Главная страница

Конспект лекций оглавление 1 информационное общество и его безопасность 6


Скачать 4.94 Mb.
НазваниеКонспект лекций оглавление 1 информационное общество и его безопасность 6
Дата02.04.2022
Размер4.94 Mb.
Формат файлаdoc
Имя файлаlec_opo_ibss (4).doc
ТипКонспект
#435869
страница52 из 61
1   ...   48   49   50   51   52   53   54   55   ...   61

15.3. Физическая защита



Решение задачи физической защиты предполагает проведение следующих специальных мероприятий и действий сотрудников службы по организации режимов обеспечения безопасности объекта:

- определение и категорирование охраняемых зон по уровню доступа;

- разработка заданий на укрепление периметров охраняемых зон (ограждение, решетки, замки и т.д.), контроль проектирования системы укрепленное периметра, прием и контроль хода эксплуатации системы;

- определение точек доступа в охраняемые зоны, разработка заданий по их оборудованию необходимыми техническими средствами, контроль проектирования и эксплуатации технических средств, разработка инструкций о порядке пропускного и внутриобъектового режимов;

- разработка заданий по применению средств охранно-пожарной сигнализации, систем видеонаблюдения, автоматизированных систем ограничения и контроля доступа в охраняемые зоны, прием и контроль эксплуатации;

- согласование порядка выноса (вноса) из охраняемых зон материальных ценностей и других видов ресурсов;

- разработка заданий, контроль проектирования, прием и контроль эксплуатации систем специальной связи, оборудования комнат и порядка приема посетителей;

- категорирование информационных ресурсов по степени секретности и конфиденциальности как нормативной основы ограничения их обращения;

- определение возможных физических каналов утечки информации с ограниченным доступом, разработка заданий на проектирование систем противодействия технической разведке, прием и контроль их эксплуатации;

- разработка порядка проведения служебных расследований по фактам нарушения пропускного и внутриобъектового режимов, а также взаимодействия с правоохранительными органами.

Указанные мероприятия позволяют обеспечить реализацию такой важной характеристики защищенности, как конфиденциальность информации, путем использования тех или иных технологий ограничения доступа. Однако, как правило, решение проблемы повышения эффективности бизнес-процессов требует увеличения их открытости, прозрачности как для внешней среды, так и для собственного управленческого персонала. Это позволяет в максимальной степени обеспечить масштабность производственной деятельности, ее настройку на быстро изменяющиеся условия рыночной и политической конъюнктуры. Поэтому не менее важными, а подчас и более актуальными задачами обеспечения информационной безопасности являются повышение доступности и целостности информационных активов корпорации в условиях бурного внедрения компьютерных технологий. Реализация всех характеристик защищенности является также необходимым условием обеспечения качества бизнес-процессов за счет поддержания их непрерывности, под которой понимается и своевременное принятие управленческих решений.

16 КОРПОРАТИВНОЕ НОРМАТИВНОЕ РЕГУЛИРОВАНИЕ




16.1. Корпоративная нормативная база по защите информации



В силу множественности форм собственности, возможных вариантов структурного построения корпораций (предприятий, организаций, учреждений) и организации ими бизнес-процессов, корпоративные нормативные базы отличаются значительным разнообразием.

Основное назначение корпоративной нормативной базысостоит в регулировании отношений в области защиты информации, организации с учетом специфики и масштабов ее бизнес-процессов. В соответствии с общепризнанным принципом методологического и концептуального единства всех решений по защите информации нормативная база должна образовывать единую упорядоченную систему документов, построенную на так называемых типовых образцах. Под типовым образцом понимается такой документ, который отработан в соответствии с действующим законодательством, прошел достаточно широкую общественную апробацию и утвержден уполномоченными органами государственной власти.

Часто в качестве аналога типовых документов используются так называемые «хорошие практики», т.е. методические рекомендации, получившие общественное признание в кругу специалистов, в том числе на мировом уровне.

В настоящее время исчерпывающий перечень типовых документов в области обеспечения информационной безопасности отсутствует, но тем не менее существует ряд практических рекомендаций по формированию структуры корпоративной нормативной базы. Одна из них состоит в том, что весь массив документов разбивается на ряд групп (сборников): нормативно-правовые акты; стандарты; корпоративные нормативные акты; методические материалы.

Перечень нормативно-правовых актов и их углубленный анализ приведен в других разделах настоящего учебного пособия и в данном разделе не обсуждается.

К группе стандартов должны быть отнесены такие документы, которые содержат эталонные требования к определенным образцам продукции, работ и услуг. Стандартов достаточно много, и их целесообразно разделить на подгруппы: концептуальные, проектирования систем защиты информации, оформления технической и организационной документации, защиты информации и контроля защищенности информации, защищенных информационных технологий.

Документы корпоративного уровня,регламентирующие различные аспекты организации деятельности по защите информации, должны составлять наиболее представительную группу рассматриваемой нормативной базы. В минимальный набор таких документов входят положения о службе безопасности корпорации и ее структурных подразделениях. Типовой формат этих документов предусматривает наличие следующих разделов:

- общая часть, в которой формулируется цель создания той или иной структуры, ее основные задачи;

- источники норм или перечень нормативных актов, на основе которых организована деятельность службы и ее структурных подразделений;

- функции службы, включающие подробное изложение специальных мероприятий, которые должна осуществлять служба безопасности и ее подразделения для выполнения поставленных перед ними задач

- структура и состав службы как организационной основы осуществления функциональной деятельности;

- номенклатура должностей, определяющая квалификационные требования к штатному и нештатному персоналу службы;

- права и обязанности руководителя службы и его подразделений, на основе которых задается правовой статус службы безопасности в общей системе управления предприятием, и меры ответственности за выполнение поставленных задач.

Следующую подгруппу нормативных документов корпорации так называемого процедурного уровня составляют инструкциипо организации конкретных видов деятельности по обеспечению безопасности организации (специальных мероприятий), которые предусмотрены в утвержденном положении о службе безопасности. В перечень таких инструкций входят:

- порядок организации охраны предприятия;

- организация пропускного и внутриобъектового режима;

- организация эксплуатации технических средств охраны и защиты информации;

- организация секретного делопроизводства;

- порядок взаимодействия с правоохранительными органами;

- порядок применения физической силы и огнестрельного оружия;

- организация служебных расследований по фактам нарушения установленных требований безопасности;

- администрирование комплексов и средств защиты информции и т.д.

Общий объем необходимых инструкций, их содержание и структура определяются службой безопасности с учетом специфики и масштабов бизнес-процессов организации и утверждаются на уровне руководства, что позволяет применить к нарушителям установленных требований меры дисциплинарного воздействия.

Не менее актуальным в составе корпоративной нормативной базы является массив должностных инструкций конкретных работников, входящих в состав службы безопасности и его подразделений. Типовая структура должностной инструкции предусматривает наличие описания функциональных обязанностей сотрудника, его права по их выполнению, а также меры ответственности за нарушение своих обязанностей.

В группу информационно-справочных документовможно отнести такие материалы, которые в систематизированном виде содержат некоторую совокупность методических сведений, необходимых и достаточных для получения четкого и однозначного представления о тех или иных аспектах используемых комплексов защиты информации. В качестве основных подгрупп этой группы документов могут быть выделены словари (глоссарии), учебно-методические пособия и справочники.

Корпоративная нормативная база, как и любое другое средство защиты информации, имеет свой срок морального старения, определяющий жизненный цикл документов. При нынешних условиях бурной информатизации процессов управления организацией, широкого внедрения современных информационных технологий их срок составляет от одного до трех лет. Такой же период необходимо устанавливать и для пересмотра, переработки и переутверждения нормативных документов корпоративного уровня.

В последнее время широкое внедрение компьютерных технологий и острая потребность в обеспечении их информационной безопасности привели к появлению ряда интересных решений проблемы унификации и стандартизации в рассматриваемой сфере.

Эти решения являются «хорошими практиками», утвержденными на уровне международных стандартов. В частности, предложены унифицированные подходы по формированию нормативно-методической базы по управлению (менеджменту) комплексами обеспечения информационной безопасности на основе политики безопасности корпорации.

1   ...   48   49   50   51   52   53   54   55   ...   61


написать администратору сайта