CC BY
58
Известия ТРТУ
Тематический выпуск «Информационная безопасность»
участков ТКС по уровням конфиденциальности обрабатываемой информации дает положительные результаты.
На последующем этапе целесообразно рассмотреть возможности интеграции планируемых к использованию средств защиты информации в единый комплекс, возможность централизованного управления. Необходимо стремиться к максимальной интеграции средств защиты информации по внешним интерфейсам для повышения качества КСЗИ НСД ТКС.
На этапах построения и приемо-сдаточных испытаний следует моделировать нештатные ситуации и отрабатывать действия по устранению их последствий.
В состав КСЗИ НСД ТКС должна быть включена подсистема текущего контроля уровня защищенности ТКС.
В штат службы безопасности предприятия необходимо ввести администратора информационной безопасности. Его должностные инструкции должны быть оформлены документально и базироваться на политике безопасности предприятия. В должностные инструкции необходимо внести перечень типовых действий при возникновении нештатных ситуаций.
Для построения высокоэффективной КСЗИ НСД ТКС необходимо на всех этапах жизненного цикла использовать инструментальные средства автоматизации проектирования, реализующие апробированные методики.
Е.М. Панченко, Б.Ф Платонов, Д.В. Суздалев Россия, г. Ростов-на-Дону, НИИ физики РГУ, УГТК РФ по ЮФО, ЗАО «Кордон»
НЕКОТОРЫЕ ОСОБЕННОСТИ КОНТРОЛЯ ЗАЩИТЫ ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ ОТ УТЕЧКИ ИНФОРМАЦИИ ПО КАНАЛАМ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (НСД) К ИНФОРМАЦИИ В ХОДЕ ИХ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ И ПРОВОДИМЫХ КОНТРОЛЬНЫХ ПРОВЕРОК.
Представлены результаты анализа защищенности объектов информатизации Южного федерального округа от утечки по каналам НСД и соответствие реализации возможностей и настроек различных сертифицированных Гостехкомиссией России средств защиты от НСД установленным требованиям. Данные получены в процессе контрольных проверок объектов информатизации Управлением Гостехкомиссии России по ЮФО и аттестационных испытаний объектов информатизации, проведенных специалистами Закрытого акционерного общества «Кордон», аккредитованного Государственной технической комиссией при Президенте Российской Федерации в качестве органа по аттестации объектов информатизации.
Выявлены сложности в интеграции средств защиты информации (СЗИ) от НСД с используемыми на объектах информатизации средствами вычислительной техники и реализации достижения выполнения требований «Сборника руководящих документов (РД) по защите информации от несанкционированного доступа» Гостехкомиссия России, 1998 г. непосредственно самими системами защиты от НСД без использования дополняющего системную часть этих СЗИ НСД, комплекса организационно - режимных мероприятий (функциональную часть СЗИ НСД).
Проведен анализ ряда существующих систем защиты информации от несанкционированного доступа, используемых на объектах Южного федерального округа с точки зрения оптимизации подбора аппаратной и программной частей СЗИ от НСД максимально реализующие выполнение требований РД Гостехкомиссии России.
Секция
Комплексная защита объектов сложных систем
По результатам проведенного анализа приведены параметры настроек ряда широко используемых программных и программно - аппаратных комплексов защиты от НСД для соответствия требованиям, наиболее часто используемых классов защищенности АС. Указаны некоторые особенности контроля защиты объектов от НСД в зависимости от установленных комплексов защиты от НСД.
С.В. Симонов
Россия, г. Москва «УСП Компьюлинк»
СОВРЕМЕННЫЕ КОНЦЕПЦИИ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
Под управлением информационными рисками (Risk Management for Information Technology Systems) понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.
Наличие системы управления рисками является обязательным компонентом общей системы обеспечения информационной безопасности на всех этапах жизненного цикла. Многие зарубежные национальные институты стандартов организации, специализирующиеся в решении комплексных проблем информационной безопасности (ИБ), предложили схожие концепции управления информационными рисками.
В докладе анализируются положения стандартов, регламентирующие аспекты управления информационными рисками:
Британского BS 7799 (ISO 17799), Германского BSI, США NIST 800-30
Концепции управления рисками, положенные в основу этих стандартов, близки и содержат следующие основные этапы.
1. Описание ИС, содержащее описание целей создания информационной системы, ее границ, информационных ресурсов, требований в области ИБ и системы управления информационной системой и режимом ИБ.
2. Идентификация рисков.
При составлении перечня рисков и оценке их уровня используется списки классов различных организаций и информация об их рейтингах либо средних значениях вероятности реализации.
Составляется список управляющих воздействий, структурированный по уровням или областям ответственности в соответствие с используемой моделью комплексного обеспечения режима информационной безопасности
3. Анализ системы управления ИС
Параметры угроз существенно зависят от организации системы управления ИС. На данном шаге производится анализ системы управления с позиции возможного воздействия на выявленные угрозы и уязвимости. Обычно рассматриваются 2 категории: методы управления технического и нетехнического уровня.
4. Выбор шкалы для оценки параметров рисков.
Под оценкой параметров рисков понимается оценка возможности реализации потенциальной уязвимости, которая приведет к инциденту.
Типичной (наиболее распространенным) шкалой является качественная (балльная) шкала с несколькими градациями, например низкий средний и высокий уровень.
5. Анализ возможных последствий нарушения режима ИБ.
Определяется цена нарушения режима ИБ. Последствия нарушения режима
ИБ, могут быть разноплановыми. Например, это могут быть прямые финансовые потери, потеря репутации, неприятности со стороны официальных структур, и т.д.
