Значение нормативно-методического обеспечения
Методология построения КСЗИ – это совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы. Методология позволяет в рамках единого подхода использовать согласованное применение разнородных средств для построения целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Методология построения комплексной системы защиты информации (КСЗИ) описывает основные методы и принципы решения следующих вопросов: 1. Обеспечение комплексной безопасности. 2. Компоненты комплексной системы защиты информации: o методологические, организационные, технические. 3. Направления работ по созданию комплексной системы защиты информации. 4. Основные принципы построения комплексной системы защиты информации: o принцип законности; o принцип превентивности; o принцип полноты состава защищаемой информации; o принцип обоснованности защиты информации; o принцип экономической целесообразности; o принцип персональной ответственности; o принцип сочетания гласности с конспирацией; o принцип гибкости системы защиты; o принцип равномощности (комплексности); o принцип непрерывности защиты; o принцип независимости стойкости средств защиты информации (СЗИ) от раскрытия информации о механизмах ее использования; o принцип простоты применения. 5. Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты информации: o создание подразделения, отвечающего за обеспечения конфиденциальности данных; o создание перечня основных нормативных и организационно-распорядительных документов, необходимых для организации КСЗИ. 6. Рекомендации по методологии построения матрицы конфиденциальности: o определение субъектов и объектов информационных потоков; o определение характеристик и признаков субъектов и объектов информационных потоков (матрица конфиденциальности); o построение правил разграничения доступа субъектов к объектам информационных потоков на основании матрицы конфиденциальности. 7. Методика оценки рисков: o методика анализа угроз конфиденциальной информации и построения неформальной модели нарушителя; o методика определения общих требований к защищенности АС: § классификационные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК России) к защищенности от НСД средств вычислительной техники и автоматизированных систем; § основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации. 8. Методика определения уровня защиты информации в соответствии с руководящими документами (РД) ФСТЭК России. Нормативно-методическое обеспечение КСЗИ представляет собой комплекс положений, законодательных актов, нормативов, методик, правил, регламентирующих создание и функционирование КСЗИ, взаимодействие подразделений и лиц, входящих в структуру системы, а также статус органов, обеспечивающих функционирование КСЗИ. К содержанию нормативно-методических документов по ЗИ предъявляется ряд требований: - ИС должна быть защищена путем внедрения продуманных правил безопасности; - система ЗИ (СЗИ) должна использовать набор правил, определяющий возможность данного субъекта получить доступ к данному объекту; - внедрение правил обеспечения безопасности и получение полномочий должно помочь организации эффективно реализовать доступ к конфиденциальной информации; - пользователи, не обладающие соответствующими полномочиями, не должны получать доступ к конфиденциальной информации. Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для определенных пользователей или пользовательских групп, например, исходя из служебных обязанностей. ИС должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи). Нормативные документы, определяющие порядок защиты информации, должны удовлетворять следующим требованиям: 1. соответствовать структуре, целям и задачам организации; 2. описывать общую программу обеспечения ИБ организации, включая вопросы эксплуатации и усовершенствования; 3. перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры; 4. определять ответственных за внедрение и эксплуатацию всех средств защиты; 5. определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил ИБ. Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз (построить модель угроз), определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле. Целесообразно обратить внимание на следующие вопросы: 1. принадлежность информации (о ЗИ обязан заботиться ее владелец); 2. определение важности информации (пока не определена ценность информации, не следует ожидать проявлений должного отношения к ней); 3. значение секретности (нужна ли она вообще?); Нормативно-технические документы по защите информации. Защита информации осуществляется путем выполнения комплекса организационных и технических мероприятий:
Нормативно-технические документы по защите информации подразделяются на две группы. Первая группа включает в себя документы, устанавливающие требования и рекомендации по защите информации. К ним относятся:
Например, РД «Автоматизированные системы. Защита от несанкционированного доступа (НСД) к информации. Классификация автоматизированных систем (АС) и требования по ЗИ». Определены требования по ЗИ в АС различных классов. Класс выбирается заказчиком и разработчиком с привлечением специалистов. Определяющие признаки группировки - наличие информации различного уровня конфиденциальности, полномочия субъектов на доступ к ней, режим обработки данных. Установлено 9 классов защищенности. Каждый характеризуется минимальной совокупностью требований по защите. Классы делятся на 3 группы, отличающиеся особенностями обработки информации. Вторая группа включает в себя документы, устанавливающие критерии оценки защищенности информации (нормы эффективности защиты) и методы их контроля (в том числе при проведении сертификационных испытаний). К ним относятся:
Например, РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от НСД к информации. Классификация базируется на перечне показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Показатели защищенности применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ). Перечни показателей определяют классы защищенности СВТ. Сокращать или изменять перечни нельзя. В рамках методического направления необходимо разработать концепцию (политику) безопасности, которая призвана сформулировать цель и обеспечить поддержку ИБ руководством организации. Высшее руководство должно поставить четкую цель и всесторонне оказывать свою поддержку в реализации ИБ посредством распространения политики безопасности среди сотрудников организации. Мероприятия по созданию КСЗИ, реализуемые вне единого комплекса мер, прописанных в рамках концепции безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности. Под концепцией безопасности понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов, решающих задачи защиты конфиденциальной информации. Концепция (Политика) безопасности - документ, в котором: 1. применяется методика определения и описания информационных потоков, описанная в методологии, представляющая собой формальное и точное описание работы с информацией в подразделениях, с учетом их изменения со временем. Определены критерии, по которым принимается решение о появлении или прекращении конкретного информационного потока; 2. анализируются, описываются и фиксируются информационные потоки, существующие при работе с информацией на текущий момент; 3. определяются для каждого информационного потока фазы существования информации (например, бумажный документ, электронный документ, запись в базе данных); 4. определяются категории конфиденциальной информации, разрабатывается классификация информации по категориям конфиденциальности; 5. проводится категорирование информации по категориям и фазам, создается матрица конфиденциальности; 6. определяются возможные пути разглашения конфиденциальной информации (модель угроз); 7. для каждой угрозы и атаки определяется модель нарушителя; 8. определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски); 9. определяются порядок изменения Концепции безопасности и Регламента обеспечения безопасности. Письменный документ о политике безопасности должен быть доступен всем сотрудникам, отвечающим за обеспечение режима ИБ. Высшее руководство должно предоставить за документированную политику информационной безопасности всем подразделениям организации. 8.2 Модель угроз и модель нарушителя.[23] С методологической точки зрения необходимо, прежде всего, уяснить: - во-первых, что (или кто) является источником угрозы; - во-вторых, каким образом угроза влияет на информационную безопасность предприятия. В тоже время, концентрация нашего внимания только на угрозах ИБ приведет к бесконечной борьбе с ними, не затрагивая при этом порождающие их причины. Угроза – это результат имеющихся и формирующихся в самом обществе, в межличностных отношениях противоречий и без их выявления и решения никакая безопасность обеспечена быть не может. Именно поэтому в методологическом аспекте причины появления угроз ИБ приобретают качество характеристики, отражающей суть изучаемой нами проблемы. Моделирование угроз и, как следствие, разработка модели потенциального нарушителя и сценариев его поведения, является основной творческой частью концепции ИБП. Модель угроз представляет собой описание источников и характера угроз, их негативного воздействия на предприятие и его персонал, структуры инженерно-технической системы, порядок работы служб безопасности по предотвращению, выявлению и реагированию на угрозы. Моделирование угроз фокусируется не только на слабых, с точки зрения ИБ, местах (потенциальных угрозах), но и включает анализ реальных угроз. Это противоправные действия или непредвиденные события, способные причинить существенный материальный ущерб или моральный вред. Модель должна иллюстрировать основные факторы, определяющие задачи, состав подразделений по обеспечению ИБП и структуру систем физической защиты предприятия. Задача построения модели угроз требует учета наиболее существенных связей объектов и параметров процессов внутри предприятия. Исходя из этого, основными этапами моделирования являются: § оценка потенциальных и реальных внутренних и внешних угроз; § выбор приоритета; § выработка предложений по организации реагирования на угрозы ИБ с целью поддержания нормального функционирования предприятия. Грамотно спроектированная модель позволяет избежать приобретения ненужного оборудования, четко определить необходимый функционал подразделений ИБ и их взаимодействие с системой физической защиты. Моделирование угроз ИБ — это способ контроля над ходом проектирования СЗИ. Ведь для того чтобы быть уверенным, что система устоит перед критическими инцидентами, следует заранее выяснить, о чем нужно побеспокоиться. Модель угроз позволяет выстраивать стратегию работы подразделения, отвечающего за ИБП, формировать процедуры работы подразделений, вести мониторинг, определять порядок взаимодействия с внешними органами и организациями, деятельность которых оказывает существенное (положительное или отрицательное) влияние на ИБП. Следствием моделирования угроз является разработка модели потенциального нарушителя Модель нарушителя представляет собой описание профессионального круга лиц, к которому принадлежит нарушитель, мотивации нарушителя (цели), его предполагаемой квалификации, предполагаемых ограничений на действия и характер возможных действий нарушителя.
Популярное: Как построить свою речь (словесное оформление):
При подготовке публичного выступления перед оратором возникает вопрос, как лучше словесно оформить свою... Почему стероиды повышают давление?: Основных причин три... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (589)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |