Сравнение отечественных и зарубежных подходов к защите ГИС

Размещено на http://www.allbest.ru/

Южный Федеральный Университет

Сравнение отечественных и зарубежных подходов к защите ГИС

Агеев В.О.

Таганрог, Россия

Относительно недавно зарубежные и отечественные бюро сертификации обновили нормативно-правовые документы по подходам защиты к ГИС.

Поэтому необходимо провести сравнение обоих подходов, чтобы выявить сходства и различия этих подходов.

Начнем наше исследование с отечественного подхода.

На основании документа [1] первоначально необходимо классифицировать нашу Информационную Систему. Устанавливаются четыре класса защищенности информационной системы (первый класс (К 1), второй класс (К 2), третий класс (К 3), четвертый класс (К 4)), определяющие уровни защищенности содержащейся в ней информации.

Далее необходимо определить угрозы безопасности информации. Они определяются на основании оценки возможностей внешних и внутренних нарушителей.

После определения этих двух параметров необходимо на основании [2] определить меры защиты информационной системе по следующему алгоритму

1. Необходимо взять базовый набор мер защиты информации

2. Затем необходимо адаптировать базовый набор мер защиты в соответствии с нашей информационной системой.

3. Потом необходимо уточнить адаптированный базовый набор мер защиты информации с помощью выбранных ранее угроз безопасности нарушителя.

4. В конце концов, необходимо дополнить уточненный адаптированный базовый набор мер защиты информации с помощью требований нормативно правовых актов.

В итоге мы получим уникальный набор мер для защиты необходимой ГИС.

Теперь рассмотрим зарубежный подход к защите ГИС.

На основании [3] классификация информационной системы проходит в три этапа.

1. Framework Core(основа) это набор мер, желаемых результатов, и применимых ссылок, которые являются общими для критических секторов инфраструктуры. Смысл данной классификации заключается в выборе необходимых для системы направлений на основе таблицы 1.

Таблица 1. Стуруктура Framework Core

2. Framework Implementation Tiers (типы реализаций). Выделятся четыре типа реализации: частичная, информирование рисков, повторение и адаптация.

Тип определяется на основании [3] и трех параметров: Процесса управления рисками, Комплексной программы по управлению рисками и Внешним Участием.

3. Framework Profile (профиль) адаптирует Functions, Categories, and Subcategories в Framework Core согласно требованиями экономических задач, допуска риска, ресурсов и типов организации.

Затем идет анализ. Составление профилей безопасности и оценка рисков по следующим алгоритмам.

1. Приоритеты и цели применения.

Организация определяет цели бизнеса / миссии и выделяет приоритеты высокого уровня.

2. Ориентир.

После того, как сфера применения программы кибербезопасности была определена для бизнеса, организация определяет соответствующие системы и средства, нормативные требования, и общий подход к рисками. Затем организация определяет угрозы, и уязвимости.

3. Создание профиля Безопасности

Организация разрабатывает текущий профиль, указав какие категории и подкатегории Framework Core в настоящее время достигнуты.

4. Проводить оценку риска.

Эта оценка может руководствоваться всеми процессами управления рисками или предыдущей деятельностью по оценке рисков.

5. Создать целевого профиля.

Организация создает целевой профиль, который фокусируется на оценку структуры категорий и подкатегорий, описываемых в Framework Core.

6. Определение, анализ и определение приоритетных уязвимостей.

Организация сравнивает текущий профиль Безопасности и целевого профиля для определения уязвимостей

7. Реализация Плана действий.

Организация определяет, какие действия следует предпринять в отношении уязвимости, если таковые будут обнаружены на предыдущем шаге.

После актуализации Framework Core на основе приложения А в документе [3] выбираются меры защиты ГИС.

Как можно видеть из приведенного анализа подходы к защите ГИС у Российских и зарубежных коллег примерно одинаковые. Так же производится классификация информационных систем, только немного разными путями. Так же производится актуализация базового набора мер.

На основании этой работ можно сделать вывод что подход к защите ГИС у отечественных и зарубежных специалистов очень похожи

Список литературы

кибербезопасность информационный риск защита

1. Методический документ "Меры защиты информации в государственных информационных системах", февраль 11, 2014

2. Приказ № 17 "об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", февраль 11 2014

3. "Framework for Improving Critical Infrastructure Cybersecurity", Version 1.0 National Institute of Standards and Technology, February 12, 2014

Размещено на Allbest.ru