасность

Несмотря на то, что профессии, связанные с информационной безопасностью, достаточно популярные, отмечается острая нехватка высококвалифицированных работников.

Есть несколько групп работников, выполняющих функции по защите информации и обеспечению в компании информационной защиты. Каждая специальность имеет свои особенности, такой персонал может иметь разный размер зарплаты, а также специфические требования к обязанностям и наличию определенных навыков.

Специалисты по информационной безопасности (начальный уровень)

Средняя зарплата профессионалов в сфере информационных технологий составляет около 50-70 тысяч рублей в месяц.

К основным обязанностям таких работников относятся:

  • наблюдение за межсетевыми экранами;
  • наблюдение за сетевыми экранами администрации серверов по антивирусной безопасности, проведение мониторинга пользователей, уничтожение вирусных файлов, настройка системной защиты информации;
  • поисковая работа, чтобы выявить наличие угроз при помощи конкретного ПО, и уничтожить их;
  • регулярное обновление операционной системы, средств защиты информации, общего сетевого устройства;
  • управление технологическими процессами;
  • оптимизация работы по ИБ.

Главные требования к сотрудникам:

  • умение работать в операционной системе Линукс, а также уверенная работа в поисковой строке;
  • настройка объектов защиты.

Работники, обеспечивающие информационную безопасность

Опыт работы составляет от трех до шести лет. Эти специалисты получают зарплату на порядок выше (от 70 до 100 тысяч рублей). Они подразделяются на две группы: сотрудники, занимающиеся исключительно работой с программами, и специалисты, обеспечивающие внутреннюю безопасность. Все они отлично разбираются в автоматизированных системах, хорошо владеют информационными программами, техникой.

К основным умениям профессионала по защите информационного ресурса относятся:

  • обеспечение политики информационной безопасности;
  • умение управлять средствами безопасности;
  • навык написания скриптов по оптимизированию защиты.
  • К общим требованиям относятся:
  • знание принципа работы информационных систем;
  • умение предотвратить несанкционированный доступ к базе данных.

Пентестер

Это одна из высокооплачиваемых специальностей в сфере ИТ-технологий (схожая с предыдущей профессией). Отличием данной профессии от предыдущей является умение тестировать ПО на возможное проникновение в него злоумышленников.

В обязанности входит:

  • проведение тестирования информационно-программной продукции;
  • анализ информационной системы на устойчивость к отменам;
  • выполнение основных процессов по выявлению актуальных угроз системе и их уничтожение;
  • контроль и анализ обеспечения безопасности кодировки программного продукта.

Требования по ИБ автоматизированных банковских систем

Давайте подробнее разберемся с требованиями к обеспечению ИБ автоматизированных банковских систем и к специалистам, которые должны защищать информацию.

Существует два вида ключевых требований к системам по ИБ: стандартные и узкоспециальные.

Общие требования: автоматизированная система должна гарантировать хранение конфиденциальной информации.

Автоматизацию надо организовать так, чтобы обеспечивалось выполнение следующих требований:

  • запрет на получение доступа к ПК вне рабочего процесса;
  • возможность перемещения данных из системы только под системной защитой.

Специальные требования – это сложный уровень защиты конфиденциальных сведений компании от взлома, распространения и уничтожения.

К специальным требованиям относятся следующие позиции:

  • работа информационных ресурсов обязательно должна быть идентифицирована;
  • необходимо проведение идентификации и аутентификации.

Основное средство аутентификации – это схема «имя организации и пароль». Всегда должна быть возможность проведения дифференциации считывания информации.

Требования к парольной политике:

  • максимальное количество символов в пароле;
  • архив смены паролей;
  • общий определитель стандартного и низкого уровня пароля;
  • наличие требований ввести предыдущий пароль при желании заменить его новым.

К дополнительным и общим требованиям к работе с системами информационной безопасности относятся:

  • возможность изменять пароль не только пользователем, но и администратором, который защищает информационную базу данных;
  • когда в информационную систему входит непосредственно сам специалист, то обязательно должно выскакивать общее предупреждение о запрещенности использовать чужие пароли для несанкционированных доступов;
  • когда специалист заходит в систему информационной безопасности, он должен ознакомиться с информацией о предыдущем входе, историей выполненных ранее действий в системе, числом допущенных ошибок во время ввода пароля с точной датой и временем;
  • бюджет клиента системы должен иметь привязку к определенному рабочему ПК (сетевому адресу), к определенному времени рабочего процесса с точным указанием дней недели и часов интерактивного использования информационного устройства; для удаленных работников нужно ввести отдельный регламент работы с информацией.

Основные требования к информационной безопасности

Общепринятым методом войти в систему во время атаки на информационные ресурсы является вход при помощи официального логин-запроса. Технические средства, позволяющие выполнить вход в нужную систему, – логин и пароль. 

При авторизации стоит придерживаться нескольких общих требований:

  1. Обеспечение высокого уровня безопасности. Терминал (точка входа активного пользователя в информационную систему), не имеющий специальной защиты, используется исключительно на том предприятии, где доступ к нему получают работники с наивысшим квалификационным уровнем. Терминал, который установлен в публичном общественном месте, должен всегда иметь уникальный логин и пароль сложного уровня. Это необходимо для того, чтобы обеспечить полноценную информационную безопасность.
  2. Наличие систем контроля за общим доступом в помещение, где установлено оборудование, на котором хранится информация предприятия, в архивные помещения и другие места, которые являются уязвимыми с точки зрения информационной безопасности.

Если используются удаленные терминалы, в компании должны соблюдаться такие основные требования:

  • Все удаленные терминалы обязаны посылать запрос на ввод логина и пароля. Доступ без ввода пароля должен быть запрещен.
  • Если есть возможность, то в качестве обеспечения информационной защиты надо применить схему так называемого возвратного звонка от модема. Только она, используя уровень надежности автоматической телефонной станции, дает подтверждение, что удаленные пользователи получили доступ с конкретного номера телефона.

К главным требованиям по информационной безопасности во время идентификации пользователей по логину и паролю относятся следующие:
у каждого пользователя должен быть пароль высокого уровня сложности для того, чтобы войти в систему;

  • пароли надо подбирать очень тщательно, информационная емкость пароля должна соответствовать общим стандартам (наличие заглавных букв, цифр);
  • пароль, установленный по умолчанию, надо изменить до того, как будет произведен официальный запуск системы;
  • каждая ошибка входа в систему обязательно записывается в общий журнал архивных событий, анализируется спустя конкретный промежуток времени; это необходимо для того, что администратор мог выявить причину возникновения ошибок;
  • на момент отправления пакетов с подтверждением или отказом введения пароля система должна быть приостановлена на пять секунд, благодаря этому хакеры не смогут вводить большое количество разных паролей, чтобы обойти информационную защиту.

Для полноценного обеспечения защиты от взлома пароля надо выполнить ряд требований:

  • для обеспечения защиты информации потребуется подключить двухэтапную аутентификацию;
  • подключить защиту от изменения паролей – хакеры могут попытаться воспользоваться таким способом войти в информационную систему, как «забыли пароль – изменить».

Чтобы специалисты могли обеспечить информационную безопасность всех данных, руководитель компании обязан проводить инструктажи для работников на тему «Предотвращение утечки информации».

Важно, чтобы работники предприятия знали о возможных опасностях, которые могут возникнуть в случае, если персональные компьютеры на какой-либо промежуток времени остаются без присмотра.

Особенно это касается тех ПК, которые не имеют закрытых от постороннего доступа паролей и находятся в публичном месте или офисе.

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/osnovnye-aspekty-informatsionnoj-bezopasnosti/trebovaniya-k-informatsionnoj-bezopasnosti/

1.7. Основные требования, предъявляемые к комплексной системе защиты информации

8.1. Основные требования к системам защиты информации

Посколькукомплексная система защиты информациипредназначена обеспечивать безопасностьвсей защищаемой информации, к ней должныпредъявляться следующие требования:

— онадолжна быть привязана к целям и задачамзащиты информации на конкретномпредприятии;

— онадолжна быть целостной: содержать всеее составляющие, иметь структурныесвязи между компонентами, обеспечивающиеее согласованное функционирование;

— онадолжна быть всеохватывающей, учитывающейвсе объекты и составляющие их компонентызащиты, все обстоятельства и факторы,влияющие на безопасность информации,и все виды, методы и средства защиты;

— онадолжна быть достаточной для решенияпоставленных задач и надежной во всехэлементах защиты, т. е. базироватьсяна принципе гарантированного результата;

— онадолжна быть «вмонтированной» втехнологические схемы сбора, хранения,обработки, передачи и использованияинформации;

— онадолжна быть компонентно, логически,технологически и экономическиобоснованной;

— онадолжна быть реализуемой, обеспеченнойвсеми необходимыми ресурсами;

— онадолжна быть простой и удобной вэксплуатации и управлении, а также виспользовании законными потребителями;

— онадолжна быть непрерывной;

— онадолжна быть достаточно гибкой, способнойк целенаправленному приспособлениюпри изменении компонентов ее составныхчастей, технологии обработки информации,условий защиты.

Такимобразом, обеспечение безопасностиинформации — непрерывный процесс,который заключается в контролезащищенности, выявлении узких мест всистеме защиты, обосновании и реализациинаиболее рациональных путейсовершенствования и развития системызащиты:

— безопасностьинформации в системе обработки данныхможет быть обеспечена лишь при комплексномиспользовании всего арсенала имеющихсясредств защиты;:

— никакаясистема защиты не обеспечит безопасностиинформации без надлежащей подготовкипользователей и соблюдения ими всехправил защиты;

— никакуюсистему защиты нельзя считать абсолютнонадежной, т. к. всегда может найтисьзлоумышленник, который найдет лазейкудля доступа к информации.

2.1. Методология защиты информации как теоретический базис комплексной системы защиты информации

цель создания СЗИ — достижениемаксимальной эффективности защиты засчет одновременного использования всехнеобходимых ресурсов, методов и средств,исключающих несанкционированный доступк защищаемой информации и обеспечивающихфизическую сохранность ее носителей.

Организация— это совокупность элементов (людей,органов, подразделений) объединенныхдля достижения какой-либо цели, решениякакой-либо задачи на основе разделениятруда, распределения обязанностей ииерархической структуры.

СЗИотносится к системаморганизационно-технологического(социотехнического) типа, т. к. общуюорганизацию защиты и решение значительнойчасти задач осуществляют люди(организационная составляющая), а защитаинформации осуществляется параллельнос технологическим процессами ее обработки(технологическая составляющая).

Серьезнымпобудительным мотивом к проведениюперспективных исследований в областизащиты информации послужили те постояннонарастающие количественные и качественныеизменения в сфере информатизации,которые имели место в последнее времяи которые, безусловно, должны быть учтеныв концепциях защиты, информации.

Постановказадачи защиты информации в настоящеевремя приобретает ряд особенностей:во-первых, ставится вопрос о комплекснойзащите информации; во-вторых, защитаинформации становится все болееактуальной для массы объектов (большихи малых, государственной и негосударственнойпринадлежности); в-третьих, резкорасширяется разнообразие подлежащейзащите информации (государственная,промышленная, коммерческая, персональнаяи т. п.). Осуществление мероприятийпо защите информации носит массовыйхарактер, занимается этой проблемойбольшое количество специалистовразличного профиля. Но успешноеосуществление указанных мероприятийпри такой их масштабности возможнотолько при наличии хорошего инструментарияв виде методов и средств решениясоответствующих задач. Разработкатакого инструментария требует наличияразвитых научно-методологических основзащиты информации.

Поднаучно-методологическими основамикомплексной защиты информации (какрешения любой другой проблемы) понимаетсясовокупность принципов, подходов иметодов (научно-технических направлений),необходимых и достаточных для анализа(изучения, исследования) проблемыкомплексной защиты, построения оптимальныхмеханизмов защиты и управления механизмамизащиты в процессе их функционирования.Уже из приведенного определения следует,что основными компонентаминаучно-методологических основ являютсяпринципы, подходы и методы. При этом подпринципами понимается основное исходноеположение какой-либо теории, учения,науки, мировоззрения; под подходом —совокупность приемов, способов изученияи разработки какой-либо проблемы; подметодом — способ достижения какой-либоцели, решения конкретной задачи. Например,при реализации принципа разграничениядоступа в качестве подхода можно выбратьмоделирование, а в качестве методареализации — построение матрицы доступа.

Общееназначение методологического базисазаключается в

— формированииобобщенного взгляда на организацию иуправление КСЗИ, отражающего наиболеесущественные аспекты проблемы;

— формированииполной системы принципов, следованиекоторым обеспечивает наиболее полноерешение основных задач;

— формированиисовокупности методов, необходимых идостаточных для решения всей совокупностизадач управления.

Предметнашего исследования — рассмотрениеразличных аспектов обеспечениябезопасности социотехнической системы,характерным примером которой являетсясовременный объект информатизации.

Поэтомусостав научно-методологических основможно определить следующим образом:

— таккак речь идет об организации и построенииКСЗИ, то общеметодологической основойбудут выступать основные положениятеории систем;

— таккак речь идет об управлении, то в качественаучно-методической основы будутвыступать общие законы кибернетики(как науки об управлении в системахлюбой природы);

— таккак процессы управления связаны срешением большого количества разноплановыхзадач, то в основе Должны быть принципыи методы моделирования больших системи процессов их функционирования.

Составнаучно-методологических основ комплекснойсистемы защиты информации представленна рис. 2.

Рис. 2.Состав научно-методологических основКСЗИ

Источник: https://studfile.net/preview/5828099/page:7/

Scicenter1
Добавить комментарий