КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Составление плана защиты информации
|
|
|
|
Проверка системы защиты информации
Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, то можно намечать дату ближайшей переоценки.
В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе защиты. После того как сформирован возможный сценарий действий нарушителя, возникает необходимость проверки системы защиты информации.
Такая проверка называется «тестирование на проникновение».
Цель - предоставление гарантий того, что не существует простых путей для неавторизованного пользователя обойти механизмы защиты. Один из возможных способов аттестации безопасности системы - приглашение хакеров для взлома без предварительного уведомления персонала сети. Для этого выделяется группа из двух-трех человек, имеющих высокую профессиональную подготовку.
Этой группе предоставляется в распоряжение автоматизированная система в защищенном исполнении, и она в течение 1-3 месяцев пытается найти уязвимые места и разработать на их основе тестовые средства для обхода механизмов защиты. Наемные хакеры по результатам работы представляют конфиденциальный доклад с оценкой уровня доступности информации и рекомендациями по улучшению защиты. Наряду с таким способом используются программные средства тестирования.
На этом этапе в соответствии с выбранной политикой безопасности разрабатывается план ее реализации. План защиты является документом, вводящим в действие систему защиты информации, который утверждается руководителем предприятия (организации).
|
|
|
Планирование связано не только с наилучшим использованием всех возможностей, которыми мы располагаем, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности предпринятых мер по защите информации.
План защиты информации на объекте должен включать:
• описание защищаемой системы (основные характеристики защищаемого объекта: назначение объекта, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, и требований по обеспечению доступа, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т. п.);
• цель защиты системы и пути обеспечения безопасности АС и циркулирующей в ней информации;
• перечень значимых угроз безопасности АС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
• политику информационной безопасности;
• план размещения средств и функциональную схему системы защиты информации на объекте;
• спецификацию средств защиты информации и смету затрат на их внедрение;
• календарный план проведения организационных и технических мероприятий по защите информации, порядок ввода в действие средств защиты;
• основные правила, регламентирующие деятельность персонала по вопросам обеспечения информационной безопасности объекта (особые обязанности должностных лиц АС);
• порядок пересмотра плана и модернизации средств защиты.
Пересмотр плана защиты осуществляется при изменении следующих компонентов объекта:
- кадровые изменения;
- изменения архитектуры информационной системы (подключение других локальных сетей, рассредоточение узлов АС, изменение или модификация используемых средств вычислительной техники или ПО);
|
|
|
- изменения территориального расположения компонентов АС. В рамках плана защиты необходимо иметь план действий персонала в критических ситуациях.
Такой план называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты:
• цель обеспечения непрерывности процесса функционирования АС, восстановления ее работоспособности и пути ее достижения;
• перечень и классификация возможных кризисных ситуаций;
• требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации, ведения текущих, долговременных и аварийных архивов; состав резервного оборудования и порядок его использования и т. п.);
• обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального функционирования системы. Если организация осуществляет обмен электронными документами с партнерами по выполнению единых заказов, то необходимо в план защиты включить договор о порядке организации обмена электронными документами, в котором отражаются следующие вопросы:
• разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
• определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
• определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);
• определение порядка разрешения споров в случае возникновения конфликтов.
Исходя из того, что план защиты информации представляет собой пакет текстуально-графических документов, необходимо отметить, что наряду с приведенными компонентами этого пакета в него могут входить:
- положение о коммерческой тайне, определяющее перечень сведений, составляющих коммерческую тайну, и порядок его определения, а также обязанности должностных лиц по защите коммерческой тайны;
- положение о защите информации, регламентирующее все направления деятельности по реализации политики безопасности, а также ряд дополнительных инструкций, правил, положений, соответствующих специфике объекта защиты.
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 2981; Нарушение авторских прав?; Мы поможем в написании вашей работы!