Описание мер по обеспечению информационной безопасности на предприятии

Организационные меры

Согласно ФЗ № 149 «Об информации, информационных технологиях и о защите информации», «защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• 1)обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• 2)соблюдение конфиденциальности информации ограниченного доступа;
• 3)реализацию права на доступ к информации". ФЗ № 149 «Об информации, информационных технологиях и о защите информации»

Исходя из этого определения, все меры по обеспечению информационной безопасности можно разделить на три категории:

• 1)организационные
• 2)технические
• 3)правовые

Организационные меры носят административный и процедурный характер и регламентируют процессы функционирования информационной системы данных и действия персонала. Следовательно, организационные меры можно разделить на административные и процедурные меры Административные меры Основная цель мер административного характера — создать программу работ по теме «информационная безопасность» и обеспечить ее выполнение. В основе программы находиться политика безопасности. Политика безопасности — это набор документированных решений, принимаемых руководством организации и нацеленных на достижение высшего уровня информационной безопасности. Политику безопасности можно считать стратегией организации в области информационной безопасности.

Для того, чтобы разработать подробную стратегию и внедрить ее на реальное предприятие, необходимо для начала согласование различных политических решений высшего руководства. На основе данной политики безопасности происходит разработка программы безопасности. Стоит отметить, что данная политика предоставляет специальные правила, инструкции и нормативы, которые напрямую касаются персонал предприятия. Политику безопасности целесообразно рассматривать на трех уровнях детализации:

• • Верхний уровень
• • Средний уровень
• • Нижний уровень

Рассмотрим эти уровни подробно:

Верхний уровень.

К верхнему уровню относятся решения, затрагивающие организации в целом. Они носят общий характер и, обычно, исходят от руководства организации.

Средний уровень К данному уровню безопасности относятся вопросы, которые касаются важных аспектов обеспечения информационной безопасности для различных систем на предприятии.

Здесь стоит ответить на следующие вопросы:

• • следует ли разрешать сотрудникам переносить данные с домашних компьютеров на рабочие?
• • Следует ли разрешать сотрудникам переносить данные с рабочих компьютеров на домашние?

Нижний уровень.

Политику безопасности нижнего уровня можно отнести к конкретным информационным сервисам, различным системам, которые функционируют отдельно или подсистемам обработки данных.

После формулировки отдельной политики безопасности, можно приступить к составлению программы обеспечения безопасности, то есть выработке конкретных мер по реализации политики безопасности.

Обычно программа безопасности разделяется на два уровня:

• • верхний, или центральный уровень, который охватывает всю организацию.
• • нижний, или служебный, относящийся к отдельным услугам или группам однородных сервисов.

Данная программа возглавляется лицом, которое отвечает за информационную безопасность организации. Программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально поддерживаться и приниматься руководством, а так же иметь определенный штат и бюджет.

В данной работе были выделены основные цели и задачи верхнего уровня:

• • «управление рисками, включая оценку рисков и выбор эффективных средств защиты.
• • координация деятельности в области информационной безопасности, пополнение и распределение ресурсов.
• • стратегическое планирование. В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки обеспечения защиты информации. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.
• • контроль деятельности в области информационной безопасности. Такой контроль имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.» Макаренко С. И. Информационная безопасность: Учебное пособие

Программа нижнего уровня Целью программы нижнего уровня является обеспечение надежной и экономичной защиты конкретного сервиса или группы сервисов. На этом уровне происходит решение, по использованию механизмов защиты; происходит закупка и установка технических средств; выполняется повседневное администрирование; отслеживается состояние слабых мест.

Процедурные меры Процедурные меры безопасности ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой. Поэтому «человеческий фактор» заслуживает особого внимания.

На процедурном уровне можно выделить следующие классы мер:

• 1. «Управление персоналом
• 2. Физическая защита
• 3. Поддержание работоспособности системы
• 4. Реагирование на нарушения режима безопасности
• 5. Планирование восстановительных работ» Гатчин Ю. А., Сухостат В. В. Теория информационной безопасности и методология защиты информации: Учебное пособие

Опишем некоторые из них более подробно:

Управление персоналом начинается еще до приема на работу нового сотрудника — с составления описания должности. При этом следует придерживаться двух общих принципов при определении компьютерных привилегий:

• 1. «Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс.
• 2. Принцип минимизации привилегий требует, чтобы пользователям давались только те права, которые необходимы им для выполнения служебных обязанностей.» Там же

Физическая защита. Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей информации.

Для поддержания работоспособности информационных систем необходимо проведение ряда рутинных мероприятий:

• 1. Поддержка пользователей, то есть консультирование и оказание помощи при решении различных проблем; при этом важно выявлять проблемы, связанные с информационной безопасностью
• 2. Поддержка программного обеспечения — это, в первую очередь, отслеживание того, какое программное обеспечение установлено на компьютерах. В поддержку программного обеспечения входит также контроль над отсутствием неавторизованного изменения программы
• 3. Резервное копирование необходимо для восстановления программ и данных после аварий.
• 4. Управление носителями подразумевает защиту носителей информации, как от несанкционированного доступа, так и от вредных воздействий окружающей среды
• 5. Документирование — неотъемлемая часть информационной безопасности. В виде документов оформляется почти все — от политики безопасности до журнала учета носителей. При этом важно, чтобы документация отражала текущее положение дел, чтобы при необходимости ее можно было легко найти, а также, чтобы она была защищена от несанкционированного доступа
• 6. Регламентные работы (например, ремонтные) — очень серьезная угроза безопасности, так как во время их проведения к системе получают доступ посторонние сотрудники. Здесь очень важна квалификация и добросовестность этих сотрудников.

Реакция на нарушения режима безопасности преследует следующие цели:

• 1. Локализация инцидента и уменьшение наносимого вреда
• 2. Выявление нарушителя
• 3. Предупреждение повторных нарушений

В случае обнаружения нарушения режима безопасности действия необходимо предпринимать незамедлительно, поэтому очень важно, чтобы последовательность действий была спланирована заранее и отражена в документах. Все сотрудники должны знать, как поступать и к кому обращаться в случае выявления того или иного нарушения защиты, а также должны знать, какие последствия ждут их в случае нарушения ими правил информационной безопасности.

Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность функционирования хотя бы в минимальном объёме. Процесс планирования восстановительных работ можно разделить на следующие этапы:

• 1. Выявление наиболее важных функций организации.
• 2. Определение ресурсов, необходимых для выполнения важнейших функций.
• 3. Определение перечня возможных аварий. При этом важно разработать «сценарий» аварии, понять, к каким последствиям они приведут.
• 4. Разработка стратегии восстановительных работ. Стратегия восстановительных работ должна базироваться на наличных ресурсах и быть не слишком накладной для организации; должна предусматривать не только работы по устранению аварий, но и возвращение к нормальному функционированию.
• 5. Подготовка к реализации выбранной стратегии, то есть выработка плана действий в случае аварии, а также меры по обеспечению дополнительными ресурсами, необходимыми в случае аварии.
• 6. Проверка стратегии, которая заключается в анализе подготовленного плана, принятых и намеченных мер.