Разработка программы реализации политики информационной безопасности
На этом этапе выделяются ресурсы, назначаются ответственные, формируется план действий, определяется порядок контроля выполнения программы и т. п.
Итак, политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности информации. Это основной документ корпорации, который доводится до всех сотрудников.
9.Методы и средства обеспечения информационной безопасности
Совокупность методов и средств, обеспечивающих целостность, конфиденциальность, достоверность, аутентичность и доступность информации в условиях воздействия на нее угроз естественного или искусственного характера, образует защиту информации (Data protection).
Методы и средства обеспечения информационной безопасности (защиты информации) можно разделить на:
– административные (организационные) меры;
– физические и технические средства и способы;
– аппаратно-программные средства.
9.1. Административные (организационные) меры защиты информации
Основой мерадминистративного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности. Исходя из нее, руководство организации формулирует цель информационной безопасности, а также методы и средства ее достижения.
На основании выработанной политики или в административном порядке организуются соответствующие службы безопасности, регламентируется порядок их работы. К функциям таких служб, например, можно отнести:
– охрану объектов организации;
– осуществление пропускного режима;
– проведение работы с сотрудниками по вопросам безопасности;
– организация работы с документами, имеющими критические данные;
– организация работы с техническими средствами защиты;
– осуществление финансовых мер защиты.
Однако статистика показывает [4], что 70–80% всех компьютерных преступлений связаны с внутренними нарушениями, осуществляемыми действующими или бывшими сотрудниками организации. Мотивами для совершения противоправных действий являются:
– личная или финансовая выгода;
– действия с целью развлечения;
– чувства самовыражения, эгоизма, зависти, мести;
– желание расположить к себе;
– карьеризм;
– вандализм.
Поэтому важнейшим направлением административных мер является управление персоналом организации в целях обеспечения необходимого уровня безопасности. При управлении персоналом существует два общих принципа: разделение обязанностей и минимизация привилегий. Первый принцип заключается в распределении ролей и ответственности таким образом, чтобы один сотрудник не смог нарушить критическую информацию (сервисы) организации. Принцип минимизации предписывает выделять пользователям права, которые необходимы им для выполнения только служебных обязанностей.
Данные принципы реализуются в штатном разделе политики безопасности или, если она в организации не разработана, то в соответствующих распоряжениях, должностных инструкциях пользователей и руководящих документах для отделов и служб информационной безопасности. Содержание этих документов должно быть направлено на уменьшение риска ошибок персонала, краж, мошенничества или незаконного использования ресурсов. В данных документах должны быть описаны:
– правила проверки принимаемого на работу персонала;
– обязанности и права пользователей по отношению к информационным ресурсам;
– обучение пользователей и порядок допуска к работам с информационными ресурсами;
– права и обязанности администраторов;
– порядок реагирования на события, несущие угрозу информационной безопасности;
– порядок наложения взысканий.
Реализация административных мер безопасности для каждой организации в зависимости от вида ее деятельности и сложившихся инфраструктур осуществляется по-своему и носит индивидуальный характер.
9.2. Физическая и техническая защита информационных систем
Физическая защита – физическая защита зданий, помещений, подвижных средств, людей, а также аппаратных средств – компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры.
Первым шагом в создании системы физической безопасности (как и информационной безопасности вообще) должен стать анализ угроз (рисков), как реальных (действующих в данный момент), так и потенциальных (способных в будущем).
По результатам анализа рисков с использованием средств оптимизации формируются требования к системе безопасности конкретного предприятия и объекта в конкретной обстановке. Завышение требований приводит к неоправданным расходам, занижение – к возрастанию вероятности реализации угроз.
В общем случае система физической безопасности должна включать в себя выполнение следующих функций:
– управления доступом (с функцией досмотра);
– обнаружения проникновения, аварийной и пожарной сигнализации (тревожной сигнализации);
– инженерно-технической защиты (пассивной защиты);
– отображения и оценки обстановки;
– управления в аварийных и тревожных ситуациях;
– оповещения и связи в экстремальных ситуациях;
– личной безопасности персонала.
Для выполнения данных функций применяются следующие средства защиты [10].
Средства против проникновения:
– ограды (заборы) по периметру охраняемой территории;
– двери в закрытые зоны и комнаты;
– замки для дверей, шкафов, сейфов;
– металлические решетки на окна и двери (лучше внутренние и раздвижные);
– пуленепробиваемые прозрачные перегородки внутри помещений;
– сейфы и металлические шкафы, прошедшие испытания на время сопротивления режущим инструментам;
– печати на дверях помещений, сейфов, шкафов для регистрации фактов их вскрытия;
– приспособления для крепления сейфов к полу и стенам, блоков ПК к рабочему столу;
– средства воздействия на физические свойства человека и средства регистрации, срабатывающие при несанкционированном открывании или взломе.
Средства против подсматривания: специальные шторы или жалюзи, специальные покрытия и пленки, зеркальные стекла, дверные замки без сквозных отверстий для ключей.
Средства против подслушивания: звукоизоляционные материалы для покрытия стен, полов, потолков, окон и дверей изнутри; двойные двери с тамбуром; звуковые глушители в вентиляционных каналах; оконные блоки с тройными стеклами разной толщины против снятия акустической информации с помощью лазерных систем.
Средства визуального наблюдения и контроля:
– бинокли и подзорные трубы для наблюдения в любое время суток;
– световые и инфракрасные прожекторы;
– дверные глазки с углом зрения до 130°, с возможностью наблюдения через двойные двери и в помещениях со слабой освещенностью;
– перископические дверные глазки, исключающие возможность искажения через глазок и извлечение глазка снаружи.
Средства перекрытия побочных технических каналов утечки информации:
– экранирующие и поглощающие электромагнитные излучения (ЭМИ) материалы;
– экранированные провода для коммуникаций, охранной и пожарной сигнализации;
– оптоволоконный кабель для локальной сети;
– диэлектрические вставки в водопроводные, отопительные, газовые и канализационные трубы на выходах из закрытых зон.
9.3. Технические средства и способы защиты информации
К техническим средствам защиты относятся различные системы охранной сигнализации, опознавания, разграничения доступа, оповещения о движении объектов охраны, обнаружения радиозакладок, предотвращения утечки информации по побочным техническим каналам, защиты документов и изделий при их транспортировке и другие системы и средства.
С точки зрения выполняемых функций технические средства можно отнести как к средствам физической защиты, так и к аппаратно-програм-мным средствам. В данном случае все зависит от их роли в системе безопасности организации. Если эти средства работают автономно и имеют монопольное подчинение, то они являются больше средствами физической защиты. При работе данных средств в составе автоматизированной компьютерной системы безопасности их необходимо рассматривать в составе аппаратно-программных средств.
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|