Построение системы информационной безопасности
|
|
Теперь, владея основными концептуальными положениями, необходимо освоить механизм выработки детальных предложений по формированию политики и построению системы информационной безопасности.
Последовательность действий при разработке системы обеспечения информационной безопасности объекта. Прежде чем приступать к разработке системы информационной безопасности, необходимо определить, что же для организации (физического лица) является интеллектуальной собственностью.
С точки зрения делового человека, интеллектуальной собственностью являются информационные ресурсы, знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль. Способ управления производством, технологический процесс, список клиентов, профиль научных исследований, анализ конкурентоспособности - вот лишь некоторые примеры.
Незнание того, что составляет интеллектуальную собственность, есть уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации. Затем, вне зависимости от размеров организации и специфики ее информационной системы, необходимо: □ определить границы управления информационной безопасностью объекта; □ провести анализ уязвимости; □ выбрать контрмеры, обеспечивающие информационную безопасность; □ определить политику информационной безопасности; □ проверить систему защиты; □ составить план защиты; □ реализовать план защиты (управление системой защиты).
Определение границ управления информационной безопасностью объекта. Целью этого этапа является определение всех возможных «болевых точек» объекта, которые могут доставить неприятности с точки зрения безопасности информационных ресурсов, представляющих для организации определенную ценность.
Для работ на данном этапе должны быть собраны следующие сведения: 1. Перечень сведений, составляющих коммерческую или служебную тайну. 2. Организационно-штатная структура организации. 3. Характеристика и план объекта, размещение средств вычислительной техники и поддерживающей инфраструктуры. На плане объекта указывается порядок расположения административных зданий, производственных и вспомогательных помещений, различных строений, площадок, складов, стендов и подъездных путей с учетом масштаба изображения. Дополнительно дается структура и состав автоматизированной системы, помещения, в которых имеются технические средства обработки критичной информации с учетом их расположения. Указываются также контуры вероятного установления информационного контакта с источником излучений по видам технических средств наблюдения с учетом условий среды, по времени и месту. 4. Перечень и характеристика используемых автоматизированных рабочих мест, серверов, носителей информации. 5. Описание информационных потоков, технология обработки информации и решаемые задачи, порядок хранения информации. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов. 6. Используемые средства связи (цифровая, голосовая и т. д.). Знание элементов системы дает возможность выделить критичные ресурсы и определить степень детализации будущего обследования. Инвентаризация информационных ресурсов должна производиться исходя из последующего анализа их уязвимости. Чем качественнее будут проведены работы на этом этапе, тем выше будет достоверность оценок на следующем.
В результате должен быть составлен документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности. В идеале такой документ должен включать информационно-логическую модель объекта, иллюстрирующую технологию обработки критичной информации с выделением вероятных точек уязвимости, по каждой из которых необходимо иметь полную характеристику. Такая модель является базой, а ее полнота - залогом успеха на следующем этапе построения системы информационной безопасности.
|
|
Смотрите также:
ИНФОРМАЦИОННО-УПРАВЛЯЮЩАЯ СИСТЕМА. Основы...
8.1. Основы построения ИУС. Информационно-управляющая система, как отмечено выше (см. 2.2), структурно состоит из системы управления (СУ), информационно- измерительной системы
Принципы построения информационных систем в логистике.
При построении логистических информационных систем на базе ЭВМ необходимо соблюдать определенные принципы [38, с. 74]. 1. Принцип использования аппаратных и программных модулей.
Характеристика автоматизированных систем обработки...
9.2. Характеристика автоматизированных систем
обработки экономической информации, функционирование и принципы построения.
Важную роль в согласовании функционирования разных уровней АСОИ выполняет информационное
обеспечение.
Информационная система должна состоять из упорядоченно...
«Информационно-техническое обеспечение логистических систем отличается не характером информации и набором технических средств, используемых для их обработки, а методами и принципами, используемыми для их построения» (31).