Системный подход к безопасности автоматизированных информационных систем

       При разработке политики безопасности, в  первую очередь, определяется способ управления доступом, порядок доступа субъектов  системы к объектам.

       Важным  моментом является разработка механизмов обнаружения попыток несанкционированного доступа к защищаемым ресурсам, которые  могут базироваться на экспертных системах и включать регистрацию, распознавание  и обработку событий, связанных  с доступом к информации, а также  проверку в реальном масштабе времени  соответствия всех условий доступа, принятых в концепции СИБ и  защиты данных.

       Рекомендательный  этап (Установка и настройка средств защиты).

         Выполняется комплекс работ, связанный  с размещением элементов СИБ  в узлах АИС, анализом полученных  результатов. Основные внимание  уделяется тестированию СИБ с  использованием комплекса многофункциональных  тестов, обеспечивающих предотвращение проникновения программных злоупотреблений, а также снижения потенциальной опасности потери ресурсов.

       Разрабатывается комплекс методических и инструктивных  материалов, описывающих реализацию СИБ, содержащий следующие разделы:

       - ПОЛИТИКА - описание конечных целей  защиты и подготовки персонала,  а также мер, направленных на  достижение целей защиты и  обеспечивающих адекватную защиту (требования к защите и ее  стоимость должны соответствовать  ценности обрабатываемой информации);

       - ТЕКУЩЕЕ СОСТОЯНИЕ - описание  статуса объектов, субъектов и  механизмов защиты в момент  составления плана; 

       - РЕКОМЕНДАЦИИ - описание основных  шагов для достижения целей  защиты, обеспечивающих достижение  целей политики безопасности, способов  и механизмов ее реализации  в конкретной системе; 

       - ОТВЕТСТВЕННОСТЬ - список лиц,  ответственных за функционирование средств защиты, а также зон ответственности;

       - РАСПИСАНИЕ - описание порядка работы  механизмов СИБ, включая меры  контроля.

       - ПЕРЕСМОТР - описание положений  плана, которые периодически подвергаются  пересмотру, а также содержание  конкретных организационно-технических  мероприятий. 

       Ввод  СИБ в эксплуатацию. Этап внедрения включает работы по обучению персонала, дальнейшее развитие и поддержку составных частей системы информационной безопасности, а также регулярное тестирование.

       В рамках заключительного этапа реализуется  комплекс работ по обучению персонала, внедрению механизмов защиты и их тестированию на основе информации о  новых угрозах и каналах утечки информации, модификации информационных и коммуникационных технологий.

       Рассмотренная схема построения СИБ, содержание приведенных этапов, по нашему мнению, может явиться достаточной основой для развертыванию работ по организации проектирования систем безопасности конкретных информационных систем. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

       Общая схема построения системы информационной безопасности