2014-02-02
3991
Административные меры защиты
— Управление персоналом. Включает в себя принцип разделения обязанностей (ни один человек не должен нарушить критически важный для организации процесс) и принцип минимизации привилегий (пользователям предоставляются лишь те права доступа, которые необходимы им для выполнения служебных обязанностей).
— Поддержание работоспособности системы. Это выполнение рутинных необходимых действий, таких как резервное копирование, документирование, управление носителями (учет CD-дисков, дискет) и т.д.
Политика безопасности организации — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которыми руководствуется организация в своей деятельности. Разработка политики безопасности включает определение следующих основных моментов:
— какие данные и насколько серьезно необходимо защищать;
— кто и какой ущерб может нанести организации в информационном аспекте;
— основные риски и способы их уменьшения до приемлемой величины.
С практической точки зрения политику безопасности можно условно разделить на три уровня: верхний, средний и нижний.
К верхнему уровню относятся решения, затрагивающие организацию в целом (как правило, носят общий характер и исходят от руководства). Например, цели организации в области информационной безопасности, программа работ в области информационной безопасности (с назначением ответственных за ее реализацию).
К среднему уровню относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией (например, использование на работе персональных ноутбуков, установка непроверенного программного обеспечения, работа с Интернетом и т.д.).
Политика безопасности нижнего уровня касается конкретных сервисов и должна быть наиболее детальной. Часто правила достижения целей политики безопасности нижнего уровня заложены в эти сервисы на уровне реализации.
1. Простота механизма защиты. Используемые средства защиты не должны требовать от пользователей специальных знаний или значительных дополнительных трудозатрат. Они должны быть интуитивно понятны и просты в использовании,.
2. Системность. При разработке системы защиты и вводе ее в эксплуатацию необходим учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для обеспечения безопасности. В частности, должны быть учтены все слабые места АИС, возможные цели и характер атак, возможность появления принципиально новых угроз безопасности.
3. Комплексность. Предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Целесообразно строить эшелонированную систему защиты, обеспечивающую комплексную безопасность на разных уровнях (внешний уровень — физические средства, организационные и правовые меры; уровень ОС; прикладной уровень).
4. Непрерывность. Мероприятия по обеспечению информационной безопасности АИС должны осуществляться на протяжении всего ее жизненного цикла — начиная с этапов анализа и проектирования и заканчивая выводом системы из эксплуатации. При этом наилучший результат достигается, когда разработка системы защиты идет параллельно с разработкой самой защищаемой АИС. Не допускается также никаких перерывов в работе средств защиты.
5. Разумная достаточность. Один из основополагающих принципов информационной безопасности гласит: абсолютно надежная защита невозможна. Любой самый сложный механизм защиты может быть преодолен злоумышленником при затрате соответствующих средств и времени11. Система защиты считается достаточно надежной, если средства, которые необходимо затратить злоумышленнику на ее преодоление значительно превышают выгоду, которую он получит в случае успеха. Иногда используется обратный принцип: расходы на систему защиты (включая потребляемые ей системные ресурсы и неудобства, возникающие в связи с ее использованием) не должны превышать стоимость защищаемой информации.
6. Гибкость. Система защиты должна иметь возможность адаптироваться к меняющимся внешним условиям и требованиям.
7. Открытость алгоритмов и механизмов защиты. Система должна обеспечивать надежную защиту в предположении, что противнику известны все детали ее реализации. Или иными словами, защита не должна обеспечиваться за счет секретности структуры и алгоритмов системы защиты АИС.
[1] Бизнес-процесс — это логически завершенный набор операций (бизнес-процедур), поддерживающих структуру предприятия и реализующих его политику, направленную на достижение поставленных целей.
