Информационная система современной компании имеет территориально распределенную структуру, включает в себя большое количество разнообразных информационных ресурсов и функционирует в условиях непрерывно видоизменяющихся угроз информационной безопасности.
Обеспечить непрерывность функционирования , безопасность информации на всех стадиях жизненного цикла (передаче, обработке и хранении) возможно только с помощью тщательно спроектированной комплексной системы информационной безопасности, созданной с опорой на признанные лучшие практики, а также стандарты в сфере информационной безопасности.
В зависимости от характера защищаемых активов информационных систем, система информационной безопасности может выполнять функции межсетевого экранирования, антивирусной защиты, обнаружения и предотвращения атак, контроля веб-трафика, защиты электронной почты, беспроводных соединений, информации в каналах связи, противодействия утечке конфиденциальной информации, контроля соответствия установленной политике информационной безопасности, стандарту.
Система информационной безопасности создается с учетом особенностей информационных систем и реализуется комплексом согласованных между собой организационных и технических мер, поддерживается соответствующими управленческими решениями. Для создания системы информационной безопасности, в первую очередь, разрабатываются процессы информационной безопасности и только во вторую очередь проектируются и внедряются программно-аппаратные комплексы системы безопасности, служащие для обеспечения процессов информационной безопасности.
Система информационной безопасности создается с соблюдением этапности, предусмотренной стандартом ГОСТ34.601-90 «Автоматизированные системы. Стадии создания»: «Обследование информационной системы — Разработка технического задания — Проектирование системы информационной безопасности — Разработка задания по безопасности — Внедрение». Первым и наиболее важным вопросом при создании системы информационной безопасности является оценка требований по безопасности, установленных в Политике Заказчика, а также идентификация критичных по безопасности информационных ресурсов (активов) защищаемой информационной системы.
Преимущества
Создание системы безопасности является важнейшим звеном в последовательном ряде решений информационной безопасности и включает в себя этап внедрения средств защиты информации: «... — Аудит — Концепция — Политика — Создание системы информационной безопасности (Внедрение средств защиты информации) — аттестация системы — ...». Указанное обстоятельство гарантирует Заказчику построение управляемой и экономически обоснованной системы информационной безопасности, соответствующей требованиям стандартов в области информационной безопасности.
В зависимости от особенностей реализации ИС, к защищаемым активам могут быть отнесены:
- пользовательская информация, документы и массивы документов (в электронных библиотеках, архивах, фондах, банках данных);
- информация, передаваемая по каналам связи между корпоративным офисом и удаленными подразделениями, внешними пользователями;
- управляющие данные, идентификационная и аутентификационная информация;
- ключевая информация — в случае использования в информационной системе криптографических средств защиты информации, средств ЭЦП;
- компоненты системного и прикладного ПО;
- аппаратная составляющая ИС.
Тщательная идентификация активов позволяет выявить возможных нарушителей ИБ, определить возможные методы проведения атак, идентифицировать угрозы и, следовательно, определить перечень задач, возлагаемых на СИБ.
Вторым вопросом, который необходимо решить в ходе обследования ИС, является определение структуры ИС, размещение защищаемых активов, а также установление основных информационных потоков.
Отдельным компонентом обследования является сбор и анализ всей информации, непосредственным образом связанной с обеспечением ИБ — процессами управления в организации, персоналом, методами и средствами обработки информации.
При проведении исследования допускается использовать различные методы сбора информации, например, интервью, опросные листы, анкетирование. При необходимости используются инструментальные средства — программно-аппаратные сканеры сетевой безопасности.
Работы этапа системы безопасности проводятся и документируются в соответствии с требованиями ГОСТ 34.201-89 «Автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем», СТБ ISO/IEC 27001-2011 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», ISO/IEC 17799:2000(Е) «Информационные технологии. Правила управления информационной безопасностью».
На последующих этапах разрабатывается ТЗ на СИБ, а также принимаются все наиболее значимые проектные решения по создаваемой СИБ.
В зависимости от особенностей ИС и перечня защищаемых информационных активов, проектируются компоненты СИБ с использованием продуктов ведущих мировых разработчиков:
- для построения СИБ, защищающих от сетевых угроз — продуктов компаний Sophos/Astaro, Fortinet, Cisco;
- для обеспечения противодействия утечке конфиденциальной информации — продуктов компании Sophos/Astaro, Symantec;
- для построения систем антивирусной защиты — продуктов компаний «Лаборатория Касперского», Symantec, ОДО «ВирусБлокАда», Sophos/Astaro;
- для построения систем защиты информации в каналах связи, защиты беспроводных коммуникаций — продуктов компаний Sophos/Astaro, Cisco, Авест;
- для построения систем управления информационной безопасностью — продуктов компаний Symantec, HP.
Для обоснования состава и функций СИБ необходимо, в соответствии со стандартами ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008, ISO/IEC 15408-3:2008, разработать ЗБ на защищаемую ИС. Разработка ЗБ проводится с УГО, необходимым для обеспечения безопасности защищаемых активов в соответствии с требованиями НПА, ТНПА Республики Беларусь, пожеланиями Заказчика.
ЗБ позволяет убедиться в полноте, логической связности и экономической обоснованности примененных средств и методов защиты информации.
На заключительном этапе создания СИБ проводится поставка и внедрение выбранных средств защиты информации. Работы проводятся специалистами, квалификация которых подтверждена сертификатами предприятий — вендоров.
По окончании внедрения средств защиты информации проводятся тестовые испытания, результаты которых заносятся в протокол. Испытания проводятся в соответствии с методиками приемочных испытаний. Протоколы испытаний позволяют убедиться в работоспособности и эффективности созданной СИБ.
В процессе создания СИБ разрабатывается исчерпывающий перечень документов, позволяющий провести аттестацию ИС Заказчика — государственного предприятия.