Дипломная работа: Разработка эффективных систем защиты информации в автоматизированных системах
Только сертифицированные средства
защиты информации
Выполнение требований
нормативной базы
1.3 Порядок создания комплексной системы защиты информации
Создание КСЗИ в ИТС осуществляется в соответствии с нормативным документом системы технической защиты информации [10] на основании технического задания (далее - ТЗ), разработанного согласно требованиям нормативного документа системы технической защиты информации [5]. Кроме того, при проектировании КСЗИ можно руководствоваться стандартом [11].
В состав КСЗИ входят мероприятия и средства, которые реализуют способы, методы, механизмы защиты информации от:
- утечки техническими каналами, к которым относятся каналы побочных электромагнитных излучений и наводок, акустоэлектрических и других каналов;
- несанкционированных действий и несанкционированного доступа к информации, которые могут осуществляться путем подключения к аппаратуре и линиям связи, маскировки под зарегистрированного пользователя, преодоление мероприятий защиты с целью использования информации или навязывания ошибочной информации, применение закладных устройств или программ, использование компьютерных вирусов и т.п.;
- специального влияния на информацию, которое может осуществляться путем формирования полей и сигналов с целью нарушения целостности информации или разрушения системы защиты.
Для каждой конкретной ИТС состав, структура и требования к КСЗИ определяются свойствами обрабатываемой информации, классом АС и условиями ее эксплуатации.
В общем случае, последовательность и содержание научно-исследовательской разработки КСЗИ можно предварительно разделить на 4 этапа (рис 1.1).
Несмотря на простоту структуры разработки КСЗИ, большинство организаций придерживается именно этого алгоритма. Однако данный алгоритм – это лишь основа проектирования. Каждый представленный этап отражает множество уровней в ходе проектирования, в зависимости от структуры АС требования, предъявляемых к ее системе защиты. Рассмотрим эти этапы подробнее.
1.3.1 Анализ структуры автоматизированной информационной системы
Данная стадия разработки включает в себя следующие работы:
- проведение предпроектного обследования;
- разработка аналитического обоснования по созданию КСЗИ;
- разработка технического задания на создание КСЗИ.
В ходе данного этапа проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.
Существует несколько видов обследования [15]:
- предпроектное диагностическое обследование, которое выполняется при модернизации или построении СЗИ;
- аудит СЗИ на соответствие требованиям внутрикорпоративным стандартам или международным/национальным стандартам. Примером может служить сертификационный аудит системы управления ИБ по ISO 27001;
- специальные виды обследования, например, при расследовании компьютерных инцидентов.
Мировой опыт создания систем защиты для различного рода объектов позволяет выделить три основных элемента, присутствующих практически на любом объекте и требующих обеспечения их безопасности [16]:
- люди - персонал и посетители объекта;
- материальные ценности, имущество и оборудование;
- критичная информация - информация с различными грифами секретности.
Каждый из выделенных элементов имеет свои особенности, которые необходимо учесть при определении возможных угроз. По результатам анализа возможных угроз безопасности АС формируются требования к защите. Полная защита АС формируется из частных требований защиты элементов путем объединения функционально однородных требований по обеспечению защиты.
По результатам данного этапа определяются и формируются требования к защите. Полная защита АС формируется из частных требований защиты элементов путем объединения функционально однородных данных по обеспечению защиты. К таким данным относится защищаемая информация на основе документально оформленных перечней защищаемых сведений, угрозы безопасности информации и модель вероятного нарушителя, состав используемых технических средств и связи между ними, состав разработанной организационно-распорядительной документации, класс защищенности АС в защищенном исполнении. Принимаются решения, касающиеся состава технических средств и систем, предполагаемых к использованию в разрабатываемой системе, и мероприятий по обеспечению конфиденциальности информации на этапе проектирования системы.