Подбор курсов
  • Авторизованное обучение
  • Курсы по требованиям регуляторов
  • Повышение квалификации
  • Программы переподготовки
  • Базовые курсы по информационной безопасности
  • Безопасность компьютерных систем и сетей
  • Безопасность прикладных систем
  • Защита информации от утечек по техническим каналам
  • Защита персональных данных/КИИ/государственных информационных систем
  • Обучение по технологиям ЭП и PKI
  • Экономическая и кадровая безопасность
  • СУБД
  • Курсы по требованиям ФСБ России
  • Курсы по требованиям ФСТЭК России
  • Positive Technologies
  • Базовые курсы по технологиям ЭП и PKI
  • Защита персональных данных
  • Курсы по требованиям ФСБ России
  • Защита государственных информационных систем
  • Курсы по требованиям ФСТЭК России
  • Облачные технологии ЭП и PKI
  • КРИПТО-ПРО
  • Защита критической информационной инфраструктуры
  • Курсы по требованиям к финансовым организациям
  • Продвинутые курсы по технологиям ЭП и PKI
  • КриптоПро на Astra Linux
  • Код Безопасности
  • Архитектура безопасности с нулевым доступом (ZTA)
  • UserGate
  • Аладдин Р.Д.
  • Лаборатория Касперского
  • F.A.С.С.T.
  • Безопасность операционных систем
  • Безопасность приложений
  • Check Point Software Technologies
  • Базовые курсы по кадровой безопасности
  • Базовые курсы по экономической безопасности
  • Организация противодействия корпоративному мошенничеству
  • Основы информационной безопасности
  • ПОД/ФТ. Целевой инструктаж и повышение уровня знаний
  • Astra Linux
  • Программа переподготовки по экономической безопасности
  • ТрастВерс
  • Противодействие недобросовестной конкуренции
  • Противодействие кадровым рискам
  • Расследование инцидентов корпоративного мошенничества
  • Сетевая безопасность
  • Управление инцидентами информационной безопасности
  • Управление рисками информационной безопасности
  • Управление рисками при работе с контрагентами
  • Учебный центр «Информзащита»
  • Astra Linux
  • Check Point Software Technologies
  • F.A.C.C.T.
  • Positive Technologies
  • UserGate
  • Айдеко
  • Код Безопасности
  • Аладдин Р.Д.
  • КРИПТО-ПРО
  • Лаборатория Касперского
  • ТрастВерс
  • Курсы экспертов
  • Очно
  • Онлайн-трансляция
  • Вебинар
  • Экзамен
  • Теоретические курсы
  • Практические курсы
  • Комплексные программы
  • Повышение квалификации

Выбрано: 0
Найдено: 0

Сбросить фильтры Перейти
Заказать звонок

Организационные меры обеспечения защиты информации

«Системы безопасности, связи и телекоммуникаций» | №02/1997

В. Гайкович, Д. Ершов

Этой статьей мы открываем серию публикаций, посвященных практическим вопросам обеспечения безопасности информации в автоматизированных системах. Материал, положенный в основу этих публикаций, получен в процессе практической деятельности специалистов АО НИП «Информзащита» по обеспечению информационной безопасности различных организаций и разработке программных и технических средств защиты информации.

Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах (АС), единодушно отмечают следующую особенность — реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы организации сменяется на резкое неприятие. Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

• появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации;

• необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.

Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:

• принятие только организационных мер обеспечения безопасности информации в АС;

• использование только дополнительных технических средств защиты информации (ТСЗИ).

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и как правило не выполняются.

Во втором случае, приобретаются и устанавливаются дополнительные ТСЗИ. Применение ТСЗИ без соответствующей организационной поддержки также неэффективно в связи с тем, что без установленных правил обработки информации в АС применение любых ТСЗИ только усиливает существующий беспорядок.

Как показывает опыт практической работы, для эффективной защиты автоматизированной системы организации необходимо решить ряд организационных задач:

• создать специальное подразделение, обеспечивающее разработку правил эксплуатации автоматизированной системы, определяющее полномочия пользователей по доступу к ресурсам этой системы, осуществляющее административную поддержку ТСЗИ (правильную настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т.п.);

• разработать технологию обеспечения информационной безопасности, предусматривающую порядок взаимодействия подразделений организации по вопросам обеспечения безопасности при эксплуатации автоматизированной системы и модернизации ее программных и аппаратных средств;

• внедрить данную технологию путем разработки и утверждения необходимых нормативно-методических и организационно-распорядительных документов (концепций, положений, инструкций и т.п.).

При создании подразделения информационной безопасности надо учитывать, что для эксплуатации средств защиты нужен минимальный штат сотрудников, осуществляющих поддержку функционирования ТСЗИ. В то же время, разработка и внедрение технологии обеспечения информационной безопасности требует значительно большего времени, больших трудозатрат и привлечения квалифицированных специалистов, потребность в которых после ее внедрения в эксплуатацию отпадает. Кроме того, разработка и внедрение такой технологии должны проводиться в сжатые сроки, чтобы не отстать от развития самой автоматизированной системы организации.

Поэтому, для минимизации расходов на разработку и внедрение технологии обеспечения информационной безопасности целесообразно привлекать сторонних специалистов, имеющих опыт в проведении подобного рода работ.

Применение дополнительных средств защиты информации затрагивает интересы многих структурных подразделений организации. Не столько даже тех, в которых работают конечные пользователи автоматизированной системы, сколько подразделений, отвечающих за разработку, внедрение и сопровождение прикладных задач, за обслуживание и эксплуатацию средств вычислительной техники. Поэтому разрабатываемая технология обеспечения информационной безопасности должна обеспечивать:

• дифференцированный подход к защите различных АРМ и подсистем (уровень защищенности должен определяться с позиций разумной достаточности с учетом важности обрабатываемой информации и решаемых задач);

• унификацию вариантов применения средств защиты информации на АРМ с одинаковыми требованиями к защите;

• реализацию разрешительной системы доступа к ресурсам АС;

• минимизацию, формализацию (в идеале автоматизацию), реальную выполнимость рутинных операций и согласованность действий различных подразделений по реализации требований разработанных положений и инструкций, не создавая больших неудобств при решении сотрудниками своих основных задач;

• учет динамики развития автоматизированной системы, регламентацию не только стационарного процесса эксплуатации защищенных подсистем, но и процессов их модернизации, связанных с многочисленными изменениями аппаратно-программной конфигурации АРМ;

• минимизацию необходимого числа специалистов отдела защиты информации.

Надо совершенно четко понимать, что соблюдение необходимых требований по защите информации, препятствующих осуществлению несанкционированных изменений в системе, неизбежно приводит к усложнению процедуры правомочной модификации АС. В этом состоит одно из наиболее остро проявляющихся противоречий между обеспечением безопасности и развитием и совершенствованием автоматизированной системы. Технология обеспечения информационной безопасности должна предусматривать особые случаи экстренного внесения изменений в программно-аппаратные средства защищаемой АС.

Научно-инженерным предприятием «Информзащита» накоплен значительный опыт предоставления заказчикам услуг по разработке и внедрению технологии обеспечения информационной безопасности.

Основу данной технологии составляет продуманная система определения требуемых степеней (категорий) защищенности ресурсов АС. НИП «Информзащита» располагает пакетом документов, необходимым для разработки и внедрения данной технологии на объектах заказчика. В данный пакет документов входят:

• Концепция обеспечения информационной безопасности. Данный документ определяет общую систему взглядов в организации на проблему защиты информации в АС и пути решения этой проблемы с учетом накопленного опыта и современных тенденций ее развития.

• Положение о категорировании. Данный документ определяет порядок категорирования защищаемых ресурсов и требования по защите ресурсов различных категорий.

• План защиты АС. Данный документ определяет комплекс конкретных организационно-технических мер по защите информации, а также незаконного вмешательства в процесс функционирования конкретной АС. План защиты включает описание технологии обработки данных в защищаемой подсистеме, анализ угроз и оценку риска нанесения ущерба, правила эксплуатации системы, необходимый набор инструкций должностным лицам (инструкция пользователю АС, инструкция администратору безопасности АС и т.д.), определяет порядок взаимодействия подразделений и должностных лиц при внесении изменений в списки пользователей и программно-аппаратную конфигурацию АРМ, а также определяет распределение обязанностей и порядок составления, ведения и использования формуляров защищаемых ресурсов (информации, АРМ, задач и программных средств) в процессе развития АС.

Концептуальная модель системы организационно-распорядительных документов по защите информации и формуляров защищаемых ресурсов приведена на рисунке.

Для банкиров Форензика Защита ПДН ЭБ и кадры
Яндекс.Метрика