Составители:
Рубрика:
429
женным показателям и критериям, станет вашим верным помощником в реше-
нии проблем информационной безопасности.
9.4 Рекомендации по повышению информационной безопасности
Анализ отечественного и зарубежного опыта убедительно доказывает необ-
ходимость создания целостной системы информационной безопасности учреж-
дения, увязывающей оперативные, оперативно-технические и организационные
меры защиты. Причем система безопасности должна быть
оптимальной с точки
зрения соотношения затрат и ценности защищаемых ресурсов. Необходима
гибкость и адаптация системы к быстро меняющимся факторам окружающей
среды, организационной и социальной обстановке в учреждении. Достичь тако-
го уровня безопасности невозможно без проведения анализа существующих уг-
роз и возможных каналов утечки информации, а также без выработки политики
информационной безопасности
на предприятии. В итоге должен быть создан
план защиты, реализующий принципы, заложенные в политике безопасности.
Именно о работах по анализу риска и выработке рекомендаций далее пойдет
речь.
Целью проведения работ является определение правильного (с точки зрения
организации) способа использования вычислительных и коммуникационных
ресурсов, а также разработка мер по предотвращению и
ликвидации последст-
вий нарушений режима безопасности. Чтобы достичь данной цели, необходимо
учитывать специфику конкретной организации.
Кто принимает участие в проведении работ по исследованию информаци-
онной защищенности? Вопросы приема, передачи и обработки информации мо-
гут касаться большей части сотрудников организации. Однако реально оказать
влияние на информационную защищенность может технический персонал, спо
-
собный понять все аспекты политики безопасности и ее реализации, а также
руководители, способные влиять на проведение политики в жизнь. Реально это
чаще всего сотрудники службы безопасности (информационной) и службы, от-
вечающей за автоматизацию процессов обработки информационных потоков.
При проведении работ могут применяться разнообразные методы: эксперт-
но-документальный метод, метод интервьюирования
персонала, имеющего от-
ношение к доступу и обработке конфиденциальной информации, измерение и
оценка уровней излучения для отдельных технических средств и каналов утеч-
ки информации; проверка функций или комплекса функций защиты информа-
ции с помощью тестирующих средств, а также путем их пробного запуска и на-
блюдения за их выполнением, попытки «взлома»
систем защиты информации.
Выполнение работ по анализу риска лучше всего поручить профессионалам:
собственным профессиональным службам или фирмам, специализирующимся
на деятельности в этой области. Успешное их проведение возможно при владе-
нии вышеописанными методами, при наличии квалифицированных специали-
стов и инструментария. Но существуют и другие сложности и «подводные кам-
Страницы
- « первая
- ‹ предыдущая
- …
- 416
- 417
- 418
- 419
- 420
- …
- следующая ›
- последняя »
