Системный подход к обеспечению информационной безопасности

Слайд № 9. Под системой обеспечения информационной безопасности (СОИБ) будем понимать функциональную подсистему системы комплексной безопасности хозяйствующего субъекта, объединяющую силы, средства и объекты защиты информации, организованные и функционирующие по правилам, установленным правовыми, организационно-распорядительными и нормативными документами по защите информации.

Слайд № 10. Проведем детальный анализ предложенного понятия (рис.1).

 
  Системный подход к обеспечению информационной безопасности - student2.ru

Рис.1. Укрупненная структура СОИБ

Слайд № 11. Под силами СОИБ будем понимать совокупность органов и (или) исполнителей работ, связанных с защитой информации в интересах данного хозяйствующего субъекта. Следовательно, под силами СОИБ подразумевается существование некоторого структурного подразделения, выполняющего задачи управления функционированием данной системы. Характер и масштабы сил СОИБ будут зависеть от масштаба хозяйствующего субъекта, характера и степени конфиденциальности имеющейся информации, а также от объема затрат на выполнение указанных задач. Более детально анализ сил информационной безопасности хозяйствующего субъекта будет проведен далее.

Средства защиты информации – это совокупность правовых, организационных технических и других решений, предназначенных для защиты информационных ресурсов хозяйствующего субъекта от внутренних и внешних воздействий.

Под объектами защиты информации будем понимать информационные ресурсы, т.е. любые виды активов информационной системы хозяйствующего субъекта: структурированная и неструктурированная информация, документы, вычислительная техника, коммуникационное и сетевое оборудование, оргтехника и др.

Слайд № 12. В качестве системного подхода к реализации работ по обеспечению информационной безопасности приведем положения американской концепции системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security), которая строится на 7 этапах реализации (рис.2).

Первый этап (анализ объекта защиты) состоит в определении того, что нужно защищать и проводится по следующим направлениям:

- какая информация нуждается в защите;

- наиболее важные элементы (критические) защищаемой информации;

- срок жизни критической информации (время, необходимое конкуренту для реализации добытых сведений);

- определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;

- классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения управления и т.д.).

Второй этап заключается в выявлении угроз. Он происходит по следующим направлениям:

- определяется, кого может заинтересовать защищаемая информация;

- оцениваются методы, используемые конкурентами для получения этой информации;

- оцениваются вероятные каналы утечки информации;

- разрабатывается система мероприятий по пресечению действий конкурента.

Третий этап заключается в анализе эффективности принятых и постоянно действующих подсистем безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.).

На четвертом этапе проводится определение необходимых мер защиты. На основе проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.

Пятый этап включает рассмотрение руководителями фирмы (организации) представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности.

На шестом этапе осуществляется реализация принятых дополнительных мер безопасности с учетом установленных приоритетов.

На седьмом этапе осуществляется контроль и доведение до персонала фирмы реализуемых мер безопасности.

Рассматриваемый метод требует серьезной аналитической работы, проводимой аналитической группой по следующим основным направлениям:

- информация о рынке и конкурентном окружении;

- информация о производстве и продукции;

- информация об организационных особенностях предприятия и его финансах.

Слайд № 13.

Системный подход к обеспечению информационной безопасности - student2.ru

Рис.2. Концепция системного подхода к обеспечению защиты

конфиденциальной информации (OPSEC Operation Security),

Второй учебный вопрос: Система обеспечения информационной безопасности (СОИБ) хозяйствующего субъекта

Слайд № 14.

Работу по исследованию проблемы обеспечения информационной безопасности некоторого хозяйствующего субъекта начнем с четкого определения целей, задач и функций СОИБ, после чего покажем основные виды обеспечения функционирования данной системы и проведем ее декомпозицию с целью анализа структуры и взаимосвязей системы.

2.1. Цели, задачи и требования к СОИБ

Слайд № 15. Целью СОИБ является создание таких условий функционирования информационной системы хозяйствующего субъекта (ХС), при которых обеспечивается выполнение требований по конфиденциальности, доступности и целостности информации, принадлежащей ему.

В соответствии с целью СОИБ, сформулированной нами, представим требования к основным характеристикам информации, составляющим сущность ее безопасности в качестве некоторых свойств или условий функционирования информационной системы хозяйствующего субъекта.

Слайд № 16. Конфиденциальность информации – это субъективно определяемая для нее характеристика, указывающая на необходимость создания в информационной системе хозяйствующего субъекта условий, при которых вводятся ограничения на доступ к этой информации.

Доступность информации – это свойство информационной системы хозяйствующего субъекта, характеризующееся способностью обеспечивать своевременный и беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

Целостность информации – это свойство информации, заключающееся в возможности ее существования в информационной системе хозяйствующего субъекта в неискаженном виде.

В соответствии с требованиями к безопасности информации сформулируем задачи СОИБ. К таковым можно отнести [3]:

1. Предупреждение появления угроз информационной безопасности.

Реализация этой задачи носит упреждающий характер и должна способствовать такому построению, которое обеспечивает полную невозможность (в идеале) или минимальную возможность появления дестабилизирующих факторов в различных условиях ее функционирования.

2. Обнаружение появившихся угроз и предупреждение их воздействия на информационную систему хозяйствующего субъекта.

Данная задача решается осуществлением комплекса мероприятий, в результате проведения которых появившиеся угрозы должны быть обнаружены до момента их воздействия на информационную систему и, непосредственно, на информацию, а также должно быть обеспечено недопущение воздействия угроз в условиях их появления и обнаружения.

3. Обнаружение воздействия угроз на информационную систему хозяйствующего субъекта и локализация этого воздействия.

Решение данной задачи заключается в непрерывном контроле средств, комплексов, систем обработки, хранения и защиты информации с целью своевременного обнаружения фактов воздействия на них угроз.

4. Ликвидация последствий воздействия угроз на информационную систему хозяйствующего субъекта.

Выполнение данной задачи предполагает проведение мероприятий в отношении обнаруженных (локализованных) воздействий угроз, т.е. восстановление системы и анализ ее состояния.

Слайд № 17. Требования, предъявляемые к рассматриваемой нами системе, структурируем и сгруппируем по нескольким направлениям.

1. Группа требований, обусловленных характером информации, циркулирующей в информационной системе ХС. К ним относятся:

- степени конфиденциальности информации;

- объемы информации, циркулирующей в информационной системе;

- интенсивность обработки информации.

2. Группа требований, обусловленных архитектурой информационной системы ХС. К ним можно отнести:

- пространственные размеры информационной системы;

- территориальную распределённость информационной системы;

- структурированность компонентов информационной системы.

3. Группа требований, обусловленных условиями функционирования информационной системы ХС. К ним отнесем:

- расположение информационной инфраструктуры системы на территории объекта;

- степень обустроенности информационной инфраструктуры;

- развитость информационных коммуникаций.

4. Группа требований, обусловленных технологией обработки информации в системе. К ним будем относить:

- масштабируемость системы;

- стабильность функционирования;

- доступность технологических решений;

- структурированность технологии обработки информации в системе.

5. Группа требований, обусловленных организацией функционирования информационной системы ХС. К ним можно отнести:

- общую организацию функционирования системы;

- степень и качество укомплектованности кадрами;

- уровень подготовки и мотивации кадров;

- уровень производственной (технологической) дисциплины.

Наши рекомендации