Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.



 

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Политика информационной безопасности является объектом стандартизации. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799).

Проблема обеспечения желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических мероприятий и применения комплекса специальных средств и методов защиты информации.

Данный документ представляет методологическую основу практических мер (процедур) по реализации обеспечения информационной безопасности и содержит следующие группы сведений:

1. Основные положения информационной безопасности.

2. Область применения.

3. Цели и задачи обеспечения информационной безопасности.

4. Распределение ролей и ответственности.

5. Общие обязанности.

Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех производимых работ. Комплексный (системный) подход к построению любой системы включает в себя:

· изучение объекта внедряемой системы;

· оценку угроз безопасности объекта;

· анализ средств, которыми будем оперировать при построении системы;

· оценку экономической целесообразности;

· изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности;

· соотношение всех внутренних и внешних факторов;

· возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.

Задачами обеспечения информационной безопасности являются все действия, которые необходимо выполнить для достижения поставленных целей. В частности, необходимо решать такие задачи, как анализ и управление информационными рисками, расследование инцидентов информационной безопасности, разработка и внедрение планов непрерывности ведения бизнеса, повышение квалификации сотрудников компании в области информационной безопасности.

Таким образом, учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания системы защиты информации на основе комплексного подхода.

 

 


 

Выбор защитных мер.

Выбор организационных мер.

 

Для защиты информационных ресурсов организации, в обязательном порядке следует знакомить сотрудников компании с общими правилами защиты служебной информации и принципами работы средств её хранения и обработки.

Организационная защита информации — это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

· организацию охраны, режима, работу с кадрами, с документами;

· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Выбор защитных мер должен всегда включать в себя комбинацию организационных (не технических) и технических мер защиты. В качестве организационных рассматриваются меры, обеспечивающие физическую, персональную и административную безопасность. Защитные меры для физической безопасности включают в себя обеспечение прочности внутренних стен зданий, использование кодовых дверных замков, систем пожаротушения и охранных служб. Обеспечение безопасности персонала включает в себя проверку лиц при приеме на работу (особенно лиц, нанимающихся на важные с точки зрения обеспечения безопасности должности), контроль за работой персонала и реализацию программ знания и понимания мер защиты.
Административная безопасность включает в себя безопасные способы ведения документации, наличие методов разработки и принятия прикладных программ, а также процедур обработки инцидентов в случаях нарушения систем безопасности. При таком способе обеспечения безопасности очень важно, чтобы для каждой системы была разработана система ведения деловой деятельности организации, предусматривающая в том числе возможность появления непредвиденных обстоятельств (ликвидацию последствий нарушения систем безопасности) и включающая в себя соответствующую стратегию и план (планы). План должен содержать подробные сведения о важнейших функциях и приоритетах, подлежащих восстановлению, необходимых условиях обработки информации и способах организации, которые необходимо осуществлять в случае аварии или временного прекращения работы системы. План должен содержать перечень шагов, которые следует предпринять для обеспечения безопасности важнейшей информации, подлежащей обработке, не прекращая при этом ведения организацией деловых операций.

Организационные меры являются важным и одним из эффективных средств защиты информации, одновременно являясь фундаментом, на котором строится в дальнейшем вся система защиты.

Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:

· составление должностных инструкций для пользователей и обслуживающего персонала;

· создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;

· разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;

· обучение правилам информационной безопасности пользователей.

Для выбора защитных мер, обеспечивающих эффективную защиту при некоторых уровнях риска, необходимо рассмотреть результаты анализа риска. Наличие уязвимости к определенным видам угроз позволяет определить, где и в какой форме необходимо использование дополнительных мер защиты.

Нельзя использовать в работе компании непроверенное программное обеспечение, в отношении которого нет уверенности, что оно не создает несанкционированных копий, не формирует и не отсылает разработчикам по Интернету отчеты с информацией о работе компьютеров. Необходимо приобрести и установить сертифицированные средства защиты информации.

Необходимо запретить сотрудникам несанкционированную инсталляцию нового программного обеспечения и проинструктировать, что все получаемые по электронной почте исполняемые файлы должны сразу уничтожаться без запуска.

В обязательном порядке должны быть реализованы следующие организационные мероприятия:

1. для всех лиц, имеющих право доступа к средствам компьютерной техники, должны быть определены категории допуска;

2. определена административная ответственность для лиц за сохранность и санкционированность доступа к имеющимся информационным ресурсам;

3. налажен периодический системный контроль за качеством защиты информации посредством проведения регламентных работ как самим лицом, ответственным за безопасность, так и с привлечением специалистов;

4. проведена классификация информации в соответствии с ее важностью;

5. организована физическая защита.

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать следующие заявления:

· определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);

· заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;

· основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;

· краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:

· соответствие требованиям законодательства, нормативной базы и договоров;

· требования к повышению осведомленности, обучению и тренингам в области безопасности;

· управление непрерывностью бизнеса;

· последствия нарушений политики информационной безопасности;

· определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;

· ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.

В случае, если для обеспечения безопасности системы информационных технологий используется базовый подход, выбор защитных мер сравнительно прост. Справочные материалы (каталоги) по защитным мерам безопасности предлагают набор защитных мер, способных защитить систему информационных технологий от наиболее часто встречающихся видов угроз. В этом случае рекомендуемые каталогом меры обеспечения безопасности следует сравнить с уже действующими или запланированными, а упомянутые в каталоге меры (отсутствующие или применение которых не планируется) должны составить перечень защитных мер, которые необходимо реализовать для обеспечения базового уровня безопасности.

 

 


 


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-08-31; Просмотров: 1909; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.022 с.)
Главная | Случайная страница | Обратная связь