Комплексні системи захисту інформації. Проектування, впровадження, супровід

– впровадження та використання забороненого полiтикою безпеки ПЗ або несанкцiоноване використання ПЗ, за допомогою якого можна одержати доступ до критичноi iнформацii (наприклад, аналiзаторiв безпеки мереж);

– iншi.

Перелiк суттевих загроз мае бути максимально повним i деталiзованим. Для кожноi з загроз необхiдно визначити ii спрямованiсть, джерело, механiзм реалiзацii та можливi наслiдки.

По-перше, на порушення яких властивостей iнформацii або ІТС загроза спрямована:

– конфiденцiйностi – несанкцiоноване ознайомлення з iнформацiею;

– цiлiсностi – несанкцiонована модифiкацiя (спотворення, фальсифiкацiя, викривлення) iнформацii;

– доступностi – порушення можливостi використання ІТС або оброблюваноi iнформацii (вiдмова в обслуговуваннi користувача);

– спостереженостi ІТС – вiдмова в iдентифiкацii, автентифiкацii та реестрацii небезпечних дiй.

По-друге, джерела виникнення загрози (якi суб’екти ІТС або суб’екти, зовнiшнi по вiдношенню до неi, можуть iнiцiювати загрозу):

– персонал i користувачi;

– технiчнi засоби;

– моделi, алгоритми, програми;

– технологiя функцiонування;

– зовнiшне середовище.

По-трете, можливi способи здiйснення (механiзм реалiзацii) загроз:

– шляхом пiдключення до апаратури та лiнiй зв’язку,

– маскування пiд зареестрованого користувача,

– подолання заходiв захисту з метою використання iнформацii або нав’язування хибноi iнформацii,

– застосування закладних пристроiв чи програм, впровадження шкiдливих кодiв i вiрусiв.

По-четверте, опис моделi загроз (у частинi, що стосуеться перелiку можливих способiв реалiзацii загроз та iх класифiкацii) мае бути викладений настiльки детально, щоб дозволяти (на етапi аналiзу ризикiв, пов’язаних з реалiзацiею загроз) однозначне визначення як можливих наслiдкiв у разi реалiзацii загрози, так i ймовiрностi ii реалiзацii в певний спосiб.

Потрiбно скласти «Перелiк загроз для iнформацii в ІТС» з визначенням порушень властивостей iнформацii та ІТС (див. таблицi).

Зробимо розрахунок загроз з урахуванням 3-х рiвнiв ризикiв i збиткiв: якщо реалiзацiя загрози надае великих збиткiв – високий – 3 бали; помiрних збиткiв – середнiй – 2 бали; незначних збиткiв – низький – 1 бал. Отримаемо «Модель загроз з визначенням рiвня ризикiв i збиткiв» у виглядi 4-х таблиць (загрози конфiденцiйностi, цiлiсностi, доступностi та спостереженостi).

6. Формування завдання та варiанту побудови КСЗІ

Останнi кроки 1-го етапу «Формування вимог до КСЗІ в ІТС» складаються з таких робiт:

1. Формування завдання на створення КСЗІ в ІТС.

2. Аналiз ризикiв реалiзацii загроз для iнформацii в ІТС.

3. Вибiр варiанту побудови та складу КСЗІ в ІТС.

4. Оформлення звiту за результатами проведеноi роботи.

1. Формування завдання на створення КСЗІ

Пiд час цього кроку визначаються завдання захисту iнформацii та вiдповiднi ним напрями забезпечення ii захисту, в результатi чого визначаеться конкретний варiант забезпечення безпеки iнформацii.

Завданнями захисту iнформацii можуть бути:

– забезпечення необхiдних властивостей iнформацii (конфiденцiйностi, цiлiсностi, доступностi) пiд час створення та експлуатацii ІТС;

– своечасне виявлення та лiквiдацiя загроз для ресурсiв ІТС, причин та умов, якi спричиняють (можуть привести до) порушення ii функцiонування та розвитку;

– створення механiзму та умов оперативного реагування на загрози для безпеки iнформацii, iншi прояви негативних тенденцiй у функцiонуваннi ІТС;

– ефективне попередження загроз для ресурсiв ІТС шляхом комплексного впровадження правових, морально-етичних, фiзичних, органiзацiйних, технiчних та iнших заходiв забезпечення безпеки;

– керування засобами захисту iнформацii, керування доступом користувачiв до ресурсiв ІТС, контроль за iхньою роботою з боку персоналу СЗІ, оперативне сповiщення про спроби НСД до ресурсiв ІТС;

– реестрацiя, збiр, зберiгання, обробка даних про всi подii в системi, якi мають вiдношення до безпеки iнформацii;

– створення умов для максимально можливого вiдшкодування та локалiзацii збиткiв, що завдаються неправомiрними (несанкцiонованими) дiями фiзичних та юридичних осiб, впливом зовнiшнього середовища та iншими чинниками, зменшення негативного впливу наслiдкiв порушення безпеки на функцiонування ІТС.

Концепцiя безпеки iнформацii розкривае основнi напрями забезпечення безпеки iнформацii та розробляеться на пiдставi аналiзу таких чинникiв:

– правових засад;

– вимог безпеки iнформацii;

– загроз для iнформацii.

За результатами аналiзу формулюються загальнi положення безпеки, якi впливають на технологiю обробки iнформацii в ІТС:

– мета i прiоритети, яких необхiдно дотримуватись в ІТС пiд час забезпечення безпеки iнформацii;

– загальнi напрями дiяльностi, необхiднi для досягнення цiеi мети;

– аспекти дiяльностi у галузi безпеки iнформацii, якi повиннi вирiшуватися на рiвнi органiзацii в цiлому;

– вiдповiдальнiсть посадових осiб та iнших суб’ектiв взаемовiдносин в ІТС, iхнi права i обов'язки щодо реалiзацii завдань безпеки iнформацii.

Вибiр основних рiшень з безпеки iнформацiiрозглядаеться на 3-х рiвнях:

– правовому;

– органiзацiйному;