8.4.3. Содержание комплексного подхода к обеспечению информационной безопасности предприятия
Принципы комплексного подхода к обеспечению информационной безопасности. В настоящий момент наиболее перспективной основой для построения систем информационной безопасности служит комплексный подход, который заключается в рациональном сочетании различных организационных и программно-технических мер и средств с учетом требований действующих нормативно-правовых и нормативно-технических документов.
При создании комплексной системы необходимо защищать информацию во всех фазах ее существования, как электронной (содержащейся и обрабатываемой в автоматизированных системах или на машинных носителях), так и документальной (бумажные документы). В комплексной системе защищать информацию необходимо не только от несанкционированного доступа к ней, но и от несанкционированного вмешательства в процесс ее обработки, хранения и передачи, попыток нарушения работоспособности программно-технических средств и т. п.
Альтернативой комплексному подходу может являться так называемый «островной» или «лоскутный» подход, при котором задачи защиты информации решаются лишь на отдельных этапах ее обработки, передачи или хранения. Примером подобного подхода может являться выделение режимных помещений, в которых расположены хранилища данных или компьютеры с конфиденциальной информацией, не подключенные к сети предприятия и общедоступным сетям. С развитием сетевых технологий этот подход утрачивает самостоятельное значение и используется как элемент комплексного подхода.
Разрабатывая и реализуя мероприятия, лежащие в русле комплексного подхода к обеспечению информационной безопасности, следует дополнительно учитывать два обстоятельства:
• во-первых, невозможно создать абсолютно надежную защиту. Можно лишь добиться адекватности системы потенциально возможным угрозам. Поэтому одним из требований к системе является разумное соотношение затрат на защиту информации и возможных финансовых потерь от нарушения информационной безопасности;
• во-вторых, система безопасности должна быть гибкой и легко адаптироваться к изменяющимся внешним условиям. В связи с тем, что угрозы информационной безопасности становятся все изощреннее, в системе должен быть заложен определенный запас прочности программно-технических средств и организационных мер безопасности.
Основные направления и этапы работ по созданию комплексной системы безопасности. В общем случае создание комплексной системы безопасности проводится в рамках трех направлений работ - методологическом, организационном и техническом.
Основной задачей методологического направления является разработка концепции (политики) безопасности предприятия.
Концепция безопасности представляет собой документ, который, в частности, определяет:
• состав и особенности информационных потоков организации;
• виды представления информации для каждого информационного потока (например: бумажный документ, электронный документ, запись в базе данных и др.);
• категории конфиденциальной информации в организации и классификацию информации по категориям конфиденциальности;
• возможные пути разглашения конфиденциальной информации (модель угроз);
• модель нарушителя для каждой угрозы, в том числе профессиональный круг лиц, к которому может принадлежать нарушитель; мотивацию и цели действий нарушителя, предполагаемую квалификацию нарушителя и характер его возможных действий;
• вероятности реализации каждого вида угроз и усредненные вероятные величины убытков (риски).
В рамках организационного направления работ создается совокупность правил, регламентирующих деятельность сотрудников при обращении с информацией, независимо от форм ее представления. Эта совокупность правил отражается в руководящих документах, составляющих регламент обеспечения безопасности.
Регламент обеспечения безопасности определяет правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности, а именно:
• порядок допуска сотрудников к конфиденциальной информации;
• обязанности и ограничения, накладываемые на сотрудников, допущенных к конфиденциальной информации;
• порядок изменения категории конфиденциальности работ и информации;
• требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация в соответствии с ее категориями;
• требования к конфиденциальному делопроизводству;
• требования к учету, хранению и обращению с конфиденциальными документами;
• меры по контролю за обеспечением конфиденциальности работ и информации;
• порядок действий, предпринимаемых при обнаружении разглашения информации с целью пресечения процесса разглашения/утечки (план мероприятий по противодействию атаке на конфиденциальную информацию);
• порядок действий, предпринимаемых после пресечения процесса разглашения/утечки информации (план мероприятий по восстановлению конфиденциальности информации);
• меры ответственности за разглашение конфиденциальной информации.
В состав регламента безопасности могут входить как собственно концепция безопасности, так и ряд дополнительных документов, например: план защиты информационно-вычислительных систем, инструкции по системе разграничения доступа, инструкции по работе с кадрами и др. Этими документами определяется порядок функционирования комплексной системы информационной безопасности как в штатном режиме, так и в аварийных ситуациях.
В рамках технического направления возможны два варианта по реализации комплекса программно-технических средств комплексной системы обеспечения информационной безопасности - это разработка всей информационной системы «с нуля» с учетом требований информационной безопасности или встраивание элементов защиты в уже существующую информационную систему.
Назад | Содержание | Вперед |