Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Основные положения информационной безопасности

Управленческие меры обеспечения

информационной безопасности

Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее выполнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая стратегия безопасности, отражающая комплексный подход организации к защите своих ресурсов и информационных активов.

С практической точки зрения стратегию безопасности можно подразделить на три уровня: верхний, средний и нижний.

Верхний уровень стратегии безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководителя организации. Такие решения могут включать следующие элементы:

  • • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
  • • формирование или просмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;
  • • обеспечение материальной базы для соблюдения законов и правил;
  • • формулировка управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Стратегия безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступность, конфиденциальности.

На верхний уровень выносятся управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для зашиты критически важных систем, поддерживание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Стратегия верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполнительскую дисциплину персонала с помощью системы поощрений и наказаний.

Средний уровень стратегии безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией.

Стратегия безопасности среднего уровня должна определять для каждого аспекта информации следующие моменты:

  • • описание объекта — позиция организации может быть сформулирована и в достаточно общем виде, а именно, как набор целей, которые преследует организация в данном аспекте;
  • • область применения — следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная стратегия безопасности;
  • • роли и обязанности — документ должен содержать информацию о должностных лицах, отвечающих за проведение стратегии безопасности в жизнь;
  • • санкции стратегии — должны содержать общее описание запрещенных действий и наказаний за них;
  • • точка контакта — должно быть известно, куда следует обратиться за разъяснениями, помощью и дополнительной информацией.

Обычно «точкой контакта» служит должностное лицо.

Нижний уровень стратегии безопасности относится к конкретным сервисам. Она включает два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая стратегия должна быть более детальной, т. е. при следовании стратегии безопасности нижнего уровня необходимо дать ответ, например, на такие вопросы:

  • • кто имеет право доступа к объектам, поддерживаемым сервисом;
  • • при каких условиях можно читать и модифицировать данные;
  • • как организовать удаленный доступ к сервису.

Стратегия безопасности нижнего уровня может исходить из соображения целостности, доступности и конфиденциальности, но она не должна на них останавливаться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия к ним.

 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Пред   СОДЕРЖАНИЕ   След >
 

Популярные страницы