Нормативно-методическое обеспечение комплексной системы защиты информации на объекте защиты

Целью курсовой работы является анализ нормативно-методического обеспечения комплексной системы защиты информации.

На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем информационной безопасности, т. е. на этапе управления рисками. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на ИТ. Методология безопасности ИТ, определяемая данными стандартами, базируется на двух концепциях управления рисками – для базового уровня и для повышенных требований безопасности.
Минимальные требования безопасности (базовый уровень) обеспечиваются совокупностью проверенных практикой правил обеспечения ИБ на всех этапах жизненного цикла ИТ и соответствуют минимальным требованиям к режиму ИБ. Эти правила носят комплексный характер, т. е. охватывают административный, процедурный, программно-технический уровни и все этапы жизненного цикла ИТ. Обычной областью использования этого уровня являются типовые проектные решения.
Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т.д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры (которые также приводятся в этих документах (рисунок 1)) вне зависимости от вероятности их осуществления и уязвимости ресурсов. Основополагающими документами, определяющими концепцию управления рисками для базового уровня, являются международные стандарты менеджмента безопасности ISO 17799, ISO 27001.

Создать идеальную систему защиты информации невозможно, но возможно отдалить во времени негативное событие, а также подготовиться к нему. Для предотвращения инцидента в ближайшей перспективе, либо подготовки к устранению его последствий нужны не только специалисты, но и ресурсы.
Быстрое развитие информационных технологий способствует появлению новых угроз и уязвимостей. В то же время уже зарекомендовавшие себя векторы атак используются более активно злоумышленниками. Проблемы и задачи в сфере информационной безопасности настолько глубоки и разнообразны, что требуют непрерывной подготовки специалистов высокого уровня.
Да и имеющиеся ресурсы для обеспечения информационной безопасности, либо ликвидации последствий далеко не безграничны. Желательно, чтобы руководство в сфере информационной безопасности уже с первого раза принимало верное решение, так как последствия от ошибочного или недальновидного решения могут быть критическими для организации, вплоть до её закрытия.
Грамотная организация службы управления безопасности позволяет за малое время подготавливать оптимальные решения и наиболее эффективно использовать имеющиеся ресурсы.