Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности - файл 1.doc


Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности
скачать (2145 kb.)

Доступные файлы (1):

1.doc2145kb.06.12.2011 11:19скачать

1.doc

1   2   3   4   5   6   7   8   9   ...   14
^

ГЛАВА 11. РЕЖИМ  ОСНОВА ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ




11.1. Разработка Политики безопасности



Автоматизация процессов деятельности (бизнес-процессов) практически любого современного предприятия способствует увеличению производительности труда и росту «прозрачности» управления за счет расширения функциональности корпоративной информационной системы (КИС). С другой стороны, одновременно с этим повышается уровень информационных рисков. Так, существенному повышению возможности несанкционированного использования или модификации информации, блокированию процесса ее получения, или введению в оборот ложной информации, приводящей к принятию ошибочных решений и, как следствие, к значительному материальному ущербу, способствуют:

    • увеличение объемов обрабатываемой, передаваемой и хранимой в КИС информации;

    • сосредоточение в базах данных информации различного уровня важности и конфиденциальности;

    • расширение круга пользователей, имеющих доступ к информационным ресурсам;

    • увеличение числа удаленных рабочих мест, появление мобильных рабочих мест;

    • широкое использование для передачи данных различных каналов связи, в т.ч. глобальной сети Internet и др.

С технической точки зрения, существует множество решений, направленных на борьбу с основными проблемами безопасности информации, причем рынок подобных решений постоянно увеличивается. Однако постоянно меняющаяся политическая, социальная и экономическая ситуация, быстрые темпы развития информационных технологий, необходимость постоянного совершенствования систем защиты информации не позволяют с высокой степенью детализации заранее определить конкретные проектные и технические решения, позволяющие достичь требуемого уровня обеспечения безопасности информации. Более того, для комплексного решения проблемы помимо технической необходимо учитывать и нормативно-организационную составляющую, включающую в себя: подготовка квалифицированных кадров, разработка перспективных планов приобретения средств информатизации и защиты информации, совершенствования информационной инфраструктуры организации и т.д.

Анализ мирового и отечественного опыта обеспечения безопасности диктует необходимость создания целостной системы обеспечения безопасности информации (СОБИ), взаимоувязывающей разнообразные организационные и технические меры защиты, использующей современные методы прогнозирования, анализа и моделирования. Для построения СОБИ, в максимальной степени отвечающей интересам бизнеса, необходимо на самом раннем этапе выработать стратегическую линию, долгосрочные подходы к комплексному решению задач обеспечения безопасности информации, учитывающие прогнозы грядущих изменений и позволяющие адаптировать СОБИ к любой достаточно сложной и изменчивой бизнес-ситуации.

Кроме того, создание полномасштабной СОБИ требует значительных финансовых затрат. Покрыть требуемые затраты сразу, как правило, не представляется возможным. Это приводит к необходимости поэтапного построения системы (развертывания ее отдельных элементов). Очевидно, что для целостного объединение этих элементов, разрабатываемых или закупаемых в разное время, в единую систему защиты, необходим единый архитектурный замысел.

Таким образом, для начала работ по защите информации на практике руководству предприятия необходимо принять решение о том, как оно планирует защищаться, выбрать методы и процедуры защиты информации для своего конкретного случая, определить характеристики используемых технических средств. Иными словами, организация должна сформировать свою Политику безопасности информации.

^ Политика безопасности информации  совокупность нормативных документов, определяющих (или устанавливающих) порядок обеспечения безопасности информации на конкретном предприятии, а также выдвигающих требования по поддержанию подобного порядка. Важно подчеркнуть, что документы, разрабатываемые при формировании Политики безопасности должны иметь официальный юридический статус (подпись первого лица), обязательный для исполнения всеми сотрудниками предприятия.

Разработка Политики безопасности информации является основополагающим этапом при разработке и последующем внедрении СОБИ, так как от правильного формирования корпоративных правил и процедур обеспечения безопасности в определяющей степени зависит уровень всех дальнейших проектных решений и, в конечном итоге  уровень безопасности. Если требования, выдвинутые в начале разработки не полны или ошибочны, то,
СОБИ в ряде случаев не сможет полностью отвечать своему предназначению.

Очевидно, что разработать Политику безопасности информации, т.е. построить полную систему правил и требований по безопасности информации, возможно только в том случае, если проанализированы все информационные риски и определена нормативная база, регулирующая вопросы защиты информации. Поэтому предварительным этапом для разработки Политики безопасности должно являться Комплексное обследование защищенности КИС организации.

Разработка Политики безопасности преследует следующие основные цели:

    • формирование системы взглядов на проблему обеспечения безопасности информации и пути ее решения с учетом современных тенденций развития технологий и методов защиты информации;

    • формулирование рекомендаций к повышению степени защищенности информационной системы;

    • выработка общих требований к средствам защиты информации.

Как говорилось выше, под Политикой безопасности информации понимается согласованный по целям защиты информации пакет нормативных, организационно-распорядительных и эксплуатационных документов, регламентирующих все вопросы организации, управления и контроля безопасности, а также эксплуатации средств защиты. Структура данного пакета документов представляется в виде трех иерархических уровней.

Первый уровень Политики безопасности информации содержит головной документ  ^ Концепцию информационной безопасности, определяющую цели и задачи защиты информации в КИС, корпоративные требования и практические правила управления информационной безопасностью, состав других документов, регламентирующих вопросы безопасности информации.

«Концепция безопасности информации» отражает официальную принятую в организации систему взглядов на проблему обеспечения безопасности информации и пути ее решения с учетом современных тенденций развития информатизации в Российской Федерации. По своей сути это  стратегия решения вопросов защиты информации.

Таким образом, на первом уровне Политики безопасности формулируются цели обеспечения информационной безопасности, вырабатываются и внедряются единые корпоративные стандарты, которые в дальнейшем определяют правила и требования по всем вопросам информационной безопасности и становятся обязательными для всех структурных подразделений организации. Данный документ является системообразующим документом, интегрирующим все документы Политики безопасности по поставленным целям и задачам информационной безопасности.

Второй уровень, как правило, содержит два документа ^ Регламент обеспечения безопасности информаци и Профиль защиты, которые являются нормативными или организационно-распорядительными документами, т.е. регламентируют все вопросы организации и проведения работ по защите информации, положения о инфраструктурных элементов информационной безопасности, разрешительной системе допуска исполнителей к документам и сведениям, регламентах выполнения информационных процессов, должностных инструкций и т.д., а также технические требования к составляющим СОБИ.

«Регламент обеспечения безопасности информации» разрабатывается на основании «Концепции безопасности информации» и в директивной форме излагает порядок обращения с защищаемой информацией, основные правила действий сотрудников и их ответственность в обеспечении безопасности информации в любых ситуациях и на всех стадиях жизненного цикла КИС предприятия.

«Профиль защиты» разрабатывается в соответствии с ГОСТ ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» и содержит технические требования к программно-аппаратным средствам защиты, в том числе и встроенным в общесистемное программное обеспечение.

По своей сути Регламент и Профиль формируют тактические приемы реализации стратегических целей, определенных Концепцией, и устанавливают ответственность должностных лиц.

После разработки документов первого и второго уровней проводится следующий этап работ (или третий уровень)  разработка исполнительной документации, включающей в себя различные должностные положения и инструкции, целесообразность которых определяется по результатам первого и второго этапов. Кроме того, данный уровень содержит эксплуатационные документы средств защиты информации, обеспечивающих систему разграничения доступа к защищаемым ресурсам, систему мониторинга и контроля за средствами защиты. Третий уровень политики безопасности опирается на эксплуатационную документацию используемых программно-технических средств защиты, общесистемного и прикладного программного обеспечения, а также на стратегию и тактику защиты, обеспечиваемую техническими и программными средствами СОБИ и КИС.

Таким образом, при формировании Политики безопасности необходимо:

    • определить перечень нормативных документов, необходимых для подготовки Концепции информационной безопасности и Регламента обеспечения безопасности информации;

    • сформировать терминологический аппарат;

    • уяснить основные направления обеспечения безопасности информации в КИС и описать основные требования к СОБИ, к системе управления безопасностью информации, к инженерному и техническому оборудованию помещений и др.;

    • разработать проект Концепции, отражающий основные цели и задачи обеспечения безопасности информации на стадии проектирования и создания СОБИ, на стадии эксплуатации СОБИ, а также вопросы контроля обеспечения безопасности информации, страхования информационных рисков и ответственности должностных лиц за исполнение положений Концепции;

    • разработать Регламент обеспечения безопасности информации, в котором будет дано описание общих правил разграничения доступа к информации, определение обязанности персонала по обеспечению безопасности информации, правила использования персональных компьютеров и т.п.



1   2   3   4   5   6   7   8   9   ...   14



Скачать файл (2145 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации