Комплексное управление системой защиты информации

Комплексное управление системой защиты информации предприятия осуществляется на основе принятой и действующей политики информационной безопасности. С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации.

К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

- решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

- формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

- обеспечение базы для соблюдения законов и правил;

- формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных.

Для организации, занимающейся продажами важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей.

Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов - отношение к передовым технологиям, доступ в Internet, использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Примеры вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

- кто имеет право доступа к объектам, поддерживаемым сервисом?

- при каких условиях можно читать и модифицировать данные?

- как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию.

В более общем случае цели должны связывать между собой объекты сервиса и действия с ними. Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами.

Организация деятельности предприятия по обеспечению информационной безопасности должна соответствовать современным международным требованиям в данной области.Стандарт информационной безопасности ISO/IEC 27002 - Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности (англ. Information technology — Security techniques — Code of practice for information security management). разработан в 2005 году на основе версии ISO 17799.

Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности. Информационная безопасность определяется стандартом как сохранение конфиденциальности, целостности и доступности информации.

Текущая версия стандарта состоит из следующих основных разделов:

- Политика безопасности (Security policy);

- Организация информационной безопасности (Organization of information security);

- Управление ресурсами (Asset management);

- Безопасность персонала (Human resources security);

- Физическая безопасность и безопасность окружения (Physical and environmental security);

- Управление коммуникациями и операциями (Communications and operations management);

- Управление доступом (Access control);

- Приобретение, разработка и поддержка систем (Information systems acquisition, development and maintenance);

- Управление инцидентами информационной безопасности (Information security incident management);

- Управление бесперебойной работой организации (Business continuity management);

- Соответствие нормативным требованиям.