Информационная безопасность. Лекция 6: Административный уровень обеспечения ИБ

Программа безопасности

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

· вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

· организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

· классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

· штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

· раздел, освещающий вопросы физической защиты;

· управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

· раздел, описывающий правила разграничения доступа к производственной информации;

· раздел, характеризующий порядок разработки и сопровождения систем;

· раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

· юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Чтобы понять и реализовать какую-либо программу, ее нужно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней — верхнего, или центрального, который охватывает всю организацию, и нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

  • управление рисками (оценка рисков, выбор эффективных средств защиты);
  • координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
  • стратегическое планирование;
  • контроль деятельности в области информационной безопасности.

В рамках программы безопасности верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Цель программы безопасности нижнего уровня — обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Синхронизация программы безопасности с жизненным циклом систем

Если синхронизировать программу безопасности нижнего уровня с жизненным циклом защищаемого сервиса, можно добиться большего эффекта с меньшими затратами. Добавить новую возможность к уже готовой системе на порядок сложнее, чем изначально спроектировать и реализовать ее.

В жизненном цикле информационного сервиса можно выделить следующие этапы:

1. Инициация. На данном этапе выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение, определяется, какими характеристиками и какой функциональностью он должен обладать, оцениваются финансовые и иные ограничения.

2. Закупка. Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, обслуживание, обучение персонала. Особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигурацией. Нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.

3. Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию. Полнота и комплексность тестирования могут служить гарантией безопасности эксплуатации в штатном режиме.

4. Эксплуатация. На данном этапе сервис не только работает и администрируется, но и подвергается модификациям. Для борьбы с эффектом медленных изменений приходится прибегать к периодическим проверкам безопасности сервиса. После значительных модификаций подобные проверки являются обязательными.

5. Выведение из эксплуатации. Происходит переход на новый сервис. Только в специфических случаях необходимо заботиться о физическом разрушении аппаратных компонентов, хранящих конфиденциальную информацию. При выведении данных из эксплуатации их обычно переносят на другую систему, архивируют, выбрасывают или уничтожают. При архивировании необходимо позаботиться о восстановимости данных.

Вы здесь: Главная Информатика Защита информации Информационная безопасность. Лекция 6: Административный уровень обеспечения ИБ