Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Принцип разумной полноты подразумевается финансовая рациональность и соотносимость вероятного вреда и расходов. Он предполагает соответствие уровня затрат на используемые меры и средств управления и контроля механизмов защиты информации, обеспечивающих информационную безопасность, ценности защищаемых активов и величине вероятного вреда от их разглашения, потери, утечки, ликвидирования и порчи. При реализации данного концептуального принципа следует учитывать, что используемые меры и средства реализации данного метода не должны заметно ухудшать основные характеристики системы защиты информации.

Принцип персональной ответственности подразумевает возложение индивидуальной ответственности за управление и контроль средствами защиты информации, которые входят в структуру системы защиты информации, для каждого сотрудника в пределах его полномочий. В соответствии с данным принципом разделение прав и обязательств работников создаётся таким образом, для того чтобы в случае каждого нарушения область виновников была конкретно известна либо сведен к минимальному количеству. В процессе реализации данного концептуального принципа необходимо учитывать, что процессы разграничения прав доступа к информации и средствам защиты информации являются одной из основ метода управления информационной безопасностью.

Принцип минимизации возможностей подразумевает обеспечение пользователям и обслуживающему персоналу, при реализации метода, наименьших прав доступа в соответствии с производственной надобностью. При реализации данного концептуального принципа следует предоставлять доступ к механизмам управления информационной безопасностью и информации, обрабатываемой внутри, только в том случае если это необходимо сотруднику для выполнения его должностных обязанностей.

Принцип научной аргументированности и технической исполнимости подразумевает, что информационные технологии, технические и программные ресурсы, средства и мероприятия управления и контролирования способа управления информационной безопасностью должны выполняться на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения определённого уровня безопасности информации и должны соответствовать определённым общепризнанным меркам и условиям в сфере информационной безопасности, используемым в компании.

Принцип обязательного контролирования предполагает необходимость и своевременность выявления и пресечения попыток нарушения установленных регламентов деятельности. Контроль за деятельностью пользователей и обслуживающего персонала системы управления информационной безопасностью, а также системы защиты информации и касательно каждого предмета защиты обязан производиться на базе использования средств своевременного контролирования и регистрации и обязан включать как неразрешённые, так и разрешённые операции пользователей и обслуживающего персонала. При реализации данного концептуального принципа следует обратить особое внимание, что полные механизмы процессов аудита в данный принцип не входят, а затрагивают лишь его составные части.

2.2 Классификации процессов управления информационной безопасностью

Недостаток общепризнанной классификации процессов управления информационной безопасностью и их элементов считается одной из проблем при построении системы управления информационной безопасностью в компании. Отсутствие данной классификации пагубно сказывается на возможности определения и контроля связей между процессами, а также определении их основной роли в рамках разрабатываемых систем управления. При проведении анализа нормативно-правовой базы, были выявлены основные классификационные признаки процессных составляющих управления информационной безопасностью, описывающие характер их реализации в рамках системы защиты информации организации посредством следующего формального правила: A =: <Q, W, E, A, R, T> и состоящего из следующих классификационных признаков:

1. по функциональной принадлежности(Q):

1. формирование требований;

2. систематизация информации;

3. актуализация информации;

4. аналитическая обработка информации;

5. принятие управленческих решений;

1. по характеру обработки информации(W):

1. с использованием средств автоматизации;

2. без использования средств автоматизации;

1. по характеру получаемой информации (E):

1. исходная информация;

2. информация для дальнейшей обработки;

3. итоговая информация;

1. по связи со средствами защиты (A):

1. антивирусная защита;

2. парольная защита;

3. криптографическая защита;

4. межсетевое экранирование;

5. инженерные сооружения;

6. защита от несанкционированного доступа;

7. системы мониторинга событий;

8. системы контроля доступа;

9. системы аутентификации;

10. средства анализа информации;

1. по связи с реальным временем (R):

1. динамическое изменение данных;

2. периодическое изменение данных;

3. статическое накопление данных;

1. по приоритету выполнения (T):

1. высокий;

2. средний;

3. низкий.

Эта классификация имеет огромное значение при построении моделей взаимодействия и управления информацией, как среди абсолютно всех процессов, так и для определённого процесса в отдельности.

2.3 Формирование подхода к построению систем защиты информации

В соответствии с функционирующими положениями [19] под системой защиты информации подразумевается совокупность органов и исполнителей, используемой ими техники защиты информации, а кроме того объектов защиты информации, сформированная и функционирующая согласно законам и нормам, определенным соответственными документами в сфере зашиты информации. При этом, в общем случае под объектом защиты следует понимать совокупность информации, носителей её содержащих, а также персонала и средств вычислительной техники, обеспечивающих и осуществляющих её обработку. Такой подход является типовым в соответствии с положениями действующих нормативно-правовых документов Российской Федерации, он учитывает требования, предъявляемые к информационной безопасности и защите информации, конкретизирует сферу действия самой системы защиты информации и устанавливает первостепенность персонала и технических средств защиты. Исходя из определения системы защиты информации следует, что правила и нормы организации и функционирования самой системы установлены соответствующими документами в области защиты информации, однако, как показал анализ внутренней нормативно-правовой документации Российской Федерации в области информационной безопасности, данная формулировка является весьма поверхностной и сомнительной. Рассмотрим типовой подход к построению системы защиты информации в организации, согласно определению и общему пониманию, такая система будет состоять из: технических средств защиты информации; объекта защиты; органов и исполнителей (персонала, ответственный за обеспечение информационной безопасности); организационных мер защиты информации [24]. В зависимости от состава обрабатываемой информации (входящей в объект защиты), требования нормативно-правовых документов, как внутренних для организации, так и внешних будут устанавливать определенные правила взаимодействия персонала, технических средств, организационных мер и объектов защиты.

При использовании типового похода в составе системы защиты информации никак не учтена общая система управления организационными мерами и техническими средствами защиты, которая бы позволяла осуществлять стратегическое, тактическое и оперативное управления информационной безопасностью, в том числе персонал, существующие ресурсы защиты, а кроме того организационные мероприятия по обеспечению информационной безопасностью в компании. Таким образом, типовой поход к построению системы защиты информации можно представить в схематичном виде, изображенном на рисунке 2.1.

Подобное состояние дел негативно воздействует не только лишь на результативность в отдельности взятых используемых организационных мер и технических средств защиты, но и на общий коэффициент производительности целой системы защиты информации в целом, а кроме того не дозволяет работникам компании иметь уверенность в оперативности и необходимости использования этих либо других мер защиты, что по сути своей на конкретной стадии работы может быть воспринято ровно как знак о способности посредственного отношения к исполняемым операциям. Данный недостаток характерен для всех организаций, однако наиболее пагубное влияние оказывает на крупные и средние организации, обеспечение информационной безопасности в которых является одной из неотъемлемым составляющих их основного вида деятельности. Данный недостаток схематично изображен на рисунке 2.2.

Рисунок 2.1 – Типовой подход к построению системы защиты информации

Кроме того, при типовом подходе, в составе системы защиты информации никак не учтены механизмы помощи и предоставления обратной связи, включающей данные о составе, численных, высококачественных свойствах организационных мер и технических средств защиты, также, как и средств и методов оценки точности их функционирования и использования.

С учетом итогов анализа нормативно-правовой документации в сфере защиты информации, а также новейших тенденций в изменении законодательной и нормативной основы Российской Федерации, указание на этот недочёт и потребность его ликвидации косвенно отображены в приказах ФСТЭК России [40,41]. Однако данные документы лишь устанавливают требования по наличию в системе процессов и механизмов для регистрации событий информационной безопасности, выявления и реагирования на инциденты информационной безопасности, при этом единый систематизированный подход к обеспечению данных процессов отсутствует. Данный недостаток схематично изображен на рисунке 2.3.

Рисунок 2.2 – Недостаток отсутствия единой подсистемы управления информационной безопасностью, при типовом подходе к реализации системы защиты информации

Последующим значимым минусом типового подхода считается почти абсолютный недостаток средств автоматизации работы персонала по проблемам использования и поддержания организационных мер защиты. В процессе проведения диссертационного исследования и анализа требований международной и российской нормативно-правовой документации в области информационной безопасности было установлено, что организационные меры защиты информации составляют порядка 80% от общего количества реализуемых мер в системе защиты информации, при этом на их реализацию отводиться всего лишь порядка 20% общих ресурсов организации, включая людские, финансовые и временные, в то время как техническими средствами защиты перекрывают лишь 20% общих требований и реализуемых мер системы защиты информации.

Рисунок 2.3 – Недостаток отсутствия обратной связи, при типовом подходе к реализации системы защиты информации

Эта статистика демонстрирует, то что невзирая на первостепенность принятия организационных мер защиты и недостаток производительности использования средств защиты в отсутствии соответствующей организационной подготовки, к организационным проблемам по обеспечению и управлению информационной безопасностью относятся не всерьёз. Данный недостаток схематично изображен на рисунке 2.4.

Рисунок 2.4 – Недостаток отсутствия применения автоматизации организационных мер, при реализации типового подхода к построению системы защиты информации

Заключительным минусом, который сопутствует стандартному подходу к построению системы защиты информации, считается недостаток аналитической составляющей процессов формирования и обеспечения системы защиты информации. Следствием этого является отсутствие развития подходов и аналитических выкладок по совершенствованию систем защиты информации, построение которой сводиться к выполнению требований по устранению известных на настоящий момент каналов утечки информации, перекрытию и устранению базовых уязвимостей и угроз информационной безопасности, при этом такой подход является полностью неэффективным в плане противодействия новым нестандартным действиям вероятных нарушителей. Зачастую работы по совершенствованию систем защиты информации, проводимые в организации, проводятся даже без учета текущего состояния защищенности объектов защиты, а также эффективности применяемых методов и способов защиты в конкретных условиях функционирования, как самих объектов защиты, так и защитных механизмов, что в конечном итоге приводит к нерациональному планированию и расходованию бюджета, выделяемого на обеспечение информационной безопасности. При типовом подходе основное назначение персонала, ответственного за обеспечение информационной безопасности, заключающееся в противодействии всем возможным угрозам, сводиться к обслуживанию технических средств защиты и лоскутной реализации организационных мер. Данный недостаток схематично изображен на рисунке 2.5.

Характеристики

Список файлов ВКР