Политика информационной безопасности в организациях

В работе по обеспечению информационной безопасности можно выделить несколько направлений:

- защита информации, обрабатываемой в автоматизированных системах (например, антивирусная защита);

- защита данных, передаваемых между подразделениями;

- использование средств защиты от несанкционированного доступа;

- использование электронной цифровой подписи и систем электронного документооборота;

- обеспечение безопасности при организации международного информационного обмена.

Политика безопасности определяется как совокупность документирован­ных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

- невозможность миновать защитные средства (если у злоумышленника появится возможность миновать защитные средства, он, разумеется, так и сделает);

- усиление самого слабого звена (злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью, и часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема приобретает нетехнический характер);

- невозможность перехода в небезопасное состояние (принцип означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ);

- минимизация привилегий (принцип предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей);

- разделение обязанностей (принцип предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора);

- эшелонированность обороны (принцип предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать, программно-технические средства, за идентификацией и аутентификацией – управление доступом и, как последний рубеж, – протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий);

- разнообразие защитных средств (принцип рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем);

- простота и управляемость информационной системы (только для простого защит­ного средства можно формально или неформально доказать его корректность, только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное админи­стрирование);

- обеспечение всеобщей поддержки мер безопасности (принцип носит нетехнический характер; если сотрудники считают информационную безопасность чем-то излишним, режим безопасности сформировать не удастся; следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, на его постоянное обучение).

Методы и средства обеспечения информационной безопасности экономического объекта представлены на рис. 2.

Рис. 2. Методы и средства информационной безопасности экономического объекта

Методами обеспечения защиты информации на предприятии являются следующие:

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.).

Управление доступом – метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

- идентификацию пользователей, персонала и ресурсов информацион­ной системы (присвоение каждому объекту персонального идентифи­катора);

- аутентификацию (установления подлинности) объекта или субъекта по идентификатору;

- проверку полномочий (проверка соответствия времени обращения, запрашиваемых ресурсов и процедур установленному регла­менту);

- регистрацию обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, задержка работ, отказ в за­просе при попытках несанкционированных действий).

Маскировка – метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия.

Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

Принуждение – метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной и уголовной ответственности.

Побуждение – метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.

Указанные выше методы обеспечения информационной безопасности реализуются с помощью следующих основных средств:

- физических,

- аппаратных,

- программных,

- организационных,

- законодательных и

- морально-этических.

Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.

Аппаратные средства защиты – это электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники (терминалов, процессоров, периферийного оборудования, линий связи и т.д.).

Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля. Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия.

Организационные средства – организационно-технические и организационно-правовые мероприятия по регламентации поведения персонала.

Законодательные средства – правовые акты страны, которые регламентируют правила использования, обработки и передачи информации ограниченного доступа и которые устанавливают меры ответственности за нарушение этих правил.

Морально-этические средства – нормы, традиции в обществе, например: Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ в США.

Отметим типичные недостатки системы ИБ экономического объекта:

- узкое, несистемное понимание проблемы ИБ объекта;

- пренебрежение профилактикой угроз, работа по принципу «Появилась угроза – начинаем ее устранять»;

- некомпетентность в экономике ИБ, неумение сопоставлять затраты и результаты;

- «технократизм» руководства и специалистов службы безопасности, интерпретация всех задач на языке знакомой им области.