Электронная библиотека >> Теория экономических информационных систем

9.2. Административный уровень обеспечения ИБ

Основой мер административного уровня, то есть мер, предпринимаемых руководством организации по обеспечению ИБ, является политика безопасности.

Политика информационной безопасности – это совокупность правил, определяющих и ограничивающих виды деятельности объектов и участников системы информационной безопасности.

Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на обеспечение ИБ АС, защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию организации в области информационной безопасности, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить.

В документ, характеризующий политику безопасности организации, рекомендуется включать следующие разделы:

• вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

• организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

• классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

• штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

• раздел, освещающий вопросы физической защиты;

• управляющий раздел, описывающий подход к управлению компьютерами, ЭИС и компьютерными сетями;

• раздел, описывающий правила разграничения доступа к производственной информации;

• раздел, характеризующий порядок разработки и сопровождения систем;

• раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

• юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

При этом политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима ИБ должны содержать следующие этапы:

• определение методологии разработки политики безопасности;

• определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания;

• оценка рисков;

• управление рисками;

• выбор контрмер, обеспечивающих режим ИБ;

• аудит системы управления ИБ.

При этом определение методологии разработки политики безопасности сводится к следующим практическим шагам:

• определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:

• управление доступом к средствам вычислительной техники (СВТ), программам и данным;

• антивирусная защита;

• вопросы резервного копирования;

• проведение ремонтных и восстановительных работ;

• информирование об инцидентах в области ИБ;

• определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.

• структуризация контрмер по уровням.

• порядок сертификации на соответствие стандартам в области ИБ.

Описание границ системы, для которой должен быть обеспечен режим ИБ и, в рамках которой должна строиться система управления рекомендуется выполнять по следующему плану:

• структура организации; описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы,

• размещение средств СВТ и поддерживающей инфраструктуры,

• ресурсы информационной системы, подлежащие защите; рекомендуется рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО; для их оценки должна быть выбрана система критериев и методология получения оценок по этим критериям,

• технология обработки информации и решаемые задачи; для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.

В результате должен быть составлен документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности.

При создании корпоративных ЭИС возрастает роль систем защиты данных. В силу большой сложности разрабатываемых систем защиты данных требуется их сертификация специализированными организациями на соответствие международным и национальным стандартам. В этом случае повышаются эффективность и качество разрабатываемых систем защиты данных и возрастает степень доверия заказчиков к внедряемым ЭИС.

Следуя по пути интеграции, Европейские страны в 1991 г. приняли согласованные (гармонизированные) критерии оценки безопасности информационных технологий (InformationTechnologySecurityEvaluationCriteria, ITSEC) [3, 48], опубликованные от имени соответствующих органов четырех стран - Франции, Германии, Нидерландов и Великобритании.

Принципиально важной чертой европейских критериев является отсутствие априорных требований к условиям, в которых должна работать информационная система. Организация, запрашивающая сертификационные услуги, формулирует цель оценки, т.е. описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защитные функции. Задача органа сертификации - оценить, насколько полно достигаются поставленные цели разработанными функциями, т.е. насколько корректны и эффективны архитектура и реализация механизмов безопасности в описанных разработчиком условиях.

В европейских критериях средства, имеющие отношение к информационной безопасности, предлагается рассматривать на трех уровнях детализации. Наиболее абстрактный взгляд касается лишь целей безопасности. На этом уровне получают ответ на вопрос: зачем нужны функции безопасности? Второй уровень содержит спецификации функций безопасности, т. е. здесь выявляется, какая функциональность на самом деле обеспечивается. На третьем уровне содержится информация о механизмах безопасности, показывающих, как реализуется указанная функция.

К оглавлению

Назад к разделу "9.1. Законодательный уровень обеспечения ИБ"

Вперед к разделу "9.3. Процедурный уровень обеспечения ИБ"