Методы и средства защиты информации в компьютерных системах Пермяков Руслан
ЖИЗНЕННЫЙ ЦИКЛ ПРОГРАММЫ БЕЗОПАСНОСТИ
Жизненный цикл Планирование и организация Приобретение и внедрение Эксплуатация и сопровождение Мониторинг и оценка Вывод из эксплуатации
Планирование и организация Получение одобрения у руководства Создание рабочей группы Оценка бизнес-драйверов Создание профиля угроз Проведение оценки рисков Разработка архитектурного решения на различных уровнях Организационный Прикладной Сетевой Компонентный Фиксация результатов
Приобретение и внедрение Распределение ролей и обязанностей в группе Разработка Политик безопасности Процедур Стандартов Базисов Руководств и инструкций Выявление критичных данных на всех этапах жизненного цикла информации Реализация проектов безопасности: Управление рисками, активами, планирование непрерывности бизнеса и д.р. Внедрение решений по каждому проекту Разработка процедур аудита и мониторинга Установка по каждому проекту: метрик, целей, SLA
Эксплуатация и сопровождение Соблюдение установленных процедур и базисных уровней в каждом из проектов Проведение внутреннего и внешнего аудита Выполнение задач в каждом из проектов Управление SLA по каждому из проектов
Мониторинг и оценка Анализ журналов, результатов аудита, метрик, SLA, по каждому проекту Оценка достижений целей по каждому из проектов Проведение ежеквартальных встреч рабочей группы Совершенствование каждого этапа и возврат на фазу планирования
ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ
Принцип минимальных привилегий каждая операция должна выполняться с наименьшим набором привилегий, требуемых для данной операции.
Принцип прозрачности СЗИ должна работать в фоновом режиме, быть незаметной и не мешать пользователям в основной работе, выполняя при этом все возложенные на нее функции.
Принцип превентивности последствия реализации угроз безопасности информации могут повлечь значительно большие финансовые, временные и материальные затрат по сравнению с затратами на создание комплексной системы защиты.
Принцип адекватности применяемые решения должны быть дифференцированы в зависимости от вероятности возникновения угроз безопасности, прогнозируемого ущерба от ее реализации, степени конфиденциальности информации и ее стоимости
Принцип системного подхода заключается во внесении комплексных мер по защите информации на стадии проектирования СЗИ, включая организационные и инженерно-технические мероприятия. Следует помнить оснащение средствами защиты изначально незащищенной АС является более дорогостоящим, чем оснащение средствами защиты проектируемой АС
Принцип непрерывности защиты функционирование системы защиты не должно быть периодическим. Защитные мероприятия должны проводиться непрерывно и в объеме предусмотренном политикой безопасности
Принцип адаптивности система защиты должна строиться с учетом возможного изменения конфигурации АС, числа пользователей, степени конфиденциальности и ценности информации. Введение новых элементов АС не должно приводить к снижению достигнутого уровня защищенности
Принцип доказательности Результаты работы СЗИ не должны зависеть от субъекта. Используются: Только известные формальные модели Применение систем аутоинтефикации Сертифицированных элементов Требование сертификации СЗИ в целом
Принцип унификации решений Разрабатываемые решения должны быть единообразными в схожих ситуациях. Следствием принципа является использование: Типовых проектов Типовой классификации рисурсов Типовых конфигурации