2. Составление плана защиты информации

 

          Планирование включает в себя определение, разработку или выбор:

  • конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
  • требований к системе защиты информации;
  • политики информационной безопасности;
  • средств и способов, функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
  • совокупности мероприятий защиты, проводимых в различные периоды времени;
  • порядка ввода в действие средств защиты;
  • ответственности персонала;
  • порядка пересмотра плана и модернизации системы защиты;
  • совокупности документов, регламентирующих деятельность по защите информации.

wpe5A.jpg (56579 bytes)

          Цели защиты информации были определены ранее.

          Задачи системы защиты объекта могут быть следующими:

  • защита конфиденциальной информации от несанкционированного ознакомления и копирования;
  • защита данных и программ от несанкционированной (случайной или умышленной) модификации;
  • снижение потерь, вызванных разрушением данных и программ, в том числе и в результате вирусных воздействий;
  • предотвращение возможности совершения финансовых преступлений при помощи средств вычислительной техники.

          Для создания эффективной системы защиты, как правило, необходимо выполнение следующих основных требований:

  • комплексность мер защиты, закрытие всего спектра угроз и реализация всех целей стратегии защиты;
  • надежность средств, входящих в систему защиты;
  • бесконфликтная совместная работа с используемым на объекте программным обеспечением;
  • простота эксплуатации и поддержка работы администратора безопасности;
  • возможность встраивания средств защиты в программное обеспечение, используемое на объекте;
  • приемлемая стоимость.

          Политика информационной безопасности определяет облик системы защиты информации - совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий.
          Сформулированная политика информационной безопасности является результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, и руководителей, способных влиять на проведение политики в жизнь.
          Политика безопасности должна гарантировать, что для каждого вида проблем существует ответственный исполнитель. В связи с этим ключевым элементом политика безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.

          Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации. В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.

          По времени проведения мероприятия защиты можно разделить на четыре класса:

  • разовые;
  • периодически проводимые;
  • проводимые по необходимости;
  • постоянно проводимые.

          Пересмотр “Плана защиты” рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонент объекта:

  1. Люди. Пересмотр “Плана защиты” может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т.д.
  2. Техника. Пересмотр “Плана защиты” может быть вызван подключением других локальных сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.
  3. Помещения. Пересмотр “Плана защиты” может быть вызван изменением территориального расположения компонентов объекта.

          Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов. Рассмотрим основные из них.


DigitalSecurity, © 2003