Лекция 5. Административный уровень информационной безопасности

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня - сформировать программу работ в области ин­формационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контро­лируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защи­те своих информационных активов. Руководство каждой организации должно осознать необходи­мость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы, и стратегия защиты опре­делена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения про­граммы и т.п.

Термин "политика безопасности" является не совсем точным переводом английского словосоче­тания "security policy", однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные "правила безопасности". Мы будем иметь в виду не отдельные пра­вила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впе­реди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высо­ком уровне.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциирован­ных с ней ресурсов. Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов - это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сдела­ем еще раз далее. Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и види­мые грани объектов. Техническим средством составления, сопровождения и визуализации подоб­ных карт может служить свободно распространяемый каркас какой-либо системы управления.