Последовательность действий при разработке системы обеспечения информационной безопасности объекта.
Прежде, чем приступать к разработке системы информационной безопасности, необходимо определить, что же для организации (физического лица) является интеллектуальной собственностью.
С точки зрения делового человека, интеллектуальной собственностью являются информационные ресурсы, знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль. Способ управления производством, технологический процесс, список клиентов профиль научных исследований, анализ конкурентоспособности – лишь некоторые примеры тому.
Незнание того, что составляет интеллектуальную собственность — уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации.
Дальнейшими этапами, вне зависимости от размеров организации и специфики ее информационной системы, в том или ином виде должны быть:
определение границ управления информационной безопасностью объекта;
анализ уязвимости;
выбор контрмер, обеспечивающих информационную безопасность; определение политики информационной безопасности;
проверка системы защиты;
составление плана защиты;
реализация плана защиты (управление системой защиты).
Любые действия по созданию системы информационной безопасности должны заканчиваться определенными результатами в виде документа или технического решения (смотри схему 1).
Как показывает разработка реальных систем, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволит с наибольшей эффективностью обеспечить решение постоянной задачи.
Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации преломить абстрактные положения к своей конкретной предметной области (предприятию, организации, банка), в которых всегда найдутся свои особенности и тонкости этого не простого ремесла.
-
Содержание
- Проблемы информационной безопасности и пути их решения
- Современное состояние информационной безопасности в России
- Основные термины и определения из области информационной безопасности.
- Принципы построения системы информационной безопасности объекта
- Последовательность действий при разработке системы обеспечения информационной безопасности объекта.
- Международный стандарт "Общие критерии оценки безопасности информационных технологий"
- Часть 1. Представление и общая модель.
- Часть 2. Требования к функциям безопасности.
- Часть 3. Требования гарантированности безопасности. Требования к гарантиям безопасности, критерии оценки для профилей защиты и заданий по безопасности.
- П Рис. 1орядок и методические указания по формированию перечня сведений, составляющих служебную или коммерческую тайну организации