Вадим Гребенніков

Комплексні системи захисту інформації. Проектування, впровадження, супровід


Скачать книгу

вносяться відповідні зміни до складу заходів і засобів захисту, після чого всі процедури виконуються повторно до одержання прийнятного результату.

      На підставі визначених завдань і функцій ІТС, результатів аналізу її середовищ функціонування, моделей загроз і порушників та результатів аналізу ризиків визначаються компоненти ІТС (наприклад, ЛОМ, спеціалізований АРМ, Інтернет-вузол тощо), для яких необхідно або доцільно розробляти свої власні політики безпеки, відмінні від загальної політики безпеки в ІТС.

      Визначаються загальна структура та склад КСЗІ, вимоги до можливих заходів, методів та засобів захисту інформації, обмеження щодо середовищ функціонування ІТС та використання її ресурсів для реалізації завдань захисту, припустимі витрати на створення КСЗІ, умови створення, введення в дію і функціонування КСЗІ (окремих її підсистем, компонентів), загальні вимоги до застосування в ІТС (окремих її підсистемах, компонентах) організаційних, технічних, криптографічних та інших заходів захисту інформації, що ввійдуть до складу КСЗІ.

      Для ІТС формується перелік необхідних функціональних послуг захисту (далі – ФПЗ) від НСД та вимог до рівнів реалізації кожної з них, визначається рівень гарантій реалізації послуг. Визначені вимоги складають профіль захищеності інформації в ІТС або її компоненті.

      ФПЗ є ієрархічними в тому розумінні, що їх реалізація забезпечує зростаючу захищеність від загроз відповідного типу (конфіденційності – К, цілісності – Ц і доступності – Д). Зростання ступеня захищеності може досягатись як підсиленням певних послуг, тобто включенням до профілю більш високого рівня послуги, так і включенням до профілю нових послуг.

      Кожна послуга є набором функцій, які дозволяють протистояти певній множині загроз. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, хоча й не є точними підмножинами один одного. Рівні починаються з першого й зростають до певного значення, унікального для кожного виду послуг.

      4. Оформлення звіту за результатами проведеної роботи

      Останній етап формування завдання на створення КСЗІ завершується оформленням «Звіту за результатами проведення аналізу ризиків та формування завдань на створення КСЗІ», який затверджується керівником організації-власника (розпорядника) ІТС.

      Звіт повинен містити 2 розділи:

      – формалізований або неформалізований опис результатів аналізу ризиків, пов’язаних з реалізацією загроз для інформації в ІТС;

      – формулювання, з урахуванням результатів виконаного аналізу ризиків, завдань на створення КСЗІ в ІТС.

      7. Основні вимоги до розробки комплексу засобів захисту

      КЗЗ повинен відповідати вимогам НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту інформації в КС від НСД», тобто забезпечити:

      – безперервний захист;

      – «модульність» КЗЗ;

      – атрибути