Этапы разработки систем зашиты
При первоначальной разработке и реализации системы защиты ИС обычно выделяют три стадии.
Первая стадия — выработка требований включает:
1) выявление и анализ уязвимых в ИС и ИТ элементов, которые могут подвергнуться угрозам;
2) выявление или прогнозирование угроз, которым могут подвергнуться уязвимые элементы ИС;
3) анализ риска.
Стоимостное выражение вероятного события, ведущего к потерям, называют риском. Оценки степени риска в случае осуществления того или иного варианта угроз, выполняемые по специальным методикам, называют анализом риска.
На второй стадии — определение способов защиты — принимаются решения о том:
1) какие угрозы должны быть устранены, и в какой мере;
2) какие ресурсы ИС должны быть защищаемы, и в какой степени;
3) с помощью, каких средств должна быть реализована защита;
4) каковы должны быть стоимость реализации защиты и затраты на эксплуатацию ИС с учетом защиты от потенциальных угроз.
Вторая стадия предусматривает разработку плана защиты и формирование политики безопасности, которая должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях.
План защиты содержит следующие разделы (группы сведений):
1. Текущее состояние системы (как результат работы первой стадии).
2. Рекомендации по реализации системы защиты.
3. Ответственность персонала.
4. Порядок ввода в действие средств защиты.
|
|
|
5. Порядок пересмотра плана и состава защиты.
Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку, реализуемых при помощи организационных мер и программно-технических средств и определяющих архитектуру системы защиты. Для конкретных организаций политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и т.д.
Третья стадия — построение системы информационной безопасности, т.е. реализация механизмов защиты как комплекса процедур и средств обеспечения безопасности информации. В заключение производится оценка надежности системы защиты, т.е. уровня обеспечиваемой ею безопасности.
Функционирование системы информационной безопасности направлено на реализацию принципа непрерывного развития. Необходимо с определенной периодичностью анализировать текущее состояние системы и вводить в действие новые средства защиты. В этом отношении интересна практика защиты информации в США.
Американский специалист в области безопасности информации А. Патток предлагает концепцию системного подхода к обеспечению защиты конфиденциальной информации, получившую название «метод Opsec» (Operation Security).
|
|
|
Суть метода в том, чтобы пресечь, предотвратить или ограничить утечку той части информации, которая позволит конкуренту определить, что осуществляет или планирует предприятие.
Дата добавления: 2016-01-03; просмотров: 14; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!