Создание системы обеспечения информационной безопасности наиболее целесообразно рассматривать одновременно с созданием ИТКС.

Ключевые системы информационной инфраструктуры.

Система обеспечения информационной безопасности

Как видно из вышесказанного, для нейтрализации угроз информационной безопасности ИТКС необходимо в первую очередь ликвидировать существующие уязвимости в системе и предотвратить появление новых.

Выполнение данной задачи решается созданием системы обеспечения информационной безопасности, которая представляет собой механизм по реализации приемов и способов по защите информации в ИТКС путем скоординированной деятельности элементов этой системы.

Создание системы предполагает комплексный поэтапный подход к ее построению. Такой подход предусматривает создание защищенной среды для информации и технологий, объединяющей разнородные меры противодействия угрозам: правовые, организационные, программно-технические, проводимые во время всех без исключения этапов создания и работы системы. Указанные меры, объединенные наиболее рациональным способом в единый целостный механизм позволяют гарантировать в рамках реализуемой политики безопасности определенный уровень защищенности ИТКС. Необходимость комплексного подхода для создания эффективной защиты обуславливается еще и тем, что не существует универсального способа защиты от какого-либо вида угроз. Причем наиболее эффективной защитой будет служить многоуровневая система интегрированных технологий, которая позволяет реагировать заблаговременно, а не постфактум.

При этом рекомендуется различать следующие стадии:

а) предпроектная стадия, включающая предпроектное обследование создаваемой ИТКС, разработку аналитического обоснования необходимости создания системы защиты и технического (частного технического) задания на ее создание;

б) стадия проектирования (разработки проектов), включающая разработку средств защиты в составе ИТКС;

в) стадия ввода в эксплуатацию системы обеспечения информационной безопасности, включающая ее опытную эксплуатацию и приемо-сдаточные испытания, а также аттестацию на соответствие требованиям безопасности информации.

На самой первой, предпроектной стадии, выполняются в основном организационные мероприятия, а именно:

а) производится классификации информации с точки зрения требований безопасности;

б) определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта, производится оценка рисков;

в) определяются конфигурация и топология ИТКС в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри системы, так и вне ее;

г) определяются технические средства и системы, предполагаемые к использованию в разрабатываемой системе, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

д) привлекаются специалисты для проведения работ по проектированию и наладке системы

е) определяются режимы обработки информации на ИТКС в целом, в разрабатываемой системе и ее отдельных компонентах;

ж) производится категорирование системы;

з) определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

и) определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования системы.

В результате проведения данных мероприятий можно не только выявить и проанализировать возможные пути реализации угроз безопасности, но и оценить вероятность и ущерб от их реализации, а также провести силами специалистов оценку материальных, трудовых и финансовых затрат на разработку и внедрение средств защиты, ориентировочные сроки разработки и внедрения средств защиты.

Следующая стадия – проектирования и разработки средств защиты в составе ИТКС.

На этом этапе осуществляются такие мероприятия, как:

а) строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

б) разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

в) закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;

г) закупка сертифицированных технических, программных и программно-технических средств защиты и их установка;

д) обеспечение участия специалистов в работе по проектированию системы, при необходимости – их обучение;

е) разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации средств защиты в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

ж) организация охраны и физической защиты объекта;

з) разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой информации;

и) определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств защиты, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации системы;

к) разработка эксплуатационной документации на средства защиты, а также организационно-распорядительной документации по информационной безопасности (приказов, инструкций и других документов);

л) выполнение инсталляции прикладных программ в комплексе с программными средствами защиты информации;

м) выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

На данном этапе большое значение будет иметь разработка организационно-распорядительных документов, дающих необходимую правовую базу формируемым службам безопасности и подразделениям по защите информации для проведения всего спектра защитных мероприятий, взаимодействия с внешними организациями, привлечения к ответственности нарушителей и т. п. К числу таких документов можно отнести Концепцию информационной безопасности, руководство по защите информации, должностные инструкции, положение о категорировании ресурсов ИТКС, разделы в положениях об отделах и подразделениях, затрагивающие вопросы информационной безопасности и пр.

На стадии ввода в эксплуатацию системы необходимо предусмотреть выполнение следующих мероприятий:

а) опытную эксплуатацию средств защиты в комплексе с другими техническими и программными средствами системы в целях проверки их работоспособности в составе ИТКС и отработки технологического процесса обработки (передачи) информации;

б) приемо-сдаточные испытания системы обеспечения информационной безопасности;

в) подбор кадров, расстановку, обучение и переподготовку имеющегося персонала;

г) аттестацию системы по требованиям безопасности информации.

На данном этапе дается общая оценка проведенным работам, а также определяются необходимость проведения дополнительных работ по совершенствованию системы в случае обнаружения возможных неполадок и недоработок. Только после всего этого выполнения проводится аттестация системы. Одновременно с этими работами проводится подбор, распределение специалистов, уточнение должностных обязанностей. При необходимости осуществляется повышение квалификации и обучение сотрудников.