Основные требования, предъявляемые к комплексной системе защиты информации в организации

Уровни политики безопасности

· Верхний

· Средний

· Нижний

Верхний уровень политики безопасности

Верхний уровень политики безопасности определяет решения, которые затрагивают организацию в целом. Эти решения носят весьма общий характер и исходят, в основном, от руководства организации. Например формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить определенную степень законопослушности персонала, а для этого нужно выработать систему поощрений и наказаний.

Средний уровень политики безопасности

Средний уровень политики безопасности определяет решение вопросов, которые не являются основными и касаются отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией.

В пример к таким вопросам - отношение к доступу в Internet, использование домашних компьютеров, использование съемных носителей и т.д.

Нижний уровень политики безопасности

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

При исследовании данной политики следует ответить на ряд вопросов :

· Кто имеет право доступа к объектам, поддерживаемым сервисом?

· При каких условиях можно читать и модифицировать данные?

· Как организован удаленный доступ к сервису?

Обязанности различных категорий персонала:

1.Руководители подразделений отвечают за доведение положений политики безопасности до пользователей. Они обязаны:

· Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные;

· Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;

· 2.Администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для претвор­ния в жизнь политики безопасности. Они обязаны:

· Обеспечить защиту оборудования корпоративной сети, в том числе интерфейсов с другими сетями;

· Оперативно и эффективно реагировать на события, представляющих угрозу;

· Информировать администраторов сервисов о попытках нарушения защиты;

3.Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности. Они обязаны:

· Управлять правами доступа пользователей к обслуживаемым объектам;

· Оперативно и эффективно реагировать на события, таящие угрозу;

· Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставле­нии информации для их наказания;

· Регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

4.Пользователи обязаны работать с корпоративной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситу­ациях. Они обязаны:

· Знать и соблюдать законы и установленные правила, принятые в организации, политику и процедуры безопасности;

· Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;

· Использовать механизм защиты файлов и должным образом задавать права доступа;

· Выбирать пароли в соответствии с процедурами политики безопасности, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;

· Информировать администраторов или руководство о нарушениях безопас­ности и иных подозрительных ситуациях;

· Не использовать уязвимости в защите сервисов и корпоративной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;

· Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;

Основные требования, предъявляемые к комплексной системе защиты информации в организации.

Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

— она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;

— она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;

— она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;

— она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;

— она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;

— она должна быть компонентно, логически, технологически и экономически обоснованной;

— она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;

— она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;

— она должна быть непрерывной;

— она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации — непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:

 

— безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;

— никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;

— никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.

 

Данные требования и пути совершенствования являются основными, вне зависимости от типа организации и её вида деятельности. Особенно хотелось бы обратить внимание на последнюю фразу, о том, что никакую систему нельзя считать абсолютно надежной. У руководителя организации никогда не должна быть полная уверенность, что его система защищена, ведь всегда найдется такой человек, который сможет взломать/разрушить эту систему. Не стоить забывать и про подотчетность нижестоящим органам вышестоящим, организация должна работать как одна единственная система.