Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков
Читать онлайн книгу.режимних заходів на об’єктах ІТС;
– забезпечення фізичного захисту обладнання ІТС, носіїв інформації, інших ресурсів;
– визначення порядку виконання робіт з безпеки інформації, взаємодії з цих питань з іншими суб’єктами системи ТЗІ в Україні;
– регламентація доступу користувачів і персоналу до ресурсів ІТС;
– організація навчання та підвищення кваліфікації персоналу і користувачів ІТС з питань безпеки інформації;
– реалізація окремих положень політики безпеки, найбільш критичних з точки зору забезпечення захисту аспектів (наприклад, організація віддаленого доступу до ІТС, використання мереж передачі даних загального користування, зокрема Інтернет тощо).
На технічному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо застосування інженерно-технічних і програмно-апаратних засобів реалізації вимог безпеки. Під час розгляду різних варіантів реалізації рекомендується враховувати наступні аспекти:
– інженерно-технічне обладнання приміщень, в яких розміщуються компоненти ІТС;
– реєстрація санкціонованих користувачів ІТС, авторизація користувачів в системі;
– керування доступом до інформації і механізмів, що реалізують послуги безпеки, включаючи вимоги до розподілу ролей користувачів і адміністраторів;
– виявлення та реєстрація небезпечних подій з метою здійснення повсякденного контролю;
– перевірка і забезпечення цілісності критичних даних на всіх стадіях їхньої обробки в ІТС;
– забезпечення конфіденційності інформації, у тому числі використання криптографічних засобів;
– резервне копіювання критичних даних, супроводження архівів даних і ПЗ;
– відновлення роботи ІТС після збоїв, відмов, особливо для систем із підвищеними вимогами до доступності інформації;
– захист ПЗ, окремих компонентів і ІТС в цілому від внесення несанкціонованих доповнень і змін;
– забезпечення функціонування засобів контролю.
2. Аналіз ризиків реалізації загроз
Під час цього кроку здійснюється аналіз ризиків, який передбачає вивчення моделей загроз і порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди). В результаті аналізу ризиків реалізації загроз визначається перелік суттєвих загроз для ІТС.
Аналіз ризиків полягає в моделюванні картини появи несприятливих умов з урахуванням всіх можливих чинників, що визначають ризики, які називаються вхідними параметрами. До них відносяться активи, вразливості, загрози та збитки.
Активи – ключові компоненти ІТС, що залучені в технологічні процеси та мають певну цінність.
Вразливості – слабкості в засобах захисту, викликані помилками або недосконалістю процедур, які можуть бути використані для проникнення в ІТС або пошкодження активів.
Загрози – реалізація яких можлива за допомогою використання вразливостей.
Збитки –