Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Kniga.docx
Скачиваний:
0
Добавлен:
01.04.2025
Размер:
1.68 Mб
Скачать
    1. Основні класи організаційних заходів

Організаційний захист забезпечує:

  • організацію охорони та режиму;

  • роботу з персоналом;

  • роботу з документацією та іншими носіями інформації;

  • використання технічних засобів безпеки;

  • інформаційно-аналітичну діяльність щодо виявлення внутрішніх та зовнішніх загроз підприємницькій діяльності.

Організаційний захист - це регламентація виробничої діяльності і взаємин виконавців на нормативно-правовій w і! 1 основі, що виключає чи істотно утрудняє неправомірне оволодіння конфіденційною інформацією та прояв внутрішніх і зовнішніх загроз.

В українських компаніях накопичено багатий досвід регламентації і реалізації організаційних (процедурних) заходів, але вони прийшли з “до- комп’ютерного” минулого і тому потребують переоцінювання.

Важливим є усвідомлення ступеня залежності сучасного суспільства від комп'ютерної обробки даних. Суспільству потрібно роз'яснювати не тільки переваги, але і небезпеки, пов'язані з використанням інформаційних технологій. Акцент у забезпеченні ІБ слід робити не на військовій або кри­мінальній стороні справи, а на цивільних аспектах, пов'язаних з підтримкою нормального функціонування апаратного і програмного забезпечення, тобто концентруватися на питаннях доступності і цілісності даних.

Організаційні заходи поділяються на:

  • управління персоналом;

  • фізичний захист;

  • підтримка працездатності;

  • реагування на порушення режиму безпеки;

  • планування відновлювальних робіт.

3.1.1 Управління персоналом

Управління персоналом починається зі складання опису посади, а по­тім з прийому нового співробітника на роботу. Вже на даному етапі бажано підключити до роботи фахівця з інформаційної безпеки для визначення ком­п'ютерних привілеїв, що асоціюються з посадою. Існує два загальні принци­пи, які варто мати на увазі: розділення обов'язків та мінімізація привілеїв.

Принцип розділення обов’язків зобов'язує так розподіляти ролі і від­повідальність, щоб одна людина не могла порушити критично важливий для організації процес. Наприклад, процедурні обмеження дій суперкористува- ча. Можна штучно “розділити” пароль суперкористувача, повідомивши пе­ршу його частину одному співробітнику, а другу - іншому. Тоді критично важливі дії з адміністрування ІС вони зможуть виконати тільки удвох, що знижує вірогідність помилок і зловживань.

Принцип мінімізації привілеїв полягає у виділенні користувачам тіль­ки тих прав доступу, які необхідні їм для виконання службових обов’язків. Призначення цього принципу очевидне - зменшити збиток від випадкових або навмисних некоректних дій.

Попереднє складання опису посади дозволяє оцінити її критичність і спланувати процедуру перевірки і відбору кандидатів. Чим відповідальніша посада, тим ретельніше потрібно перевіряти кандидатів: навести довідки про них, можливо, поговорити з колишніми товаришами по службі тощо. Подіб­на процедура може бути тривалою і дорогою, тому немає сенсу додатково ускладнювати її. В той же час, не можна зовсім відмовлятися від поперед­ньої перевірки, щоб випадково не взяти на роботу людину з криміналь­ним минулим або психічним захворюванням.

Коли кандидат визначений, він повинен пройти навчання або, при­наймні, його слід детально ознайомити із службовими обов’язками, а також з нормами і процедурами інформаційної безпеки. Бажано, щоб заходи безпе­ки були їм засвоєні до вступу на посаду і до введення його системного раху­нка з вхідним ім'ям, паролем і привілеями.

З моменту введення системного рахунка починається його адмініст­рування, а також протоколювання й аналіз дій користувача. Поступово змі­нюється оточення, в якому працює користувач, його службові обов'язки і т.п. Все це вимагає відповідної зміни привілеїв. Технічну складність пред­ставляють тимчасові переміщення користувача, виконання ним обов’язків замість співробітника, що пішов у відпустку, та інші обставини, коли повно­важення потрібно спочатку надати, а через деякий час скасувати. В такі пе­ріоди профіль активності користувача різко змінюється, що створює труд­нощі при виявленні підозрілих ситуацій. Певної обережності треба дотриму­ватися і при видачі нових постійних повноважень, не забуваючи ліквідову­вати старі права доступу.

Ліквідація системного рахунка користувача, особливо у разі конфлік­ту між співробітником і організацією, повинна проводитися максимально оперативно. Можливо і фізичне обмеження доступу до робочого місця. Зро­зуміло, якщо співробітник звільняється, у нього потрібно прийняти все його комп'ютерне господарство і, зокрема, криптографічні ключі, якщо викорис­товувалися засоби шифрування.

В зв’язку з кризовою ситуацією в економіці компанія Microsoft наполегливо рекомендує компаніям та організаціям використовувати шифрування важливих даних та закривати доступ до внутрішньої мережі для звільнених або таких, що будуть звільнені, співробітників.

Управління співробітниками розповсюджується також на осіб, що працюють за контрактом (наприклад, фахівців фірми-постачальника, що до­помагають запустити нову систему). Відповідно до принципу мінімізації привілеїв, їм потрібно виділити рівно стільки прав, скільки необхідно, і ска­сувати ці права відразу після закінчення контракту. Проблема, проте, поля­гає в тому, що на початковому етапі впровадження “зовнішні” співробітники адмініструватимуть “місцевих”, а не навпаки. Тут на перший план виходить кваліфікація персоналу організації та його здатність швидко навчатися. Ва­жливі і принципи вибору ділових партнерів.

Іноді зовнішні організації беруть на обслуговування і адмініструван­ня відповідальні компоненти комп’ютерної системи, наприклад, мережеве устаткування. Нерідко адміністрування виконується у віддаленому режимі.

Взагалі кажучи, це створює в системі додаткові вразливі місця, які необхід­но компенсувати посиленим контролем засобів віддаленого доступу або на­вчанням власних співробітників.

Отже, проблема навчання - одна з основних з погляду інформаційної безпеки. Якщо співробітник не знайомий з політикою безпеки своєї органі­зації, він не може прагнути до досягнення сформульованої в ній мети. Не знаючи заходів безпеки, він не зможе їх дотримувати. Навпаки, якщо спів­робітник знає, що його дії протоколюються, він, можливо, утримається від порушень.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]