Проект модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации

Лекция 10. ПРИМЕР ОЦЕНКИ ЗАТРАТ НА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ

· Базовая, средняя и высокая система защиты КИС от вирусов и вредоносного ПО.

· Базовая, средняя и высокая система контроля и управления доступом в КИС (обеспечение физической безопасности).

В качестве примера использования методики ССВ для обоснования инвестиций в ИБ рассмотрим проект модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации (физическая защита).

Для этого сначала условно определим три возможных состояния системы защиты КИС от вирусов и вредоносного ПО, а именно: базовое, среднее и высокое.

Базовое: Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня — организация минимальной защиты от вирусов и вредоносного ПО при небольших затратах.

Среднее: Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политики защиты информации, передаваемой по открытым каналам связи Интернет. Дополнительно к техническим мерам используются организационные меры защиты информации.

Высокое: Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.

Также условно выделим три состояния развития системы контроля и управления доступом в КИС (обеспечение физической безопасности): базовое, среднее, высокое.

Базовое: Ведется учет как минимум рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение. Введена процедура контроля перемещения аппаратных средств КИС. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам КИС.

Среднее: Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Разработаны инструкции по действию в штатных и внештатных ситуациях. Задействованы частные и государственные охранные предприятия и структуры.

Высокое: Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используется весь комплекс мер защиты информации, начиная с организационного и заканчивая техническим уровнями.

Проект по модернизации корпоративной системы в части ИБ предполагает модернизацию двух элементов: антивирусной защиты и системы управления ИБ. Необходимо обосновать переход от базового уровня к повышенному (среднему или высокому). В табл. приводятся требования к элементам защиты, сформулированные в задании на модернизацию КИС.

Характеристики исходного и повышенного уровня защиты

Возможно несколько вариантов реализации этих требований, характеризующихся разными экономическими показателями.

Дата добавления: 2017-02-01; Просмотров: 114; Нарушение авторских прав?; Мы поможем в написании вашей работы!