"Человек - самое уязвимое место в системе безопасности.."

Концепция обеспечения информационной безопасности предприятия

Концепция безопасности предприятия создается после осмотра компонентов информационной системы предприятия. Каждая концепция составляется относительно взглядов, идей, установок, основой задачей и тд. Существуют требования:

  • Вписываемость. Это модификация объектов системы под ограничения концепции.
  • Конструктивность:
    • начальное состояние объекта, на изменение которого создается концепция;
    • состояние объекта в результате реализации готовой концепции;
    • методы и меры которые необходимы для реализации цели и концепции;
    • источники ресурсов, которые нужны для существования концепции;
  • Открытость. Каждая концепция должна уметь реагировать на модификации условий внешних или внутренних, что разрешит вносить поправки  для оптимальной работы.

Следуя вышеуказанным аспектам, нужно рассмотреть логические условия для создания концепции:

  • Конкретная постановка задачи при создании  и эксплуатации концепции.
  • Выявления объекта и  предмета, определение их сущности и  места среди других таких же.
  • Обозначить критерии оптимальной реализации концепции, и пути ее реализации.
  • Определить условия или рамки при создании концепции.

Концепция безопасности предприятия являет собой документ, где изложены правила относительно системы, ее условий и требований к организационным средствам защиты собственности организации и персонала. Шаблон структуру концепции показан ниже:

  • Осмотр проблемной ситуации в сфере безопасности организации.
  • Негативные последствия угроз для организации.
  • Осмотр объекта и предмета для безопасности предприятия.
  • Механизмы поддержания безопасности.
  • Реализация политики безопасности предприятия и стратегии безопасности.
  • Обозначения объекта и предмета на предприятии для реализации безопасности.
  • Принципы реализации безопасности.
  • Цели и задачи,рамки для безопасности..
  • Мероприятия по созданию мер безопасности.
  • Обозначение субъектов безопасности и их роли.
  • Расчет средств и определениеметодов защиты.
  • Оценка и контроль процесса реализации концепции.

Как и всякий товар, информация имеет потребителей которые нуждаются в ней. Следуя также имеет производителей и обладателей. Со стороны обладателя — сохранение конфиденциальной информации разрешает успешно держатся на рынке среди конкурентов. Со стороны потребителя, информация дает получить моральный или экономический эффект. Анализируя дела в области защиты информации, можно выразить следующую концепцию системы защиты:

  • Серьезный набор технических средств защиты информации.
  • Наличие множество фирм, которые специализируются на решении вопросов в этой области.
  • Наличие практического опыта.
  • Четко обозначена система взглядов на имеющиеся проблемы.

Замечено достаточно сильную тенденцию роста НСД к информации. Для борьбы с такой тенденцией нужно целенаправленная организация алгоритма защиты информационных ресурсов. Опыт времени также подсказывает, что:

  • Реализация безопасности не может быть одноразовым действием. Это непрерывный процесс, который заключается в совершенствования системы защиты, все непрерывные процессы для улучшения защиты.
  • Безопасность информации может быть эффективно реализована если использовать всесторонние средства во всех направлениях одновременно (комплекс).
  • Любая СЗИ не реализует защиту нужного уровня без подготовки персонала. (Это показано на рис.1)

концепция обеспечения безопасности

Рисунок — 1

С точки зрения системной реализации защиты информации, она она должна быть:

  • Плановой — должен быть путь разработки и поддержания системы систематическим или планированным с учетом всех тенденций развития как самого предприятия так и методов влияния.
  • Непрерывной — Защита должна быть постоянной, ибо злоумышленники только и ждут что бы обойти защиту.
  • Целенаправленной — нужно выставлять приоритеты угроз и соответственно защищаться.
  • Надежной — методы защиты информации должны быть достаточными и надежными.
  • Конкретной — объекты защиты должны быть конкретно определенны, для ее полной защиты.
  • Универсальной — система должна быть универсальной от любого вида утечек.
  • Комплексной — должна учитывать все тенденции.

Также есть определенные требования, которые должна учитывать концепция информационной безопасности. Эти требования это наличие собственного обеспечение, на которое опирается целевая функция безопасности:

  • Правовое обеспечение — это нормативные положения, документы или требования которые есть обязательные к исполнению.
  • Аппаратное обеспечение — использования набора технических средств для обеспечения работы СЗИ.
  • Организационной обеспечение — определенные структурные элементы системы должны быть такие как, служба режима, служба ЗИ, служба допуска охраны, информационно-аналитическая служба и тд.
  • Информационное обеспечение — это данные, сведения, показатели которые лежат в основе решения задач.
  • Математическое обеспечение — реализация математических средств для расчета разных оценок опасности.
  • Программное обеспечение — наличие разных расчетных и статистических программ, которые реализуют оценки наличия каналов и их риски.
  • Нормативно-методическое обеспечение — относится к наличии средств и органов деятельности которые поддерживают деятельность сотрудников в жестких рамках требований защиты информации.

Концептуальная модель информационной безопасности

Практика показывает, что для осмотра значительного списка источников, действий и объектов лучше использовать методы моделирования, которые моделируют реальную ситуацию. Модель должна быть общей что бы описывать реальные действия с учетом их особенностей. Концептуальные модели могут быть:

  • Угрозы
  • Объекты угроз
  • Цели угроз злоумышленников
  • Источники угроз
  • Источники информации
  • Методы НСД
  • Способы/средства защиты
  • Направление защиты

Концептуальная модель безопасности информации показана на рис.2.

онцептуальная модель безопасности информации

Рисунок — 2

Смотрите также: