Современные информационные технологии/ 4. Информационная безопасность.

Магистрант Веревкин Д.А.

Научный руководитель – к.т.н., доц. В.В. Вихман

Новосибирский государственный технический университет, Россия

Этапы проектирования системы безопасности

В современном мире информация является важным ресурсом от которого зависит коммерческий успех организации и безопасность общества. В связи с этим появляется необходимость в защите информации для чего необходимо реализовать систему информационной безопасности. При разработке необходимо рассматривать комплекс мер, которые позволяют построить наиболее эффективную систему безопасности.

Информационная безопасность представляет собой процесс обеспечения свойств информации. Выделяют три основных свойства информации, но могут не ограничиваться только ними: конфиденциальность, целостность и доступность. Конфиденциальность подразумевает под собой, что только владелец информации и те, кому он разрешит, могут получить доступ к информации. Целостность — это обеспечение достоверности и её полноту при обработке в системе. Под доступностью понимается, что только авторизированный пользователь должен получить доступ к информации. Для достижения целей информационной безопасности, применяются комплекс мер и методов, направленных на обеспечение сохранности свойств информации.

Информационная безопасность реализуется путем реализации системы обеспечения информационной безопасности. Данная система включает в себя две основные подсистемы: система защиты информации и система менеджмента информации (рис. 1). Основная цель при проектировании системы обеспечения информации — это выработка рекомендаций, организационно-технических решений по обеспечению защиты информационных ресурсов, используемых организацией.

Рис.1 Структурная схема информационной безопасности

Система защиты информации представляет собой деятельность по выявлению угроз безопасности и применения мер защиты, направленных на противодействия угрозам. Система менеджмента информационной безопасности должна обеспечить соответствие принятых мер защиты целям организации, проведение проверки системы защиты информации и организацию работ по улучшению системы обеспечения информационной безопасности.

Процесс реализации информационной безопасности непрерывный и цикличный, после ввода системы обеспечения информационной безопасности в эксплуатацию необходимо анализировать инциденты информационной безопасности, новые нормативные акты и наблюдать за новыми технологиями в области информационных технологий для корректировки системы безопасности, чтобы эффективно выполнять задачи защиты информации и соответствовать новым требованиям постоянно обновляющейся информационной системы.

Для построения эффективной системы обеспечения информационной безопасности необходимо выполнить 4 этапа (рис. 2).

Рис. 2 Этапы построения системы обеспечения информационной безопасности

На этапе подготовки и планирования ставятся следующие задачи:

·       разработка и внедрение политики безопасности организации, в которой должно быть изложено: какие цели ставит руководство в области информационной безопасности, каким образом будет достигаться поставленная цель и какие правила необходимо соблюдать во время достижения цели;

·       сформировать методику оценки рисков, на основе которой будет проведен анализ всех возможных рисков организации и составлен план обработки рисков;

·       утверждены сотрудники ответственные за информационную безопасность.

         На этап внедрения и использования необходимо:

·       внедрить меры защиты для достижения целей поставленных в плане обработки рисков;

·       разработать систему менеджмента инцидентов информационной безопасности на основе принятой политики безопасности;

·       реализовать программу по обучению сотрудников организации.

На этапе мониторинга и анализа реализуются следующие задачи:

·       проведение анализа эффективности системы обеспечения информационной безопасности;

·       пересмотр оценки рисков организации через установленные сроки;

·       анализ инцидентов ИБ, определение методов по улучшению системы обеспечения информационной безопасности;

·       обобщение накопленного опыта.

         Этап улучшения:

·       проведение улучшения системы обеспечения информационной безопасности;

 

 

Литература:

1. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий = Information technology. Security techniques. Part 1. Concepts and models for information and communications technology security management. – Введ. 2007-06-01. – М.:Стандартинформ, 2007. – 19 с.

2. ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. Введ. 2014-01-01. - М.:Стандартинформ, 2014. – 198 с.

3. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности = Information technology. Security techniques. Information security incident management. – Введ. 2008-07-01. - М.:Стандартинформ, 2009. – 46 с.

4. Мельников В.П., Клейменов С.А., Петраков А.М., Информационная безопасность и защита информации : учеб. пособие для студ. высш. учеб. заведений под. ред. С.А.Клейменова. – 3-е изд., стер. –   М. : Издательский центр «Академия », 2008. – 336 с.

5. Панков М.А., Любченко В.И., Вихман В.В. Разработка структуры программно-аппаратного комплекса «безопасный город», Сборники конференций НИЦ Социосфера. 2013. № 23. С. 80-82.

6. Анализ существующих методов анализа защищённости, Распутин Р.В., Любченко В.И., Вихман В.В., Сборники конференций НИЦ Социосфера. 2013. № 23. С. 91-93.