С чего начинать построение системы информационной безопасности? - Современные информационно-коммуникационные технологии в отраслях экономики

Необходимо понимать, что обеспечение информационной безопасности - процесс непрерывный, а применяемые меры должны носить комплексный и превентивный характер. Еще один важный момент: эффективная защита невозможна без комплекса организационных мер. Должны быть определены цели, задачи, приоритеты и риски в области ИБ, и с учетом этих факторов сформулированы требования к системе ИБ, разработана политика и система управления ИБ, регламенты, процедуры и пр. Выбор технических средств защиты также должен опираться на предварительно проведенный анализ рисков.

Таким образом, построение системы ИБ банка целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы банка, а также существующих инструментов обеспечения ИБ. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов банка выдвигаемым требованиям, т. е., обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию, иногда целесообразно выполнять тесты на проникновение.

Результатом работ по диагностическому обследованию, помимо рекомендаций и предложений, может являться спроектированная система ИБ. Работы по проектированию системы ИБ банка также включают следующие этапы.

    1. Разработка Концепции обеспечения информационной безопасности. Определение основных целей, задач и требований, а также общей стратегии построения системы ИБ, идентификация критичных информационных ресурсов, выработка требований и базовых подходов к их реализации. 2. Создание политики ИБ. 3. Построение модели системы управления ИБ. 4. Подготовка технического задания на создание системы информационной безопасности. 5. Создание модели системы ИБ. 6. Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы. O Описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации. O Обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты. O Спецификацию на комплекс технических средств системы ИБ. O Спецификацию на комплекс программных средств системы ИБ. O Определение настроек и режима функционирования компонентов системы ИБ. 7. Тестирование на стенде спроектированной системы ИБ. 8. Разработка организационно-распорядительных документов системы управления ИБ по обеспечению информационной безопасности (политик, процедур, регламентов и т. п.). 9. Разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.

При проектировании архитектуры системы ИБ необходимо учитывать, что ее эффективность может быть достигнута, если все компоненты представлены качественными решениями, функционируют как единый комплекс и, в случае распределенных систем, имеют централизованное управление. Построение интегрированного решения обеспечивает ряд преимуществ: позволяет снизить совокупную стоимость владения системой ИБ, повысить коэффициент возврата инвестиций и улучшить управляемость системы. Основные классы угроз и содержат следующие компоненты:

    - подсистему межсетевого экранирования; - подсистему защиты внутренних сетевых ресурсов; - подсистему защиты Web-ресурсов; - подсистему обнаружения и предотвращения вторжений; - антивирусную подсистему; - подсистему контроля содержимого Интернет-трафика; - подсистему аутентификации и авторизации пользователей; - подсистему криптографической защиты информации; - подсистему протоколирования, отчета и мониторинга средств защиты; - подсистему физической защиты; - подсистему защиты рабочих станций; - подсистему управления ИБ.

После внедрения спроектированной системы необходимо обеспечить ее поддержку и сопровождение.

Похожие статьи




С чего начинать построение системы информационной безопасности? - Современные информационно-коммуникационные технологии в отраслях экономики

Предыдущая | Следующая