АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Понятие политики безопасности

Читайте также:
  1. I. Общие требования безопасности.
  2. I. Понятие и значение охраны труда
  3. I. Понятие общества.
  4. II. ОСНОВНОЕ ПОНЯТИЕ ИНФОРМАТИКИ – ИНФОРМАЦИЯ
  5. II. Понятие социального действования
  6. II. Цель и задачи государственной политики в области развития инновационной системы
  7. IV. Механизмы и основные меры реализации государственной политики в области развития инновационной системы
  8. S: Управление риском или как повысить уровень безопасности
  9. Авторское право: понятие, объекты и субъекты
  10. Аграрной политики
  11. Администрирование средств безопасности
  12. АКСИОМЫ БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ

Политика безопасности – совокупность правил, которым должны следовать люди, программы и устройства при действиях с информацией. Этот термин чаще всего используется по отношению к организации.

Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности [15].

Комплект документов может включать:

– Концепцию безопасности (систематически изложенные взгляды на основные направления, условия и порядок практического решения задач защиты деятельности организации от противоправных действий и недобросовестной конкуренции – цели и задачи, принципы, объекты защиты, виды угроз, правовые основы, техническое обеспечение и т.д.);

– Положение о конфиденциальной информации (перечень, учет, хранение и использование, порядок допуска, меры по контролю, ответственность);

– Положение об использовании информационной системы;

– Положение об использовании мобильных устройств и носителей информации;

– Положение об учете, хранении и использовании ключевой информации;

– Положение об использовании программного обеспечения;

– Положение об использовании сети Интернет;

– Положение об использовании электронной почты;

– Положение об обучении сотрудников;

– Положение о системе резервного копирования (система, стратегия, порядок, организация резервного копирования, задачи, права, ответственность администратора);

– Положение об отделе информационных технологий;

– Должностные инструкции – начальника отдела информационных технологий, инженера-электроника этого отдела и т.д. В них определяются требования, компетенция, выполняемые обязанности, права и ответственность.

В документах рассматриваются две группы мероприятий – по построению (формированию) системы защиты и по использованию системы для защиты информации.

Политика информационной безопасности определяет облик системы защиты информации – правовые нормы, организационные меры, программно-технические средства, процедуры, направленные на противодействие угрозам, минимизацию возможных последствий. Для каждого вида потенциальных проблем обычно назначается ответственный исполнитель.

Контроль состояния должен получать ответы на вопросы:

– Сколько компьютеров (вспомогательного оборудования) установлено в организации? Сколько их на рабочих местах, сколько в ремонте, сколько в резерве?

– Какие задачи и с какой целью решаются на каждом компьютере?

– Можно ли узнать каждый компьютер «в лицо» и обнаружить «маскарад» оборудования, когда какой-нибудь компьютер, его часть или программное обеспечение подменены?

– Есть ли уверенность в необходимости каждой единицы контролируемого оборудования и в том, что среди него нет ничего лишнего? Если от оборудования нет пользы, с точки зрения безопасности от него можно ожидать только вред.

– Каков порядок ремонта и технической профилактики компьютеров?

– Как проверяется оборудование, возвращаемое из ремонта, перед установкой на рабочее место?

– Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?

Аналогичные вопросы могут быть заданы и относительно программного обеспечения, и персонала.

Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому приходилось на практике заниматься вопросами информационной безопасности в автоматизированных системах, отмечают следующее: реальный интерес к проблеме защиты информации, проявляемый на верхнем уровне управления, на уровне подразделений, отвечающих за работоспособность автоматизированной системы, сменяется на резкое неприятие.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

– появляются дополнительные ограничения для пользователей, затрудняющие использование и эксплуатацию автоматизированной системы организации;

– как правило, дополнительные действия, которые возлагаются на пользователей, не сопровождаются дополнительной оплатой труда;

– возникают дополнительные материальные затраты как на проведение таких работ, так и на расширение штата специалистов, занимающихся информационной безопасностью.

Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:

– принятие только организационных мер защиты информации;

– использование только технических средств защиты.

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы, на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующего технического обеспечения) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.

Во втором случае, приобретаются и устанавливаются дополнительные технические средства. Их применение без соответствующей организационной поддержки только усиливает существующий беспорядок.

Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в компьютерных сетях. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

По времени проведения мероприятия могут быть:

– разовые (однократные и повторяемые только при полном пересмотре принятых решений);

– периодические (через определенное время);

– проводимые при возникновении определенных условий или изменений в самой защищаемой системе или среде (по необходимости);

– постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

К разовым мероприятиям относятся:

– общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты;

– мероприятия при проектировании, строительстве и оборудовании вычислительных центров и других объектов (исключение тайного проникновения в помещения, установки аппаратуры и т. п.);

– мероприятия при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых средств, документирование и т. п.);

– разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

– внесение необходимых изменений и дополнений в организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов и действиям в случае кризисных ситуаций;

– определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

– разработка правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием компьютерных средств, а также используемых при их решении режимов доступа к данным; перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну);

– выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест обработки информации и каналов доступа к ней; оценка возможного ущерба, вызванного нарушением безопасности информации);

– организация пропускного режима;

– определение порядка учета, выдачи, использования и хранения съемных носителей информации, содержащих эталонные и резервные копии программ, архивные данные и т. п.;

– организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

– определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

– создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы;

– определение перечня регулярно проводимых мероприятий и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях, возникающих из-за несанкционированного доступа, сбоев и отказов техники, ошибок в программах и действиях персонала, стихийных бедствий.

Периодически проводимые мероприятия:

– распределение и смена реквизитов разграничения доступа (паролей, ключей шифрования и т. п.);

– анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы;

– анализ состояния и оценки эффективности мер и применяемых средств защиты (периодически, с привлечением сторонних специалистов);

– пересмотр состава и построения системы защиты.

Мероприятия, проводимые по необходимости:

– осуществляемые при кадровых изменениях в составе персонала системы;

– осуществляемые при ремонте и модификациях оборудования и программного обеспечения;

– по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).

Постоянно проводимые мероприятия:

– противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности техники и носителей информации и т.п.;

– явный и скрытый контроль за работой персонала системы;

– контроль за применением мер защиты.

Все мероприятия осуществляются в соответствии с планом защиты, ревизию которого рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного его пересмотра. К их числу относятся изменения следующих компонентов объекта:

Люди. Пересмотр может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т. д.

Техника. Изменение плана может быть вызвано подключением других сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.

Помещения. Пересмотр «Плана защиты» может быть вызван изменением территориального расположения компонентов объекта.

Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов.

Для государственных учреждений комплект подобных документов регламентируется централизовано, не требует самостоятельной разработки, как для вновь создаваемых коммерческих организаций и предприятий.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.013 сек.)