Вадим Гребенніков

Комплексні системи захисту інформації. Проектування, впровадження, супровід


Скачать книгу

та ІТС (див. таблиці).

      Зробимо розрахунок загроз з урахуванням 3-х рівнів ризиків і збитків: якщо реалізація загрози надає великих збитків – високий – 3 бали; помірних збитків – середній – 2 бали; незначних збитків – низький – 1 бал. Отримаємо «Модель загроз з визначенням рівня ризиків і збитків» у вигляді 4-х таблиць (загрози конфіденційності, цілісності, доступності та спостереженості).

      6. Формування завдання та варіанту побудови КСЗІ

      Останні кроки 1-го етапу «Формування вимог до КСЗІ в ІТС» складаються з таких робіт:

      1. Формування завдання на створення КСЗІ в ІТС.

      2. Аналіз ризиків реалізації загроз для інформації в ІТС.

      3. Вибір варіанту побудови та складу КСЗІ в ІТС.

      4. Оформлення звіту за результатами проведеної роботи.

      1. Формування завдання на створення КСЗІ

      Під час цього кроку визначаються завдання захисту інформації та відповідні ним напрями забезпечення її захисту, в результаті чого визначається конкретний варіант забезпечення безпеки інформації.

      Завданнями захисту інформації можуть бути:

      – забезпечення необхідних властивостей інформації (конфіденційності, цілісності, доступності) під час створення та експлуатації ІТС;

      – своєчасне виявлення та ліквідація загроз для ресурсів ІТС, причин та умов, які спричиняють (можуть привести до) порушення її функціонування та розвитку;

      – створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні ІТС;

      – ефективне попередження загроз для ресурсів ІТС шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;

      – керування засобами захисту інформації, керування доступом користувачів до ресурсів ІТС, контроль за їхньою роботою з боку персоналу СЗІ, оперативне сповіщення про спроби НСД до ресурсів ІТС;

      – реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації;

      – створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками, зменшення негативного впливу наслідків порушення безпеки на функціонування ІТС.

      Концепція безпеки інформації розкриває основні напрями забезпечення безпеки інформації та розробляється на підставі аналізу таких чинників:

      – правових засад;

      – вимог безпеки інформації;

      – загроз для інформації.

      За результатами аналізу формулюються загальні положення безпеки, які впливають на технологію обробки