Информационная безопасность

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Проведение политики информационной безопасности на предприятии

Всякой удачной деятельности предшествует стадия составления плана по достижению максимальной безопасности, заключающаяся в выработке политики безопасности.

Непременное условие успешной деятельности любой организации заключается в наличии комплексной системы безопасности, которая характеризуется обдуманностью, сбалансированностью защиты, разработкой точных организационных и технических мероприятий и надзором над их выполнением [56].

Разным угрозам безопасности можно дать вероятности их реализации. Вследствие умножения вероятности осуществления угрозы на вызываемый ущерб ее исполнении зарождается риск угрозы. После этого можно приняться за разработку политики безопасности [56].

Первоначально нужно провести аудит информационных процессов организации и выявить наиболее важную информацию, которая подлежит защите. Этот аудит завершается составлением перечня секретной информации организации и ее подразделений, где эта информация находится в употреблении, лиц, имеющих допуск к ней, а также следствий утраты (неправильности) этой информации.

Политика безопасности одновременно является техническим и организационно-правовым документом. При ее выработке следует руководствоваться принципом разумной достаточности и здравым смыслом.

Она представляет собой документ «верхнего» уровня, содержащий данные о лицах, ответственных за безопасность, их полномочиях и ответственности, организации доступа к информационным ресурсам, регистрации служащих и посетителей, применении программных и технических защитных средств.

Под принципом разумной достаточности подразумевается то, что истрачено на обеспечение информационной безопасности не должно быть больше величины возможного убытка от ее потери.

В политике безопасности необходимо уделять большое внимание разграничению области ответственности между службой безопасности предприятия и IT-зоной. В политике безопасности не нужно разрабатывать в деталях должностные обязанности сотрудников. Они должны подготавливаться на базе политики, а не внутри нее [56].

Дополнительно рассматриваются вопросы обеспечения безопасности при обработке информации в автоматизированных системах: локальных сетях и автономно действующих компьютерах. Необходимо определить, как защитить серверы и иные устройства сети, режим употребления сменных носителей информации, их хранения, маркировки, как включать изменения в программные средства [56].

Полезны общие рекомендации [56]:

  • • необходимо наличие в системе администратора безопасности;
  • • необходимо назначение ответственного за эксплуатацию каждого устройства;
  • • на учтенных носителях должны быть указаны должность и фамилия работника, номер, гриф; недопустимо употребление неучтенных носителей информации;
  • • для того, чтобы был разделен доступ работников целесообразно использовать согласование смарт-карт и паролей. Пароли должен генерировать администратор безопасности и выдавать их сотрудникам под расписки, а хранить их, как и другую секретную информацию;
  • • системный блок компьютера должен опечатываться ответственным и работником ГГ-службы;
  • • при отсутствии потребности эксплуатировать CD-ROM, дисководы, то их нужно снять с компьютеров;
  • • лучше употреблять съемные жесткие диски, а в конце рабочего дня закрывать их в сейф;
  • • установку всех программных средств должен производить лишь сотрудник 1Т-службы.

С большим вниманием следует подходить к подключению к Интернету своих ресурсов информации. Этому вопросу в политике безопасности необходимо выделить специальный раздел.

При подключении к Интернету преследуются цели [56]:

  • • получения дополнительной информации;
  • • для размещения рекламных сведений о продаваемых товарах, предоставляемых услугах и т. д.;
  • • для организации совместной работы сотрудников на дому или находящихся далеко офисов.

Отличным с позиций безопасности было бы выделение отдельного компьютера, на котором не находится секретная информация.

Известно два подхода к оценке безопасности. В первом подходе безопасность определяется на качественном уровне экспертом. В этом подходе может находиться субъективизм. Поэтому желательно иметь количественную оценку, которую признавали бы и предприятия — возможные партнеры.

Стандарт ISO 17 799 предоставляет возможность получения количественной оценки комплексной безопасности организации.

По существу программное обеспечение является вопросником.

Трудно судить, насколько актуальна эта процедура для российских организаций, но любопытен сам подход [56].

Следует подчеркнуть, что требуется постоянный и эффективный надзор над проведением политики безопасности, поскольку все технические мероприятия в сфере обеспечения безопасности могут стать бесполезными без осуществления надлежащего контроля [56].

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >