Разработка политики информационной безопасности
5. Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности организации, предприятия или учебного заведения. С учетом этого рассмотрим следующее определение политики безопасности.
6. Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Кроме этого, политика безопасности включает в себя требования в адрес субъектов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов информационных отношений.
7. Основные направления разработки политики безопасности:
8. - определение объема и требуемого уровня защиты данных;
9. - определение ролей субъектов информационных отношений.
10. В "Оранжевой книге" политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации.
11. Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.
12. Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:
13. - основные положения информационной безопасности организации;
14. - область применения политики безопасности;
15. - цели и задачи обеспечения информационной безопасности организации;
16. - распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.
17. Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.
18. При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите.
19. В состав автоматизированной информационной системы входят следующие компоненты:
20. - аппаратные средства – компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства – дисководы, принтеры, контроллеры), кабели, линии связи и т. д.;
21. - программное обеспечение – приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;
22. - данные – хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;
23. - персонал – обслуживающий персонал и пользователи.
24. Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д.
Комплексные методы защиты информации.
Технические меры защиты информации.
Практическая реализация данных методов обычно осуществляется с помощью применения различных технических устройств специального назначения. К ним, в частности, относятся:
1) источники бесперебойного питания аппаратуры, а также различные устройства стабилизации;
2) устройства экранирования аппаратуры, линий: проводной связи и помещений, в которых находится компьютерная техника:
3) устройства комплексной защиты телефонной связи;
4) устройства, обеспечивающие только санкционированный физический доступ пользователя на охраняемые объекты СКТ;
5) устройства идентификации и фиксации терминалов и пользователей при попытках несанкционированного доступа к компьютерной сети;
6) средства охранно-пожарной сигнализации;
7) средства защиты портов компьютерной техники и т.д.