|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Понятие политики безопасностиПолитика безопасности – совокупность правил, которым должны следовать люди, программы и устройства при действиях с информацией. Этот термин чаще всего используется по отношению к организации. Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности [15]. Комплект документов может включать: – Концепцию безопасности (систематически изложенные взгляды на основные направления, условия и порядок практического решения задач защиты деятельности организации от противоправных действий и недобросовестной конкуренции – цели и задачи, принципы, объекты защиты, виды угроз, правовые основы, техническое обеспечение и т.д.); – Положение о конфиденциальной информации (перечень, учет, хранение и использование, порядок допуска, меры по контролю, ответственность); – Положение об использовании информационной системы; – Положение об использовании мобильных устройств и носителей информации; – Положение об учете, хранении и использовании ключевой информации; – Положение об использовании программного обеспечения; – Положение об использовании сети Интернет; – Положение об использовании электронной почты; – Положение об обучении сотрудников; – Положение о системе резервного копирования (система, стратегия, порядок, организация резервного копирования, задачи, права, ответственность администратора); – Положение об отделе информационных технологий; – Должностные инструкции – начальника отдела информационных технологий, инженера-электроника этого отдела и т.д. В них определяются требования, компетенция, выполняемые обязанности, права и ответственность. В документах рассматриваются две группы мероприятий – по построению (формированию) системы защиты и по использованию системы для защиты информации. Политика информационной безопасности определяет облик системы защиты информации – правовые нормы, организационные меры, программно-технические средства, процедуры, направленные на противодействие угрозам, минимизацию возможных последствий. Для каждого вида потенциальных проблем обычно назначается ответственный исполнитель. Контроль состояния должен получать ответы на вопросы: – Сколько компьютеров (вспомогательного оборудования) установлено в организации? Сколько их на рабочих местах, сколько в ремонте, сколько в резерве? – Какие задачи и с какой целью решаются на каждом компьютере? – Можно ли узнать каждый компьютер «в лицо» и обнаружить «маскарад» оборудования, когда какой-нибудь компьютер, его часть или программное обеспечение подменены? – Есть ли уверенность в необходимости каждой единицы контролируемого оборудования и в том, что среди него нет ничего лишнего? Если от оборудования нет пользы, с точки зрения безопасности от него можно ожидать только вред. – Каков порядок ремонта и технической профилактики компьютеров? – Как проверяется оборудование, возвращаемое из ремонта, перед установкой на рабочее место? – Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования? Аналогичные вопросы могут быть заданы и относительно программного обеспечения, и персонала. Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому приходилось на практике заниматься вопросами информационной безопасности в автоматизированных системах, отмечают следующее: реальный интерес к проблеме защиты информации, проявляемый на верхнем уровне управления, на уровне подразделений, отвечающих за работоспособность автоматизированной системы, сменяется на резкое неприятие. Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности: – появляются дополнительные ограничения для пользователей, затрудняющие использование и эксплуатацию автоматизированной системы организации; – как правило, дополнительные действия, которые возлагаются на пользователей, не сопровождаются дополнительной оплатой труда; – возникают дополнительные материальные затраты как на проведение таких работ, так и на расширение штата специалистов, занимающихся информационной безопасностью. Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются: – принятие только организационных мер защиты информации; – использование только технических средств защиты. В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы, на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующего технического обеспечения) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются. Во втором случае, приобретаются и устанавливаются дополнительные технические средства. Их применение без соответствующей организационной поддержки только усиливает существующий беспорядок. Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в компьютерных сетях. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил. По времени проведения мероприятия могут быть: – разовые (однократные и повторяемые только при полном пересмотре принятых решений); – периодические (через определенное время); – проводимые при возникновении определенных условий или изменений в самой защищаемой системе или среде (по необходимости); – постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия. К разовым мероприятиям относятся: – общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты; – мероприятия при проектировании, строительстве и оборудовании вычислительных центров и других объектов (исключение тайного проникновения в помещения, установки аппаратуры и т. п.); – мероприятия при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых средств, документирование и т. п.); – разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности; – внесение необходимых изменений и дополнений в организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов и действиям в случае кризисных ситуаций; – определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы; – разработка правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием компьютерных средств, а также используемых при их решении режимов доступа к данным; перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну); – выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест обработки информации и каналов доступа к ней; оценка возможного ущерба, вызванного нарушением безопасности информации); – организация пропускного режима; – определение порядка учета, выдачи, использования и хранения съемных носителей информации, содержащих эталонные и резервные копии программ, архивные данные и т. п.; – организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией; – определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать); – создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы; – определение перечня регулярно проводимых мероприятий и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях, возникающих из-за несанкционированного доступа, сбоев и отказов техники, ошибок в программах и действиях персонала, стихийных бедствий. Периодически проводимые мероприятия: – распределение и смена реквизитов разграничения доступа (паролей, ключей шифрования и т. п.); – анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы; – анализ состояния и оценки эффективности мер и применяемых средств защиты (периодически, с привлечением сторонних специалистов); – пересмотр состава и построения системы защиты. Мероприятия, проводимые по необходимости: – осуществляемые при кадровых изменениях в составе персонала системы; – осуществляемые при ремонте и модификациях оборудования и программного обеспечения; – по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.). Постоянно проводимые мероприятия: – противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности техники и носителей информации и т.п.; – явный и скрытый контроль за работой персонала системы; – контроль за применением мер защиты. Все мероприятия осуществляются в соответствии с планом защиты, ревизию которого рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного его пересмотра. К их числу относятся изменения следующих компонентов объекта: – Люди. Пересмотр может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т. д. – Техника. Изменение плана может быть вызвано подключением других сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения. – Помещения. Пересмотр «Плана защиты» может быть вызван изменением территориального расположения компонентов объекта. Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов. Для государственных учреждений комплект подобных документов регламентируется централизовано, не требует самостоятельной разработки, как для вновь создаваемых коммерческих организаций и предприятий. Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.005 сек.) |