Управленческие меры обеспечения информационной безопасности

Главная цель мер, предпринимаемых на управленческом уровне, — сформировать программу работ в области информа­ционной безопасности и обеспечить ее выполнение, выделяя не­обходимые ресурсы и контролируя состояние дел.

Политика безопасности. Основой программы является по­литика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой без­опасности понимают совокупность документированных управ­ленческих решений, направленных на защиту информации и ас­социированных с ней ресурсов.

С практической точки зрения политику безопасности целе­сообразно подразделить на три уровня.

К верхнему уровню можно отнести решения, затраги вающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Политика верхнего уровня должна четко очерчивать сферу своего, влияния. Возможно, это будут все компьютерные системы opганизации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих доманих компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов — отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ к Internet (как сочетать свободу получения информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т. д.

Политика безопасности нижнего уровня отно­сится к конкретным сервисам. Она включает в себя два аспек­та — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо де­тальнее. Есть много вещей, специфичных для отдельных серви­сов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне.

Программа безопасности. После того, как сформулирована политика безопасности, можно приступать к составлению про­граммы ее реализации и собственно к реализации.

Проведение политики безопасности в жизнь требует исполь­зования трех видов регуляторов — управленческих, операцион­ных и программно-технических. Рассмотрим управленческий ас­пект программы безопасности.

Чтобы понять и реализовать любую программу, ее целесооб­разно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней — верхнего, или центрального который охватывает всю организацию, и нижнего, или сервисного, который относится к отдельным сервисам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

• управление рисками (оценка рисков, выбор эффективных средств защиты, см. следующий раздел);

• координация деятельности в области информацион безопасности, пополнение и распределение ресурсов;

• стратегическое планирование;

• контроль деятельности в области информационной 6 опасности.

Цель программы нижнего уровня — обеспечи надежную и экономичную защиту конкретного сервиса группы однородных сервисов. На этом уровне решается, каки механизмы защиты использовать, закупаются и устанавливаются технические средства, выполняется повседневное администри­рование, отслеживается состояние слабых мест и т. п. Обычно за программу нижнего уровня отвечают администраторы сервисов

Выбирая подходящий способ защиты, целесообразно учиты­вать возможность экранирования одним сервисом безопасности сразу нескольких прикладных сервисов. Так поступили в Масса-чусетском технологическом институте, защитив несколько тысяч компьютеров сервером аутентификации Kerberos.