Обеспечение Информационной Безопасности
Обеспечение информационной безопасности — очень непростая задача, имеющая несколько уровней.
Программно-технический уровень.
С современной точки зрения информационным системам должны быть доступны следующие механизмы безопасности:
- управление доступом,
- экранирование,
- проверка подлинности пользователей и их идентификация,
- протоколирование и аудит,
- обеспечение высокой доступности,
- криптография.
Процедурный уровень.
К нему относятся меры, реализуемые людьми. Опыт, накопленный в отечественных организациях, по реализации процедурных мер пришел из докомпьютерного прошлого и нуждается в существенном пересмотре.
Существуют следующие группы организационных (процедурных) мер:
- управление персоналом,
- поддержание работоспособности,
- планирование восстановительных работ,
- физическая защита,
- реагирование на нарушение безопасного режима.
Для каждой группы должны существовать правила, определяющие действия персонала. Они должны быть учреждены в каждой конкретной организации и отработаны на практике.
Административный уровень.
Политика безопасности, предпринимаемая руководством организации, является основой мер административного уровня. Это совокупность документированных решений руководства, которые направлены на защиту информации, а также ресурсов, ассоциированных с ней. Политика безопасности основывается на анализе реальных рисков, угрожающих информационной системе той или иной организации. После анализа разрабатывается стратегия защиты. Это программа, под которую выделяются деньги, назначаются ответственные, устанавливается порядок контроля ее выполнения и т.д.
Поскольку каждая организация имеет свою специфику, бессмысленно переносить практику государственных режимных предприятий на коммерческие структуры, персональные компьютерные системы или учебные заведения. Целесообразнее использовать основные принципы разработки политики безопасности или готовые шаблоны для основных разновидностей организаций.
