Лекция 1 Тема Развитие отечественного предпринимательства
Скачать 3.02 Mb.
|
кадров; архитектуры информационной системы (подключение других локальных сетей, изменение или модификация используемых средств вычислительной техники или ПО); территориального расположения компонентов автоматизированной системы. В рамках плана защиты необходимо иметь план действий персонала в критических ситуациях, т. е. план обеспечения непрерывной работы и восстановления информации. Он отражает: цель обеспечения непрерывности процесса функционирования автоматизированной системы, восстановления ее работоспособности и пути ее достижения; перечень и классификацию возможных кризисных ситуаций; требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации, ведения текущих, долговременных и аварийных архивов; состав резервного оборудования и порядок его использования и т. п.); обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях, при ликвидации их последствий, минимизации наносимого ущерба и при восстановлении нормального функционирования системы. Если организация осуществляет обмен электронными документами с партнерами по выполнению единых заказов, то необходимо в план защиты включить договор о порядке организации обмена электронными документами, в котором отражаются следующие вопросы: разграничение ответственности субъектов, участвующих в процессах обмена электронными документами; определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов; порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.); порядка разрешения споров в случае возникновения конфликтов. План защиты информации представляет собой пакет текстуально- графических документов, поэтому наряду с приведенными компонентами этого пакета в него могут входить: положение о коммерческой тайне, определяющее перечень сведений, составляющих коммерческую тайну, и порядок его определения, а также обязанности должностных лиц по защите коммерческой тайны; положение о защите информации, регламентирующее все направления деятельности по реализации политики безопасности, а также ряд дополнительных инструкций, правил, положений, соответствующих специфике объекта защиты. Реализация плана защиты (управление системой защиты) предполагает разработку необходимых документов, заключение договоров с поставщиками, монтаж и настройку оборудования и т. д. После формирования системы защиты информации решается задача ее эффективного использования, т. е. управления безопасностью. Управление – процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданной программе. Управление информационной безопасностью должно быть: устойчивым к активным вмешательствам нарушителя; непрерывным, обеспечивающим постоянное воздействие на процесс защиты; скрытым, не позволяющим выявлять организацию управления защитой информации; оперативным, обеспечивающим возможность своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку. Кроме того, решения по защите информации должны быть обоснованными с точки зрения всестороннего учета условий выполнения поставленной задачи, применения различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других данных, повышающих достоверность исходной информации и принимаемых решений. Показателем эффективности управления защитой информации является время цикла управления при заданном качестве принимаемых решений. В цикл управления входит сбор необходимой информации для оценки ситуации, принятие решения, формирование соответствующих команд и их исполнение. В качестве критерия эффективности может использоваться время реакции системы защиты информации на нарушение, которое не должно превышать времени устаревания информации исходя из ее ценности. Как показывает разработка реальных АСУ, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является абсолютно надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволят с наибольшей эффективностью обеспечить решение постоянной задачи. Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации – адаптировать абстрактные положения к своей конкретной предметной области (организации, банку), в которой всегда найдутся свои особенности и тонкости. Анализ отечественного и зарубежного опыта убедительно доказывает необходимость создания целостной системы информационной безопасности компании, увязывающей оперативные, оперативно-технические и организационные меры защиты. Причем система безопасности должна быть оптимальной с точки зрения соотношения затрат и ценности защищаемых ресурсов. Необходима гибкость и адаптация системы к быстро меняющимся факторам окружающей среды, организационной и социальной обстановке в учреждении. Достичь такого уровня безопасности невозможно без проведения анализа существующих угроз и возможных каналов утечки информации, а также без выработки политики информационной безопасности на предприятии. В итоге должен быть создан план защиты, реализующий принципы, заложенные в политике безопасности. Но существуют и другие сложности и «подводные камни», на которые обязательно нужно обратить внимание. Это проблемы, выявленные на практике и слабо поддающиеся формализации: проблемы не технического или технологического характера, которые так или иначе решаются, а проблемы социального и политического характера. Проблема 1. Отсутствие понимания у персонала и руководителей среднего и нижнего ранга необходимости проведения работ по повышению уровня информационной безопасности. На этой ступеньке управленческой лестницы, как правило, не видно стратегических задач, стоящих перед организацией. Вопросы безопасности при этом могут вызывать даже раздражение – они создают «ненужные» трудности. Часто приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности: появление дополнительных ограничений для конечных пользователей и специалистов подразделений, затрудняющее их пользование автоматизированной системой организации; необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности. Указанная проблема является одной из основных. Все остальные вопросы так или иначе выступают в качестве ее следствий. Для ее преодоления важно решить следующие задачи: во-первых, повысить квалификацию персонала в области защиты информации путем проведения специальных собраний, семинаров; во-вторых, повысить уровень информированности персонала, в частности, о стратегических задачах, стоящих перед организацией. Проблема 2. Противостояние службы автоматизации и службы безопасности организаций. Эта проблема обусловлена родом деятельности и сферой влияния, а также ответственности этих структур внутри предприятия. Реализация системы защиты находится в руках технических специалистов, а ответственность за ее защищенность лежит на службе безопасности. Специалисты службы безопасности хотят во что бы то ни стало ограничить при помощи межсетевых экранов весь трафик. Но люди, работающие в отделах автоматизации, не желают решать дополнительные проблемы, связанные с обслуживанием специальных средств. Такие разногласия не лучшим образом сказываются на уровне защищенности всей организации. Решается эта проблема, как и большинство подобных, чисто управленческими методами. Важно, во-первых, иметь в организационной структуре фирмы механизм решения подобных споров. Например, обе службы могут иметь единое начальство, которое будет решать проблемы их взаимодействия. Во-вторых, технологическая и организационная документации должны четко и грамотно делить сферы влияния и ответственности подразделений. Проблема 3. Личные амбиции и взаимоотношения на уровне руководителей среднего и высшего звена. Взаимоотношения между руководителями могут быть разными. Иногда при проведении работ по исследованию информационной защищенности то или иное должностное лицо проявляет сверхзаинтересованность в результатах этих работ. Действительно, исследования – это достаточно сильный инструмент для решения их частных проблем и удовлетворения амбиций. Выводы и рекомендации, записанные в отчете, используются как план к дальнейшим действиям того или другого звена. Возможна также и «вольная» трактовка выводов отчета в сочетании с проблемой 5, описанной ниже. Такая ситуация является крайне нежелательным фактором, так как искажает смысл проведения работ и |