Составители:
Рубрика:
204
- положение о защите информации, регламентирующее все направления деятельности
по реализации политики безопасности, а также ряд дополнительных инструкций, правил,
положений, соответствующих специфике объекта защиты.
Реализация плана защиты (управление системой защиты) предполагает разработку
необходимых документов, заключение договоров с поставщиками, монтаж и настройку
оборудования и т. д. После формирования системы защиты информации
решается задача ее
эффективного использования, т. е. управления безопасностью.
Управление – процесс целенаправленного воздействия на объект, осуществляемый
для организации его функционирования по заданной программе. Управление
информационной безопасностью должно быть:
- устойчивым к активным вмешательствам нарушителя;
- непрерывным, обеспечивающим постоянное воздействие на процесс защиты;
- скрытым, не позволяющим выявлять организацию управления защитой информации;
- оперативным
, обеспечивающим возможность своевременно и адекватно реагировать
на действия злоумышленников и реализовывать управленческие решения к заданному сроку.
Кроме того, решения по защите информации должны быть обоснованными с точки
зрения всестороннего учета условий выполнения поставленной задачи, применения
различных моделей, расчетных и информационных задач, экспертных систем, опыта и
любых других данных, повышающих достоверность
исходной информации и принимаемых
решений.
Показателем эффективности управления защитой информации является время цикла
управления при заданном качестве принимаемых решений. В цикл управления входит сбор
необходимой информации для оценки ситуации, принятие решения, формирование
соответствующих команд и их исполнение. В качестве критерия эффективности может
использоваться время реакции системы защиты информации на нарушение, которое
не
должно превышать времени устаревания информации исходя из ее ценности.
Как показывает разработка реальных АСУ, ни один из способов (мер, средств и
мероприятий) обеспечения безопасности информации не является абсолютно надежным, а
максимальный эффект достигается при объединении всех их в целостную систему защиты
информации. Только оптимальное сочетание организационных, технических и программных
мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в
актуальном состоянии позволят с наибольшей эффективностью обеспечить решение
постоянной задачи.
Методологические основы обеспечения информационной безопасности являются
достаточно общими рекомендациями, базирующимися на мировом опыте создания
подобных систем. Задача каждого специалиста по защите информации – адаптировать
абстрактные положения к своей конкретной предметной
области (организации, банку), в
которой всегда найдутся свои особенности и тонкости.
Анализ отечественного и зарубежного опыта убедительно доказывает необходимость
создания целостной системы информационной безопасности компании, увязывающей
оперативные, оперативно-технические и организационные меры защиты. Причем система
безопасности должна быть оптимальной с точки зрения соотношения затрат и ценности
защищаемых ресурсов. Необходима гибкость
и адаптация системы к быстро меняющимся
факторам окружающей среды, организационной и социальной обстановке в учреждении.
Достичь такого уровня безопасности невозможно без проведения анализа
существующих угроз и возможных каналов утечки информации, а также без выработки
политики информационной безопасности на предприятии. В итоге должен быть создан план
защиты, реализующий принципы, заложенные в политике
безопасности.
Но существуют и другие сложности и «подводные камни», на которые обязательно
нужно обратить внимание. Это проблемы, выявленные на практике и слабо поддающиеся
формализации: проблемы не технического или технологического характера, которые так или
иначе решаются, а проблемы социального и политического характера.
Страницы
- « первая
- ‹ предыдущая
- …
- 202
- 203
- 204
- 205
- 206
- …
- следующая ›
- последняя »
