Системний підхід до опису безпеки

Системний підхід до опису інформаційної безпеки пропонує виділити наступні складові інформаційної безпеки:

1. Законодавча, нормативно-правова і наукова база:

ЗАКОН УКРАЇНИ - Про Національну систему конфіденційного зв'язку

ЗАКОН УКРАЇНИ - Про телекомунікації

ЗАКОН УКРАЇНИ - Про електронні документи та електронний документообіг

ЗАКОН УКРАЇНИ - Про електронний цифровий підпис

КМ - Про затвердження Положення про центральний засвідчувальний орган

КМ - Про деякі питання захисту інформації, охорона якої забезпечується державою, тощо.

2. Організаційно-технічні і режимні заходи і методи (Політика інформаційної безпеки).

3. Програмно-технічні засоби забезпечення інформаційної безпеки. (Soft & Hard)

Політика безпеки (інформації в організації) (Organizational security policy) - сукупність документованих правил, процедур, практичних прийомів або керівних принципів в області безпеки інформації, якими керується організація в своїй діяльності.

Для побудови Політики інформаційної безпеки рекомендується окремо розглядати наступні напрями захисту інформаційної системи:

1. Захист апаратного забезпечення інформаційної системи (харда);

2. Захист процесів, процедур і програм обробки інформації (софта);

3. Захист інформації (даних);

4. Захист каналів зв'язку;

5. Управління системою захисту (Менеджмент безпеки – частина загальної системи менеджменту, яка стосується безпеки. Базується на моделі РDCA (Plan –Do-Check (перевірка відхилення від запланованого) - Act(заходи по запобіганню відхилень від запланованого) і знову Plan- …)).

При цьому, по кожному з перерахованих вище напрямів Політика інформаційної безпеки дати відповідь на наступні запитання:

1. Які об’єкти, що підлягають захисту?;

2. Яка множина потенційних загроз і каналів просочування інформації?;

3. Які уразливості інформації при наявній множині загроз і каналів витоку?;

4. Які вимоги до системи захисту?;

5. Які засоби захисту інформації і їх характеристики?;

6. Як впровадити вибрані засоби захисту?;

7. Як здійснювати менеджмент системою захисту?.

Загроза (threat) - можливість порушення безпеки інформації (конфіденційності, доступності, цілісності).

Уразливість (vulnerability) - недолік в системі, використовуючи який, можна порушити її безпеку (конфіденційність, доступність, цілісність).