ВУЗ:
Составители:
Заключение
Цель мероприятий в области информационной безопасности – защитить интересы
субъектов информационных отношений. Интересы эти многообразны, но все они кон-
центрируются вокруг трех основных аспектов: доступность, целостность, конфиденци-
альность.
Первый шаг при построении системы ИБ организации – ранжирование и детализа-
ция этих аспектов.
Важность проблематики ИБ объясняется двумя основными причинами:
−
ценностью накопленных информационных ресурсов;
−
критической зависимостью от информационных технологий.
Разрушение важной информации, кража конфиденциальных данных, перерыв в ра-
боте вследствие отказа – все это выливается в крупные материальные потери, наносит
ущерб репутации организации.
Современные информационные системы сложны и, значит, опасны уже сами по се-
бе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уяз-
вимые места в программном обеспечении. Приходится принимать во внимание чрезвы-
чайно широкий спектр аппаратного и программного обеспечения, многочисленные связи
между компонентами.
Успех в области информационной безопасности может принести только комплекс-
ный подход, сочетающий меры четырех уровней: законодательного, административного,
процедурного, программно-технического.
Законодательный уровень является важнейшим для обеспечения информационной
безопасности. Необходимо всячески подчеркивать важность проблемы ИБ; сконцентри-
ровать ресурсы на важнейших направлениях исследований; скоординировать образова-
тельную деятельность; создать и поддерживать негативное отношение к нарушителям
ИБ. На законодательном уровне особое внимание заслуживают правовые акты и стандар-
ты.
Российские правовые акты в большинстве своем имеют ограничительную направ-
ленность. К тому же в законах не предусмотрена ответственность государственных орга-
нов за нарушения ИБ. Реальность такова, что в России в деле обеспечения ИБ на помощь
государства рассчитывать не приходится. На этом фоне поучительным является законо-
дательство США в области ИБ, которое гораздо обширнее и многограннее российского.
Среди стандартов выделяются «Оранжевая книга», рекомендации X.800 и «Критерии
оценки безопасности информационных технологий».
Международный стандарт ISO 15408, известный как «Общие критерии», реализует
современный подход, в нем зафиксирован чрезвычайно широкий спектр сервисов безо-
пасности. Его принятие в качестве национального стандарта важно не только из абст-
рактных соображений интеграции в мировое сообщество; но и существенно расширит
спектр доступных сертифицированных решений.
Главная задача мер административного уровня – сформировать программу работ в
области информационной безопасности и обеспечить ее выполнение, выделяя необходи-
мые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход органи-
зации к защите своих информационных активов.
Разработка политики и программы безопасности начинается с анализа рисков, пер-
вым этапом которого, в свою очередь, является ознакомление с наиболее распространен-
ными угрозами.
Главные угрозы – внутренняя сложность ИС, непреднамеренные ошибки штатных
пользователей, операторов, системных администраторов и других лиц, обслуживающих
информационные системы. Реальную опасность представляют пожары и другие аварии
поддерживающей инфраструктуры.
Для подавляющего большинства организаций достаточно общего знакомства с рис-
ками; ориентация на типовые, апробированные решения позволит обеспечить базовый
уровень безопасности при минимальных интеллектуальных и разумных материальных
затратах.
Безопасность невозможно добавить к системе, ее нужно закладывать с самого нача-
ла и поддерживать до конца.
Меры процедурного уровня ориентированы на людей (а не на технические средства)
и подразделяются на следующие виды: управление персоналом, физическая защита, под-
держание работоспособности, реагирование на нарушения режима безопасности, плани-
рование восстановительных работ.
Страницы
- « первая
- ‹ предыдущая
- …
- 112
- 113
- 114
- 115
- 116
- …
- следующая ›
- последняя »
