рекламодателям фирмы/add расшифровка штрих-кодов links/add
http://kiev-security.org.ua
Содержание
110. Содержание и последовательность работ по созданию системы защиты информации. организация работ по защите информации в системах электронной обработки данных
3. Содержание и последовательность работ по созданию системы ЗИ.
Анализ данных печати показывает, в ведущих зарубежных странах уже
сложилась достаточно стройная система защиты информации в СОД, ее
структура может быть представлена так, как показано на рис. 1.
зддддддддддддддддддддддддддд© Ё Промышленность средств ЗИ Ё
юддд�ддддддддддддддддддддбдды Ё � Ё зддддддддддддддддддд©
здддддддддддд�ддддд© Ёзддддддддддддддддд©Ё зддаддддддддддддддд©
Ё�ддддд�ЁЁСлужбы безопасносЁЁ здаддддддддддддддд© Ё Ё ЁЁти
информации ЁЁ ЁФирмы-посредники Ё цдды ЁюдддддддддддддддддыЁ Ёв
области ЗИ цдды юддддддддддддддддддды юдд�дддддддддддддды Ё Ё �
здддддддддддддддддбддддддддддддддддддддддддддддд ЁСоздание
механиз-ЁПоддержания функционирования Ёмов ЗИ Ёмеханизмов защиты
информации цдддддддддддддддддеддддддддддддддддддддддддддддддд�
ЁСоздание СОД Ёфункционирование СОД t
юдддддддддддддддддадддддддддддддддддддддддддддддд Рис. 1. Система
обеспечения безопасности информации. Работы по созданию систем
защиты информации, как и любых других сложных систем, выполняются
в три этапа: этап подготовительных работ, этап основных работ и
этап заключительных работ. Назначение и общее содержание
названных этапов является общепринятым: на предварительном этапе
изучаются и оцениваются все факторы, влияющие на защиту
информации, принимается принципиальное решение о необходимом
уровне защиты и осуществляется проектирование системы защиты; на
этапе основных работ проектные решения реализуются в СОД, а на
этапе заключительных работ производится оценка системы защиты,
причем как по критериям эффективности, так и по
технико-экономическим показателям. Общее содержание и
последовательность работ, выполняемых в процессе создания систем
защиты информации, представлено в табл.2 /12/. В таблице приняты
следующие обозначения: СЗ - система защиты; ВР-высшее руководство
(руководители того ранга, который уполномочен принимать решения
на разработку СЗ); ПР-принятие решений; РР- руководитель
разработки всей СЗ; П-планирование; ИО-инспекционный отдел
(подразделение, уполномоченное производить инспекционный контроль
проводимых проводимых работ); ОП - отдел подготовки персонала;
Р-реализация; К-контроль; ОЗ - отдел защиты (подразделение,
непосредственно отвечающее за защиту информации в СОД); ГУ -
группа управления )подразделение, осуществляющее руководство
всеми разработками); РП - руководитель проекта СЗ. Таблица 2.
дддддддддддддддддддддддддддддддддддддддбддддддддддддддддбдддддддд
Содержание работы (события) ЁОтветственный + Ё Тип Ё+ исполнитель
Ё работы
дддддддддддддддддддддддддддддддддддддддеддддддддддддддддедддддддд
А. Предварительный этап Ё Ё Ё Ё 1.Принятие решения о
предварительном исЁ ВР Ё ПР следовании проблем, связанных с
созданиЁ Ё ем СЗ Ё Ё 2.Определение основных обязанностей РР Ё " Ё
П 3.Назначение РР Ё " Ё ПР 4.Определение основных направлений
раз-Ё РР Ё П работки СЗ Ё Ё 5.Подготовка РР и персонала ИО по
теореЁ ВР+ОП Ё Р тическим и практическим вопросам в об- Ё Ё ласти
защиты информации Ё Ё 6.Информация подразделений организации Ё
РР+ОП Ё " о целях СЗ и о начале работ Ё Ё 7.Определение целей
проекта и объектов Ё РР+отделы- Ё " защиты (ЭВМ, базы данных и
т.п.) Ё исполнители Ё 8.Определение внешних и внутренних тре-Ё
РР+ВР+ИО Ё " бований к СЗ. Определение политики оргаЁ Ё низации в
вопросах защиты. Ё Ё 9.Исследование и составление документовЁ РР
Ё " по организации защиты внутри организа- Ё Ё ции. Ё Ё
10.Исследование и составление докумен- Ё РР+ОЗ Ё " тов о
реализуемых мерах защиты. Ё Ё 11.Определение, какие гарантии
(страхо-Ё РР+ИО Ё " вание) существуют и какие нужны Ё Ё
12.Изучение аварийных мер и планов вос-Ё РР Ё Р становления
внутри организации Ё Ё 13.Дополнительная подготовка РР (путем Ё
РР+ОП Ё " визитов, курсов, семинаров и т.п.) Ё Ё 14.Определение,
какие информационные Ё РР Ё " системы разрабатываются или
планируютсяЁ Ё 15.Выработка основных предложений для Ё " Ё "
общей системы защиты, включая информа- Ё Ё цию и подготовку
персонала. Ё Ё 16.Определение и описание областей защиЁ РР Ё Р ты
Ё Ё 17.Определение основных направлений разЁ РР+ИО Ё П работки
СЗ. Оценка необходимых капиталоЁ Ё вложений. Ё Ё 18.Проверка
выработанных предложений в Ё То же Ё К ИО Ё Ё 19.Выработка общих
предложений по поли-Ё ВР+РР Ё Р тике в области СЗ. Ё Ё 20.
Выработка общих предложений по соз-Ё РР+ОЗ Ё " данию руководств и
справочников по СЗ Ё Ё 21.Информация ВР о состоянии СЗ, о намеЁ
РР Ё " чаемых планах продолжения работы, о на-Ё Ё мечаемых целях
Ё Ё 22.Принятия решения, будет ли продол- Ё ВР Ё ПР жаться работа
по созданию СЗ. Назначе- Ё Ё ние руководителя и набор персонала
ОП. Ё Ё Ё Ё Б. Этап основных разработок Ё Ё 1.Создание плана
разработки СЗ Ё РР Ё П 2.Создание ГУ разработкой Ё " Ё Р
3.Определение основных направлений раз-Ё ГУ Ё П работки СЗ.
Назначение РП и подбор пер-Ё Ё сонала Ё Ё 4.Подготовка РП и
персонала по вопросамЁ РР+ОП Ё Р теории и практики СЗ Ё Ё
5.Информация всех заинтересованных под-Ё ГУ+РП Ё " разделений о
начале разработки СЗ Ё Ё 6.Изучение требований к подготовке всехЁ
РП+ОП Ё П сотрудников, которые будут связаны с СЗЁ Ё 7.Разработка
плана работ и грубая оцен-Ё РП+ИО Ё " ка их стоимости Ё Ё
8.Представление результатов в ГУ Ё РП Ё Р 9.Принятие решения о
продолжении работ,Ё ГУ Ё ПР оценки материальных возможностей
органиЁ Ё зации Ё Ё 10.Составление плана подготовки и рас- Ё РП Ё
П простанение информации о нем в подраздеЁ Ё лениях Ё Ё
11.Пересмотр плана действий с учетом реЁ " Ё К шения о
продолжении работ Ё Ё 12.Определение, оценка характеристик и Ё
ПР+ОЗ+ИО Ё Р описание информационных сетей Ё Ё 13.Определение
наиболее важных задач, Ё То же Ё " выполняемых информационными
сетями Ё Ё 14.Изучение возможных угроз Ё " Ё " 15.Описание
областей, не охваченных ис-Ё РП Ё " следованием Ё Ё
16.Представление результатов в ГУ Ё " Ё " 17.Принятие решения о
продолжении работЁ ГУ Ё ПР 18.Пересмотр плана действий и плана
подЁ РП+ОП Ё Р готовки персонала Ё Ё 19.Расчет возможных потерь Ё
РП+ИО Ё Р 20.Представление результатов в ГУ Ё РП Ё " (в том числе
и оценка затрат) Ё РП Ё " 21.Принятие решения о продолжении
работЁ ГУ Ё ПР 22.Проверка, соблюдаются ли все требоваЁ РП+ИО Ё К
ния законов в области защиты Ё Ё 23.Разработка мер против
непредумышлен-Ё РП+ОЗ Ё Р ных нарушений и угроз Ё Ё 24.Проверка,
не нужно ли изменить или Ё РП+ИО Ё " дополнить идентификацию,
оценку и клас-Ё Ё сификацию информационных сетей для отраЁ Ё
жения предумышленных угроз Ё Ё 25.Проверка,не нужно ли изменить
списокЁ РП+ИО Ё " и оценку наиболее важных задач Ё Ё
26.Проведение анализа внешних угроз Ё РП+ИО+ОЗ Ё "
27.Идентификация и описание любых обласЁ РП Ё " тей, неохваченных
исследованием Ё Ё 28.Распределение приоритетов между пробЁ РП+ИО
Ё " лемами Ё Ё 29.Представление результатов в ГУ Ё РП Ё "
30.Принятие решения о продолжении работЁ ГУ Ё ПР 31.Пересмотр
плана работ и плана подго-Ё РП+ОП Ё К товки Ё Ё 32.Проверка,
соблюдаются ли все требоваЁ РП+ИО Ё " ния законов в области
защиты Ё Ё 33.Разработка мероприятий по отражению Ё РП+ОЗ Ё Р
преднамеренных угроз Ё Ё 34.Составление списка разработанных ме-Ё
РП Ё " роприятий Ё Ё 35.Оценка необходимых ресурсов и затратЁ РП
Ё П на создание СЗ Ё Ё 36.Проведение проверки совмество с ИО Ё
РП+ИО Ё К 37.Представление результатов в ГУ Ё " Ё Р
38.Определение направления и целей дальЁ ГУ Ё П нейшей работы Ё Ё
39.Сбор предложений о свойствах СЗ ЁГУ+все подразделЁ " 40.Сбор
предложений о распределении перЁ Начальники Ё " сональной
ответственности Ёподразделений Ё 41.Представление проекта и
предложений Ё ГУ Ё Р по проведению организационных мероприя-Ё Ё
тий ВР Ё Ё 42.Принятие решения о продолжении работЁ ВР Ё ПР и о
распределении ответственности Ё Ё 43.Распространение информации о
предло-Ё РП+ОП Ё Р женных мероприятиях по защите по всем Ё Ё
подразделениям организации Ё Ё 44.Распределение персональной
ответст- Ё Начальники Ё венности Ёподразделений Ё 45.Пересмотр
плана работ и плана подго-Ё РП Ё К товки Ё Ё 46.Составление
планов проверки СЗ Ё ИО Ё П 47.Разработка и испытания
разработанныхЁпо назначению Ё " мероприятий Ё Ё 48.Проведение
подготовки всего персона-Ё РР Ё Р ла, связанного с работой СЗ Ё Ё
49.Реализация мероприятий по защите Ёпо назначению Ё "
50.Проверка правильности функционирова-Ё РП+ИО Ё К ния
реализованных мероприятий по защитеЁ Ё 51.Проверка, все ли
поставленные задачиЁ ИО+РП Ё " решены. Проведение расчета
финансовых Ё Ё затрат Ё Ё 52.Описание опыта эксплуатации СЗ Ё РП
Ё " 53.Представление окончательных резуль- Ё " Ё Р татов в ГУ Ё Ё
54.Составление плана работ по заверше- Ё ГУ Ё П нию реализации СЗ
и представление пред-Ё Ё ложений по продолжению разработки меропЁ
Ё риятий по усовершенствованию СЗ Ё Ё 55.Представление
результатов по усовер-Ё " Ё Р шенствованию СЗ Ё Ё 56.Принятие
решения о прекращении работЁ ВР Ё ПР по ее усовершенствованию Ё Ё
----------------------------------------------------------------Однако,
как показал многолетний зарубежный опыт организации защиты
информации в СОД, каким бы ни был совершенным проект системы
защиты и его первоначальная реализация, в процессе
функционирования СОД неизбежно возникают непосредственные
обстоятельства, обусловливаемые, с одной стороны, действием
факторов, неучтенных (или ненадежно учтенных) на этапе создания
системы защиты, а с другой стороны -изменениями, происходящими в
процессе функционирования СОД. В связи с этим неизбежно возникает
необходимость изменения, совершенствования системы защиты.
Необходимость эта зарубежными специалистами считается настолько
актуальной, что уже к концу прошлого десятилетия сформулировалась
структура циклической и непрерывной технологии организации работ
по защите информации в СОД /21/. Состав и содержание этой
технологии могут быть показаны на рис.2. Как следует из
представленного рисунка, основу технологии составляют следующие
положения: 1) Непрерывный сбор информации о функционировании
механизмов защиты и о проводимых работах. Для этого, естественно,
необходимо осуществлять постоянное наблюдение за защитой
информации. 2) Систематический анализ состояния защищенности
информации. 3) Систематическое уточнение требований к защите
информации. 4) Проведение каждый раз (при необходимости: из-за
неудовлетворительного состояния защищенности или ввиду изменения
требований) всего цикла работ по организации защиты.
зддддддддддддддддддддддддддд© зддд�Ё Анализ секретности данных
цдддд© Ё юддддддддддддддддддддддддддды Ё Ё � �
здддддаддддддддддддд© Ё зддддддддддддддддддд© зддд�Ё10.Проверка и
оцен-Ё Ё Ё2.Анализ уязвимостицдддд© Ё Ёка принятых решений ЗИ Ё Ё
данных Ё Ё Ё юддддддддддддддддбдды Ё юдддбддддддддддддддды �
здддаддддддддддддддд© Ё Ё Ё здддддддддддддддддддд© Ё9.Создание
условий,Ё � Ё � Ё3.Анализ ресурсов, Ё Ёнеобходимых для ЗИ
цд�здддддддддаддддддддд©�дд¦выделенных на защитуЁ
юддд�ддддддддддддддды ЁАНАЛИЗ СОСТОЯНИЯ Ё юддддддддддддддбддддды
здддаддддддддддддддд© ЁУточнение требова- Ё
здддддддддддддд�ддддд© Ё8.Реализация выбранцд�Ё ний Ё�дд¦4.Оценка
возможнос- Ё Ёных мер защиты Ё юддддддддддддддддддды Ётей технич.
защиты Ё юддддддддддддддддддды � � � юддддддддддддддддбддды � Ё Ё
здддддддддддддддддадддд© Ё здддадддддддддддддддддд© Ё Ё
Ё7.Распределение ответ-Ё Ё5.Оценка возможностей Ё�ддды
юддд¦ственности за защиту Ё Ё Ёпрограммной защиты Ё
юдддддддддддддддддддддды юдддддддддддддддддддддды Ё
здддддддддддддддддддддд© Ё6.Оценка возможностей Ё
Ёорганизационной защитыЁ юдддддддддддддддддддддды Рис. 2. Цикл
работ по ЗИ
Содержание
HOME
Если у вас есть сайт или домашняя страничка - поддержите пожайлуста наш ресурс, поставьте себе кнопочку, скопировав этот код:
| <a href="http://kiev-security.org.ua" title="Самый большой объем в сети онлайн инф-ции по безопасности на rus" target="_blank"><img src="http://kiev-security.org.ua/88x31.gif" width="88" height="31" border="0" alt="security,безопасность,библиотека"></a> |
Идея проекта(C)Anton Morozov, Kiev, Ukraine, 1999-2022,