Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Выбор защитных мер должен всегда включать в себя комбинацию организационных (нетехнических) и технических мер защиты. В качестве организационных рассматриваются меры, обеспечивающие физическую, персональную и административную безопасность.
1.4.1. Выбор организационных мер.
Защитные меры для физической безопасности включают в себя обеспечение прочности внутренних стен зданий, использование кодовых дверных замков, систем пожаротушения и охранных служб. Обеспечение безопасности персонала включает в себя проверку лиц при приеме на работу (особенно лиц, нанимающихся на важные с точки зрения обеспечения безопасности должности), контроль за работой персонала и реализацию программ знания и понимания мер защиты.
Административная безопасность включает в себя безопасные способы ведения документации, наличие методов разработки и принятия прикладных программ, а также процедур обработки инцидентов в случаях нарушения систем безопасности.
При таком способе обеспечения безопасности очень важно, чтобы для каждой системы была разработана система ведения деловой деятельности организации, предусматривающая в том числе возможность появления непредвиденных обстоятельств (ликвидацию последствий нарушения систем безопасности) и включающая в себя соответствующую стратегию и план (планы).
Можно предложить три стратегии обеспечения информационной безопасности, представленные в таблице 11.
Выбор оборонительной стратегии означает, что если исключить вмешательство в процесс функционирования информационной системы, то можно нейтрализовать лишь наиболее опасные угрозы. Обычно это достигается построением «защитной оболочки», включающей разработку дополнительных организационных мер, создание программных средств допуска к ресурсам информационной системы в целом, использованию технических средств контроля помещений, в которых расположено терминальное и серверное оборудование.
Таблица 11
Учитываемые угрозы | Влияние на информационные системы | ||
отсутствует | частичное | существенное | |
Наиболее опасные | Оборонительная стратегия | ||
Все идентифицированные угрозы | Наступательная стратегия | ||
Все потенциально возможные | Упреждающая стратегия |
Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.
Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. Важной частью упреждающей стратегии является оперативный анализ информации центров изучения проблем информационной безопасности, изучение отечественного и мирового передового опыта, проведение независимого аудита уровня обеспечения безопасности информационных ресурсов организации.
План должен содержать подробные сведения о важнейших функциях и приоритетах, подлежащих восстановлению, необходимых условиях обработки информации и способах организации, которые необходимо осуществлять в случае аварии или временного прекращения работы системы.
К числу разрабатываемых планов можно отнести:
· положение о пропускном режиме предприятия;
· регламент защищенного (конфиденциального) документооборота
· порядок реагирования на инциденты
Пункт должен содержать:
а) обоснование и выбор стратегии обеспечения информационной безопасности
б) обоснование и выбор необходимых документов, регламентирующих проведение мероприятий по решению задач, определенных в п.1.3.2.
1.4.2. Выбор инженерно-технических мер.
При выборе инженерно-технических мер желательно дать краткое описание и провести анализ таких разработок, указав основные характеристики и функциональные возможности.
Обзор рынка средств рекомендуется проводить с помощью Internet. Адреса используемых при обзоре ресурсов следует добавить в список литературы дипломного проекта.
Затем следует отметить, чем, с точки зрения решаемой задачи, должно и будет отличаться выбранное техническое решение от существующих. Кроме того, необходимо провести обоснование выбора инженерно-технических мер, с точки зрения способа реализации, а именно:
а) создание;
б) доработка
в) модернизация.
При анализе рынка целесообразно руководствоваться следующим планом:
· выявить и обосновать требуемые классы средств обеспечения информационной безопасности и защиты информации;
· выявить критерии анализа, помимо функциональных возможностей;
· провести сбор информации по существующим технологиям;
· составить сводную таблицу по найденным разработкам в сравнении с планируемым решением;
· написать вывод, исходя из анализа.
Дата публикования: 2015-04-07; Прочитано: 616 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!