Административный уровень обеспечения ИБ
СРЕДСТВА ОБЕСПЕЧЕНИЯ ИБ.
ЗАКОНОДАТЕЛЬНЫЙ, АДМИНИСТРАТИВНЫЙ, ПРОЦЕДУРНЫЙ УРОВНИ ОБЕСПЕЧЕНИЯ ИБ
2.1.Средства (меры) обеспечения информационной безопасности:
· законодательные меры обеспечения информационной безопасности;
· административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
· процедурные меры (меры безопасности, ориентированные на людей);
· программно-технические меры.
В терминологии информационной безопасности иногда употребляется понятие «уровень» (ех - законодательный уровень, процедурный уровень обеспечения информационной безопасности).
Только при обеспечении всех уровней задача обеспечения информационной безопасности может быть решена.
Законодательный уровень является как бы внешним уровнем, он устанавливается соответствующими законодательными актами государства (или нескольких государств) и ориентирован на всех субъектов информационных отношений независимо от их организационной принадлежности (это могут быть как юридические, так и физические лица).
Административный уровень воздействует на всех субъектов в пределах одной организации и является для них обязательным. Главная задача административного уровня – определить, какие угрозы для организации являются наиболее критическими.
Процедурный уровеньориентирован на людей и определяет отношения между организацией и сотрудниками. Этот уровень включает в себя, в частности, определение привилегий пользователей, организацию физической защиты, действия по поддержанию работоспособности и восстановления после сбоев.
Программно-технический уровень направлен на контроль оборудования, программ и данных.
Законодательный уровень обеспечения ИБ
Законодательный уровень информационной безопасности можно рассматривать как совокупность трех подровней: концептуально-политического, правового и нормативно-технического.
На концептуально-политическом подуровне принимаются документы, в которых определяются направления государственной политики информационной безопасности, формулируются цели и задачи обеспечения информационной безопасности, намечаются пути и средства достижения поставленных целей и решения задач. Примерами таких документов являются Концепция национальной безопасности и Доктрина информационной безопасности РФ.
На правовом подуровне создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения информационной безопасности, отражаемых в законах и других правовых актах. В настоящее время правовую основу обеспечения информационной безопасности в России составляют Конституция РФ, Уголовный кодекс РФ, Гражданский кодекс РФ, ряд федеральных законов, указов и распоряжений Президента РФ, постановлений и распоряжений Правительства РФ.
Нормативно-технический подуровень включает в себя разработку стандартов (ГОСТы), положений и руководящих материалов (ex. – положения и РД Гостехкомиссии), методических материалов и других документов, регламентирующих процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности.
Административный уровень обеспечения ИБ
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии.:
1 система. Служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника. В зависимости от подобных проверок и строится работа по обеспечению ИБ.
Использование этого подхода может привести к массированной защите областей с небольшим риском и к недостаточной защите действительно уязвимых участков.
2 система. Этапы:
1. Детальный анализ всей существующей схемы хранения и обработки информации.
2. Определение, какие информационные объекты и потоки необходимо защищать. Классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
3. Изучение текущего состояния системы информационной безопасности с целью определения, какая защита информации уже реализована, в каком объеме и на каком уровне.
4. Выяснение, насколько серьезный ущерб может принести фирме атака на каждый информационный объект («анализ рисков»). Анализируются риски, которые признаются реальными для информационной системы конкретной организации.
С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба. В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки". Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации (как правило, руководство организацией), или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.
5. Составление программы по обеспечению ИБ (выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.). Вырабатываются меры по снижению рисков информационной безопасности.
6. Проверка, что риски заключены в приемлемые рамки.
Пп. 4-6 образуют мероприятия по управлению рисками
Основным документом при использовании данной системы является политика безопасности организации.
Политика безопасности - совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности определяет стратегию организации в области информационной безопасности, а также количество ресурсов, которые руководство считает целесообразным выделить.
Политика безопасности не должна постоянно меняться в зависимости от незначительных изменений в деятельности компании. Изменяться должны процедуры обеспечения информационной безопасности (тактика), но не глобальные задачи (стратегия).
Все вопросы в политике безопасности не должны освещаться чересчур досконально. Политика безопасности отвечает на вопрос ЧТО: что следует защищать, что является самым важным, что за свойства у защищаемых объектов, что за подход к проблемам безопасности избран. Сама по себе политика безопасности не говорит, КАК защищаются объекты. Ответы на вопросы КАК дают процедуры безопасности, которые будут рассматриваться далее. Политика безопасности оформляется в виде высокоуровневого документа, описывающего общую стратегию. В деталях специфицировать шаги, предпринимаемые организацией для собственной защиты должны процедуры безопасности.