Административный уровеньОсновой мер административного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности определяет стратегию организации в области информационной безопасности, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить. Стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы: · вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности; · организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности; · классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты; · штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.); · раздел, освещающий вопросы физической защиты; · управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями; · раздел, описывающий правила разграничения доступа к производственной информации; · раздел, характеризующий порядок разработки и сопровождения систем; · раздел, описывающий меры, направленные на обеспечение непрерывной работы организации; · юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п. Административный уровень — белое пятно в отечественной практике информационной безопасности. Нет законов, обязывающих организации иметь политику безопасности. Ни одно из ведомств, курирующих информационную безопасность, не предлагает типовых разработок в данной области. Ни одно учебное заведение не готовит специалистов по составлению политики безопасности. Мало кто из руководителей знает, что такое политика безопасности, еще меньшее число организаций такую политику имеют. В то же время, без подобной основы прочие меры информационной безопасности повисают в воздухе, они не могут быть всеобъемлющими, систематическими и эффективными. Например, меры защиты от внешних хакеров и от собственных обиженных сотрудников должны быть совершенно разными, поэтому в первую очередь необходимо определиться, какие угрозы чреваты нанесением наибольшего ущерба. (Отметим в этой связи, что по статистике наибольший ущерб происходит от случайных ошибок персонала, обусловленных неаккуратностью или некомпетентностью, поэтому в первую очередь важны не хитрые технические средства, а меры обучения, тренировка персонала и регламентирование его деятельности.) Разработка политики безопасности требует учета специфики конкретных организаций. Бессмысленно переносить практику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. В этой области целесообразно предложить, во-первых, основные принципы разработки политики безопасности, а, во-вторых, — готовые шаблоны для наиболее важных разновидностей организаций. Анализ ситуации на административном уровне информационной безопасности еще раз показывает важность созидательного, а не карательного законодательства. Можно потребовать от руководителей наличия политики безопасности (и в перспективе это правильно), но сначала нужно разъяснить, научить, показать, для чего она нужна и как ее разрабатывать.
|
