- •Защита носителей и ее отличие от защиты информации
- •Защита элементов сети
- •Общие алгоритмы создания системы защиты объектов эвт
- •Планирование мероприятий по обеспечению информационной безопасности объекта
- •Формирование политики безопасности
- •Проведение анализа риска
- •Составление и реализация плана защиты
- •Подход к созданию концепции защиты
- •Классификация злоумышленников
Формирование политики безопасности
Основу политики безопасности составляет перечень обязательных мероприятий, направленных на выработку плана действий по информационной защите объекта: определение состава службы по защите информации, её места в организационной структуре предприятия, сферы её компетенции, правовые полномочия, вариантов действий в различных ситуациях во избежание конфликтов между подразделениями. Часто конфликты возникают из-за того, что многие считают требования, предъявляемые службой защиты информации, необоснованно завышенными, либо из-за того, что служба защиты информации «везде чует свой нос». Наличие четкого плана позволит ликвидировать почву для подобных ситуаций или разрешать их быстро и безболезненно. Политика безопасности определяет оптимальный способ использования коммуникационных и вычислительных ресурсов, правил доступа на объект, правил обращения с конфиденциальной информацией, а также процедуры предотвращения нарушений режима безопасности и реагирования на них.
Эффективность политики безопасности только тогда будет находиться на должной высоте, когда е реализация будет представлять собой результат совместной деятельности сотрудников организации, способных влиять на её претворение в жизнь. Не менее важным фактором является готовность персонала к соблюдению её требований, доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности. Грамотная политика безопасности должна гарантироваться наличием ответственного лица по каждому виду проблем.
Основные положения политики безопасности должны быть закреплены в соответствующих распорядительных документах, состав и содержание которых определяется спецификой объекта, однако, как правило, ни одна организация не сможет обойтись без положений о коммерческой тайне, о защите информации, об администрировании безопасности сети, о разграничении прав доступа к информации, содержащейся в автоматизированных системах, правил допуска в помещения, где производится обработка критической информации.
Работы по оснащению поддержке деятельности службы защиты информации, создание системы распорядительных документов входят в комплекс организационных мер, на основе которых может быть достигнут высокий уровень безопасности информации. Тем не менее, перечисленные меры не позволяют на должном уровне поддерживать функционирование системы защиты без целого ряда организационно-технических мероприятий. Их проведение позволяет своевременно выявлять новые каналы утечки информации, принимать меры по их нейтрализации, совершенствовать систему защиты и оперативно реагировать на нарушения режима безопасности.
Проведение анализа риска
Решение организационных вопросов предваряет этап работ, который должен ответить на вопрос: «Что необходимо сделать для реализации выбранной политики безопасности?» Рынок средств защиты информации столь широк по стоимости, назначению и качеству продуктов, что выбор наиболее оптимальных из них для конкретного объекта представляет весьма непростую задачу.
Для построения надежной защиты надо выявить возможные угрозы безопасности информации, оценить их последствия, определить необходимые меры и средства защиты и оценить их эффективность.
Разнообразие потенциальных угроз столь велико, что все равно не позволяет предусмотреть каждую из них. Поэтому, анализируя виды защиты, стоит выбирать с позиции здравого смысла, однозначно выявляя не только сами угрозы, вероятность их осуществления, размер потенциального ущерба, но и их источники.
Оценка рисков производится с помощью различных инструментальных средств, а также методов моделирования процессов защиты информации. На основе результатов анализа выявляются наиболее высокие риски, переводящие потенциальные угрозы в разряд реально опасных и, следовательно, требующие принятия дополнительных защитных мер. Как правило, для каждой подобной угрозы существует несколько решений по её нейтрализации. При оценке их стоимости и эффективности следует учитывать не только расходы на закупку оборудования и программных средств, но и такие обстоятельства, как возможность экранирования одним сервисом безопасности нескольких прикладных, его совместимость с аппаратно-программной структурой организации и стоимостью обучения персонала для работы с ним. Когда намеченные меры приняты, надо проверить их действенность. Например, произвести автономное и комплексное тестирование программно-технического механизма защиты. Если проверка показывает, что в результате проделанной работы остаточные риски снизились до приемлемого уровня, то можно намечать дату ближайшей переоценки. Если нет, то следует проанализировать допущенные ошибки и провести повторную оценку риска.