 |
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
Понятие политики безопасности
Политика безопасности – совокупность правил, которым должны следовать люди, программы и устройства при действиях с информацией. Этот термин чаще всего используется по отношению к организации.
Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности [15].
Комплект документов может включать:
– Концепцию безопасности (систематически изложенные взгляды на основные направления, условия и порядок практического решения задач защиты деятельности организации от противоправных действий и недобросовестной конкуренции – цели и задачи, принципы, объекты защиты, виды угроз, правовые основы, техническое обеспечение и т.д.);
– Положение о конфиденциальной информации (перечень, учет, хранение и использование, порядок допуска, меры по контролю, ответственность);
– Положение об использовании информационной системы;
– Положение об использовании мобильных устройств и носителей информации;
– Положение об учете, хранении и использовании ключевой информации;
– Положение об использовании программного обеспечения;
– Положение об использовании сети Интернет;
– Положение об использовании электронной почты;
– Положение об обучении сотрудников;
– Положение о системе резервного копирования (система, стратегия, порядок, организация резервного копирования, задачи, права, ответственность администратора);
– Положение об отделе информационных технологий;
– Должностные инструкции – начальника отдела информационных технологий, инженера-электроника этого отдела и т.д. В них определяются требования, компетенция, выполняемые обязанности, права и ответственность.
В документах рассматриваются две группы мероприятий – по построению (формированию) системы защиты и по использованию системы для защиты информации.
Политика информационной безопасности определяет облик системы защиты информации – правовые нормы, организационные меры, программно-технические средства, процедуры, направленные на противодействие угрозам, минимизацию возможных последствий. Для каждого вида потенциальных проблем обычно назначается ответственный исполнитель.
Контроль состояния должен получать ответы на вопросы:
– Сколько компьютеров (вспомогательного оборудования) установлено в организации? Сколько их на рабочих местах, сколько в ремонте, сколько в резерве?
– Какие задачи и с какой целью решаются на каждом компьютере?
– Можно ли узнать каждый компьютер «в лицо» и обнаружить «маскарад» оборудования, когда какой-нибудь компьютер, его часть или программное обеспечение подменены?
– Есть ли уверенность в необходимости каждой единицы контролируемого оборудования и в том, что среди него нет ничего лишнего? Если от оборудования нет пользы, с точки зрения безопасности от него можно ожидать только вред.
– Каков порядок ремонта и технической профилактики компьютеров?
– Как проверяется оборудование, возвращаемое из ремонта, перед установкой на рабочее место?
– Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?
Аналогичные вопросы могут быть заданы и относительно программного обеспечения, и персонала.
Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому приходилось на практике заниматься вопросами информационной безопасности в автоматизированных системах, отмечают следующее: реальный интерес к проблеме защиты информации, проявляемый на верхнем уровне управления, на уровне подразделений, отвечающих за работоспособность автоматизированной системы, сменяется на резкое неприятие.
Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:
– появляются дополнительные ограничения для пользователей, затрудняющие использование и эксплуатацию автоматизированной системы организации;
– как правило, дополнительные действия, которые возлагаются на пользователей, не сопровождаются дополнительной оплатой труда;
– возникают дополнительные материальные затраты как на проведение таких работ, так и на расширение штата специалистов, занимающихся информационной безопасностью.
Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:
– принятие только организационных мер защиты информации;
– использование только технических средств защиты.
В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы, на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующего технического обеспечения) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.
Во втором случае, приобретаются и устанавливаются дополнительные технические средства. Их применение без соответствующей организационной поддержки только усиливает существующий беспорядок.
Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в компьютерных сетях. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.
По времени проведения мероприятия могут быть:
– разовые (однократные и повторяемые только при полном пересмотре принятых решений);
– периодические (через определенное время);
– проводимые при возникновении определенных условий или изменений в самой защищаемой системе или среде (по необходимости);
– постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.
К разовым мероприятиям относятся:
– общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты;
– мероприятия при проектировании, строительстве и оборудовании вычислительных центров и других объектов (исключение тайного проникновения в помещения, установки аппаратуры и т. п.);
– мероприятия при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых средств, документирование и т. п.);
– разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;
– внесение необходимых изменений и дополнений в организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов и действиям в случае кризисных ситуаций;
– определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
– разработка правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием компьютерных средств, а также используемых при их решении режимов доступа к данным; перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну);
– выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест обработки информации и каналов доступа к ней; оценка возможного ущерба, вызванного нарушением безопасности информации);
– организация пропускного режима;
– определение порядка учета, выдачи, использования и хранения съемных носителей информации, содержащих эталонные и резервные копии программ, архивные данные и т. п.;
– организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
– определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);
– создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы;
– определение перечня регулярно проводимых мероприятий и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях, возникающих из-за несанкционированного доступа, сбоев и отказов техники, ошибок в программах и действиях персонала, стихийных бедствий.
Периодически проводимые мероприятия:
– распределение и смена реквизитов разграничения доступа (паролей, ключей шифрования и т. п.);
– анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы;
– анализ состояния и оценки эффективности мер и применяемых средств защиты (периодически, с привлечением сторонних специалистов);
– пересмотр состава и построения системы защиты.
Мероприятия, проводимые по необходимости:
– осуществляемые при кадровых изменениях в составе персонала системы;
– осуществляемые при ремонте и модификациях оборудования и программного обеспечения;
– по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).
Постоянно проводимые мероприятия:
– противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности техники и носителей информации и т.п.;
– явный и скрытый контроль за работой персонала системы;
– контроль за применением мер защиты.
Все мероприятия осуществляются в соответствии с планом защиты, ревизию которого рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного его пересмотра. К их числу относятся изменения следующих компонентов объекта:
– Люди. Пересмотр может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т. д.
– Техника. Изменение плана может быть вызвано подключением других сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.
– Помещения. Пересмотр «Плана защиты» может быть вызван изменением территориального расположения компонентов объекта.
Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов.
Для государственных учреждений комплект подобных документов регламентируется централизовано, не требует самостоятельной разработки, как для вновь создаваемых коммерческих организаций и предприятий.
Поиск по сайту: