Политика безопасности фирмы

Мероприятия по защите информации должны проводиться, начиная с момента создания фирмы. Для определения основных задач обеспечения безопасности информации целесообразно первоначально разработать политику безопасности.

Политика безопасности – это совокупность документов, содержащих цели и задачи обеспечения защиты информации, основные мероприятия, разграничение полномочий и ответственности. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность фирмы. Политика безопасности — это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. С практической точки зрения политику безопасности целесообразно разделить на три уровня.

1. К верхнему уровню относятся решения, затрагивающие организацию в целом, они носят весьма общий характер и, как правило, исходят от руководителя организации. На верхний уровень выносится управление защитными ресурсами, координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями.

2. К среднему уровню относятся вопросы, касающиеся отдельных аспектов информационной безопасности.

3. Политика безопасности нижнего уровня относится к конкретным сервисам. Есть много вещей специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время они настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не на техническом уровне.

Разработка документов, определяющих политику безопасности, с позиций законодательства РФ не является обязательной. Тем не менее, целесообразно ее разработать, так как она может стать не только основополагающим документом, определяющим основные направления работы, но и базовым нормативным документом внутреннего характера.

В странах Западной Европы ни одна вновь создаваемая организация не сможет пройти государственную регистрацию, если у нее не будут подготовленными документы политики безопасности, ни одна страховая компания не застрахует фирму от неприятностей, связанных с информационной безопасностью.

В политике безопасности должны быть отражены:

1. правила, обязанности и ответственность сотрудников и руководителей по доступу и виды разрешений на доступ к конкретным материалам;

2. порядок доступа к сведениям, составляющим коммерческую тайну представителей заказчика;

3. порядок доступа к этим сведениям представителей государственных структур;

4. порядок посещения совещаний, конференций по закрытым вопросам, регулирование публикаций;

5. рассылка носителей информации в другие предприятия и обмен ими между подразделениями предприятия.

Угрозы безопасности информации в компьютерных системах

Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.

Все множество потенциальных угроз безопасности информации в КС может быть разделено на два класса (рис 1).

Рисунок 1. Угрозы безопасности информации в компьютерных системах