Правила побудови системи забезпечення інформаційної безпеки

Вибір варіанту побудови системи забезпечення інформаційної

безпеки

В залежності від конфіденційності інформації, яка зберігається, обробляється та передається У організації, рівня її критичності, ве­личини можливих збитків від реалізації загроз, матеріальних, фінан-

Частина, II Основи безпеки інформаційних технологій

сових та інших ресурсів, які є у розпорядженні організації, а також; інших чинників обґрунтовується пропозиція щодо доцільності засто­сування варіантів побудови СЗІБ. Можливі наступні варіанти:

• досягнення необхідного рівня інформаційної безпеки за мінімальних затрат і допустимого рівня обмежень на технології зберігання, оброблення та передавання інформації у організації;

• досягнення необхідного рівня захищеності інформації за допустимих затрат і заданого рівня обмежень на технології зберігання, оброблення та передавання інформації у організації;

• досягнення максимального рівня захищеності інформації за необхідних затрат і мінімального рівня обмежень на технології зберігання, оброблення та передавання інформації у організації. Якщо інформація становить державну таємницю, то необхідно

застосовувати, як правило, третій варіант.

Оцінювання витрат на СЗБІ

Здійснюється первинне (попереднє) оцінювання допустимих ви­трат на блокування загроз, виходячи з вибраного варіанту побудови СЗІБ і виділених на це коштів. На етапі проектування СЗІБ, після формування пропозицій щодо складу заходів і засобів захисту, здій­снюється оцінка залишкового ризику для кожної пропозиції (напри­клад, за критерієм "ефективність/вартість"), вибирається найбільш оптимальна серед них і первинна оцінка уточнюється. Якщо зали­шковий ризик перевищує гранично допустимий, вносяться відповідні зміни до складу заходів і засобів захисту, після чого всі процедури виконуються повторно до одержання прийнятного результату.

Визначення вимог до заходів, методів та засобів захисту

Вихідними даними є:

• завдання і функції організації;

• результати аналізу середовищ функціонування організації;

• модель загроз, модель порушників;

• результати аналізу ризиків.

На підставі цих даних визначаються компоненти організації, для яких необхідно або доцільно розробляти свої власні політики безпе­ки, відмінні від загальної політики безпеки у організації.

Для кожного компонента та (або) організації в цілому формує­ться перелік необхідних функціональних послуг захисту від несан-

Розділ 9 Основи управління інформаційною безпекою

кціонованого доступу та вимог до рівнів реалізації кожної з них, ви­значається рівень гарантій реалізації. Визначені вимоги складають профіль захищеності інформації у організації (складових організа­ції).

Для кожного компонента та (або) організації в цілому визнача­ються загальні підходи та вимоги з захисту інформації від витоку технічними каналами.

На наступному кроці визначаються механізми безпеки, що реалі­зують функціональні послуги безпеки, здійснюється вибір технічних засобів захисту інформації від витоку технічними каналами.

Вибір основних рішень з забезпечення безпеки інформації

Комплекс заходів з забезпечення безпеки інформації розглядає­ться на трьох рівнях:

• правовому;

• організаційному;

• технічному.

На правовому рівні забезпечення безпеки інформації повинні бу­ти вироблені підходи щодо:

• системи нормативно-правового забезпечення робіт з захисту інформації у організації;

• підтримки керівництвом організації заходів з забезпечення безпеки інформації у організації, виконання правових та (або) договірних вимог з захисту інформації, визначення відповідальності посадових осіб, організаційної структури, комплектування і розподілу обов'язків співробітників СЗІБ;

• процедур доведення до персоналу та користувачів організації основних положень політики безпеки інформації, їхнього навчання і підвищення кваліфікації з питань безпеки інформації;

• системи контролю за своєчасністю, ефективністю і повнотою реалізації у організації рішень з захисту інформації, дотриманням персоналом і користувачами положень політики безпеки.

На організаційному рівні забезпечення безпеки інформації повин­ні бути вироблені підходи щодо:

• застосування режимних заходів на об'єктах організації (організації);

• забезпечення фізичного захисту об'єктів організації (організації), носіїв інформації, інших ресурсів;

Частина, II Основи безпеки інформаційних технологій

• організації проведення обстеження середовищ функціонування організації;

• порядку виконання робіт з захисту інформації, взаємодії з цих питань з іншими суб'єктами системи захисту інформації в державі;

• виконання робіт з модернізації організації (окремих компонентів);

• регламентації доступу сторонніх користувачів до інформаційної сфери організації;

• регламентації доступу власних користувачів і персоналу до інформаційної сфери організації;

• здійснення профілактичних заходів (наприклад, попередження ненавмисних дій, що призводять до порушення політики безпеки, попередження появи вірусів та ін.);

• реалізації окремих положень політики безпеки, найбільш критичних з точки зору забезпечення захисту аспектів (наприклад, організація віддаленого доступу до організації (об'єктів організації), використання мереж; передачі даних загального користування, зокрема Internet, використання несертифікованого програмного забезпечення т.ін.).

На технічному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо застосування технічних і програмно-технічних засобів, які реалізують задані вимоги з захисту інфор­мації. Під час розгляду різних варіантів реалізації рекомендується враховувати наступні аспекти:

• інженерно-технічне обладнання виділених приміщень, в яких розміщуються компоненти організації, експлуатація і супроводження засобів блокування технічних каналів витоку інформації;

• реєстрація санкціонованих користувачів організації, авторизація користувачів в системі;

• керування доступом до інформації і механізмів, що реалізують послуги безпеки, включаючи вимоги до розподілу ролей користувачів і адміністраторів;

• виявлення і реєстрація небезпечних подій з метою здійснення повсякденного контролю або проведення службових розслідувань;

• перевірка і забезпечення цілісності критичних даних на всіх стадіях їхньої обробки в організації;

• забезпечення конфіденційності інформації, у тому числі використання криптографічних засобів;

• резервне копіювання критичних даних, супроводження архівів даних і програмного забезпечення;

Розділ 9 Основи управління інформаційною безпекою

• відновлення роботи об'єктів організації після збоїв, відмов, особливо для об'єктів із підвищеними вимогами до доступності інформації;

• захист програмного забезпечення, що використовується у організації (на об'єктах організації), від внесення несанкціонованих доповнень і змін;

• забезпечення функціонування засобів контролю, у тому числі засобів виявлення технічних каналів витоку інформації.