Классификация концепций
Главная » ЗИ компании » Разработка концепции ИБ » Классификация концепций

Классификация концепций информационной безопасности


Концепция информационной безопасности как система взглядов на цели, способы обеспечения безопасности информации и средства ее защиты должна в общем виде отвечать на три простых вопроса:

  1. Что защищать? (выбор объекта защиты)
  2. От чего защищать? (определение угроз объекту)
  3. Как защищать? (определение способов и средств для защиты объекта)

Ответы на данные вопросы, а следовательно, и концепции информационной безопасности делятся на два типа — технологические и нормативные.

Технологические КИБ. В технологических КИБ под объектом защиты понимается не абстрактная информация, а комплекс физических, аппаратных, программных и документальных средств, предназначенных для ее сбора, передачи, обработки и хранения. Уже на этапе ее формирования КИБ технологического типа необходимо уже иметь четкое представление о том, как устроена информационная система компании, как распределены аппаратные и программные ресурсы (территориально и по подразделениям компании).

Нормативные КИБ. В нормативных КИБ определяется информация, подлежащая защите и ее ценность, т.е. размеры потерь от ее разрушения или разглашения. Нормативные КИБ учитывают специфику информации, проявляющуюся в том, что она не исчезает при потреблении и не передается полностью при обмене. Иными словами, нормативные КИБ учитывают не только циркуляцию информации внутри компании, но и обмен информацией с внешними организациями.

Вопрос «От чего защищать?» в нормативных КИБ рассматривается с точки зрения доступности информации, ее целостности и конфиденциальности, т.е. для каждого вида защищаемой информации определяются приоритеты и направления ее защиты.

Ответ на вопрос «Как защищать?» в нормативных КИБ состоит в определении места и роли организационных и технических мероприятий в процессе защиты информации, а также в формулировании требований к поставщикам оборудования и услуг защиты информации.

КИБ смешанного типа. Для КИБ обоих типов — технологического и нормативного — справедливо следующее утверждение: достоинства и недостатки одного типа КИБ являются зеркальным отражением недостатков и достоинств другого типа КИБ.

Для максимального использования достоинств обоих типов КИБ при разработке КИБ компании в настоящее время предлагается разрабатывать КИБ так называемого смешанного типа. Такая КИБ представляет собой фактически два документа:

  1. 1.    Собственно КИБ, разработанную на основе КИБ нормативного типа (с незначительным добавлением технических и технологических аспектов).
  2. 2.    Политику информационной безопасности (ПИБ) — технический документ, в котором формулируются требования к средствам защиты информации и архитектуре защиты  информации.

При этом в ПИБ детализация требований к средствам защиты информации доходит до уровня общей функциональности, но не опускается до технических требований к оборудованию. Фактически, ПИБ во многом похожа на технологическую КИБ, но разрабатывается исключительно на основе предварительно разработанной КИБ.

При этом в нормативной части концепции (собственно КИБ) отражаются следующие вопросы:

  1. Общие положения.
  2. Защищаемая информация.
  3. Меры защиты информации.
  4. Базовый уровень защиты информации.
  5. Реализация повышенных требований к защите информации.
  6. Модель обеспечения информационной безопасности.
  7. Модель оценки риска от реализации угроз.
  8. Методика расчета финансовых затрат на реализацию концепции.
  9. Перечень нормативных документов, разрабатываемых в рамках концепции.
  10. Взаимосвязь нормативных документов, разрабатываемых в рамках концепции.
  11. Действия в случаях нарушения системы безопасности.

Вторая часть — ПИБ, разрабатываемая на основе нормативной части концепции, отражает следующие вопросы:

  1. Объекты и субъекты информационной безопасности.
  2. Взаимосвязь объектов и субъектов информационной безопасности.
  3. Угрозы информационной безопасности.
  4. Техническая часть концепции информационной безопасности.
  5. Требования к системам и средствам.
  6. Требования к поставщикам.
  7. Требования к эксплуатации.

На основе анализа существующих типов КИБ можно сделать следующие выводы:

  1. КИБ технологического типа оптимальна для мелких и средних компаний, в которых сбор исходных данных для разработки КИБ не сопряжен с большим объемом работы.
  2. КИБ технологического типа имеет смысл разрабатывать также для компаний, организационная и бизнес-структура которых не подвержена изменениям в процессе их деятельности.
  3. Для мелких и средних компаний разработка КИБ технологического типа сокращает период внедрения системы защиты информации.
  4. Для крупных компаний разработка КИБ технологического типа затруднена в силу сложности процедуры сбора исходных данных.
  5. КИБ нормативного типа оптимальна для компаний со сложной структурой, наличием филиалов, дочерних компаний и т.д. В данном случае на основе КИБ компании могут быть разработаны КИБ (или ПИБ) ее подразделений (т.е. фактически речь идет о разработке смешанной КИБ).
  6. Для компаний с большим числом бизнес-процессов, сложной технологической и организационной структурой необходимо разрабатывать КИБ смешанного типа.
  7. КИБ смешанного типа оптимальна для управляющих компаний, холдингов и т.п.

Поиск информации на сайте Пожалуйста, введите запрос и нажмите «Найти!»