2014-02-17
586
В “Оранжевой книге” [76] политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности трактуется несколько шире – как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса.
Результатом политики является высокоуровневый документ, в котором излагаются цели, задачи, принципы и способы достижения информационной безопасности.
Данный документ составляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений: 1) основные положения информационной безопасности; 2) область применения; 3) цели и задачи обеспечения информационной безопасности; 4) распределение ролей и ответственности; 5) общие обязанности.
Основные положения определяют важность ОБИ, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.
|
|
|
Областью применения политики безопасности являются основные активы и подсистемы АС, подлежащие защите. Типовые активы составляют программно-аппаратное и информационное обеспечение АС, персонал, в отдельных случаях информационная инфраструктура предприятия.
Цели и задачи ОБИ вытекают из функционального назначения предприятия. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности (оперативной готовности) подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т.д. Здесь указываются законы и правила организации, которые необходимо учитывать при проведении работ по ОБИ.
Типовыми целями могут быть следующие: обеспечение уровня безопасности, соответствующего нормативным документам предприятия; достижение экономической целесообразности в выборе защитных мер; обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС; реалиация подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации; выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы АС и др.
Если предприятие не является изолированным, цели и задачи рассматриваются в более широком контексте: должны быть оговорены вопросы безопасного взаимного влияния локальных и удаленных подсистем.
В указанном документе могут быть конкретизированы некоторые стратегические принципы безопасности (вытекающие из целей и задач ОБИ). Таковыми являются стратегии действий в случае нарушения политики безопасности, взаимодействия с внешними организациями, правоохранительными органами, прессой и др. В качестве примера можно привести две стратегии ответных действий на нарушение безопасности: 1) “защититься и продолжить”, когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению;
2) “выследить и осудить”, когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания.
|
|
|
Обстоятельства, позволяющие выбрать стратегию, приведены в табл.6.1.
Таблица 6.1
