Создание системы защиты на предприятии административный уровень. Оиб л.6. р. Административный уровень информационной безопасности. Синхронизация программы безопасности с жизненным циклом систем

РАБОТА № 6

“ Административный уровень информационной безопасности ”

Цель работы

Изучить политику безопасности и программу безопасности.

1. Теоретическое введение

1.1. Основные понятия

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности , отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Термин "политика безопасности" является не совсем точным переводом английского словосочетания "security policy", однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные "правила безопасности". Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.

1.2. Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей ;
;
формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
раздел, освещающий вопросы физической защиты;
управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями ;
раздел, описывающий правила разграничения доступа к производственной информации;
раздел, характеризующий порядок разработки и сопровождения систем;
раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов - отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта . Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

Позиция организации по данному аспекту . Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит определенное должностное лицо , а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

кто имеет право доступа к объектам, поддерживаемым сервисом?
при каких условиях можно читать и модифицировать данные?
как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

1.3. Программа безопасности

После того, как сформулирована политика безопасности, можно приступать к составлению программы ее реализации и собственно к реализации.

Чтобы понять и реализовать какую-либо программу, ее нужно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней - верхнего, или центрального, который охватывает всю организацию , и нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

управление рисками (оценка рисков, выбор эффективных средств защиты);
координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
стратегическое планирование;
контроль деятельности в области информационной безопасности.

В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Следует подчеркнуть, что программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, а также иметь определенный штат и бюджет.

Цель программы нижнего уровня - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.

1.4. Синхронизация программы безопасности с жизненным циклом систем

Если синхронизировать программу безопасности нижнего уровня с жизненным циклом защищаемого сервиса, можно добиться большего эффекта с меньшими затратами. Программисты знают, что добавить новую возможность к уже готовой системе на порядок сложнее, чем изначально спроектировать и реализовать ее. То же справедливо и для информационной безопасности.

В жизненном цикле информационного сервиса можно выделить следующие этапы:

Инициация. На данном этапе выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение.

Закупка. На данном этапе составляются спецификации, прорабатываются варианты приобретения, выполняется собственно закупка.

Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию.

Эксплуатация. На данном этапе сервис не только работает и администрируется, но и подвергается модификациям.

Выведение из эксплуатации. Происходит переход на новый сервис.

Рассмотрим действия, выполняемые на каждом из этапов, более подробно.

На этапе инициации оформляется понимание того , что необходимо приобрести новый или значительно модернизировать существующий сервис; определяется, какими характеристиками и какой функциональностью он должен обладать; оцениваются финансовые и иные ограничения.

С точки зрения безопасности важнейшим действием здесь является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться. Требуется сформулировать ответы на следующие вопросы:

какого рода информация предназначается для обслуживания новым сервисом?
каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?
каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?
есть ли какие-либо особенности нового сервиса (например, территориальная распределенность компонентов), требующие принятия специальных процедурных мер?
каковы характеристики персонала, имеющие отношение к безопасности (квалификация, благонадежность)?
каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис?

Результаты оценки критичности являются отправной точкой в составлении спецификаций. Кроме того, они определяют ту меру внимания, которую служба безопасности организации должна уделять новому сервису на последующих этапах его жизненного цикла.

Этап закупки - один из самых сложных. Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, обслуживание, обучение персонала. Разумеется, особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигурацией. Подчеркнем также, что нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.

Когда продукт закуплен, его необходимо установить. Несмотря на кажущуюся простоту, установка является очень ответственным делом. Во-первых, новый продукт следует сконфигурировать. Как правило, коммерческие продукты поставляются с отключенными средствами безопасности; их необходимо включить и должным образом настроить. Для большой организации, где много пользователей и данных, начальная настройка может стать весьма трудоемким и ответственным делом.

Во-вторых, новый сервис нуждается в процедурных регуляторах. Следует позаботиться о чистоте и охране помещения, о документах, регламентирующих использование сервиса, о подготовке планов на случай экстренных ситуаций, об организации обучения пользователей и т.п.

После принятия перечисленных мер необходимо провести тестирование. Его полнота и комплексность могут служить гарантией безопасности эксплуатации в штатном режиме.

Период эксплуатации - самый длительный и сложный. С психологической точки зрения наибольшую опасность в это время представляют незначительные изменения в конфигурации сервиса, в поведении пользователей и администраторов. Если безопасность не поддерживать , она ослабевает. Пользователи не столь ревностно выполняют должностные инструкции, администраторы менее тщательно анализируют регистрационную информацию. То один, то другой пользователь получает дополнительные привилегии. Кажется, что в сущности ничего не изменилось; на самом же деле от былой безопасности не осталось и следа.

Для борьбы с эффектом медленных изменений приходится прибегать к периодическим проверкам безопасности сервиса. Разумеется, после значительных модификаций подобные проверки являются обязательными.

При выведении из эксплуатации затрагиваются аппаратно-программные компоненты сервиса и обрабатываемые им данные. Аппаратура продается, утилизируется или выбрасывается. Только в специфических случаях необходимо заботиться о физическом разрушении аппаратных компонентов, хранящих конфиденциальную информацию. Программы, вероятно, просто стираются, если иное не предусмотрено лицензионным соглашением.

При выведении данных из эксплуатации их обычно переносят на другую систему, архивируют, выбрасывают или уничтожают. Если архивирование производится с намерением впоследствии прочитать данные в другом месте, следует позаботиться об аппаратно-программной совместимости средств чтения и записи. Информационные технологии развиваются очень быстро, и через несколько лет устройств, способных прочитать старый носитель, может просто не оказаться. Если данные архивируются в зашифрованном виде, необходимо сохранить ключ и средства расшифровки. При архивировании и хранении архивной информации нельзя забывать о поддержании конфиденциальности данных.

2. Порядок выполнения работы
1.Ознакомиться с содержанием административного уровня информационной безопасности.

2.Выполнить практическое задание.

3.Ответить на контрольные вопросы.
3. Практические задания

1. Разработать интерфейс пользователя «Политика безопасности».

2. Разработать интерфейс пользователя «Программа безопасности».

3. Разработать интерфейс пользователя «Синхронизация программы безопасности с жизненным циклом систем».

4. Контрольные вопросы

Вариант 1

1. Главная цель мер, предпринимаемых на административном уровне:

сформировать программу безопасности и обеспечить ее выполнение
выполнить положения действующего законодательства
отчитаться перед вышестоящими инстанциями

решение сформировать или пересмотреть комплексную программу безопасности
обеспечение базы для соблюдения законов и правил
обеспечение конфиденциальности почтовых сообщений

закупка
продажа
выведение из эксплуатации

Вариант 2

1. Политика безопасности:

фиксирует правила разграничения доступа
отражает подход организации к защите своих информационных активов
описывает способы защиты руководства организации

2. В число целей политики безопасности верхнего уровня входят:

формулировка административных решений по важнейшим аспектам реализации программы безопасности
выбор методов аутентификации пользователей
обеспечение базы для соблюдения законов и правил

3. В число этапов жизненного цикла информационного сервиса входят:

инициация
терминация
установка

Вариант 3

1. Политика безопасности строится на основе:

общих представлений об ИС организации
изучения политик родственных организаций
анализа рисков

2. В число целей политики безопасности верхнего уровня
входят:

определение правил разграничения доступа
формулировка целей, которые преследует организация в области информационной безопасности
определение общих направлений в достижении целей безопасности

3. В число этапов жизненного цикла информационного
сервиса входят:

эксплуатация
спецификация прав человека
выведение из эксплуатации

Административный уровень информационной безопасности 1

Источник 1

1. Административный уровень информационной безопасности: Основные понятия 1

2. Политика безопасности 2

3. Программа безопасности 6

4. Синхронизация программы безопасности с жизненным циклом систем 7

Литература 9

Источник

Основы информационной безопасности. В.А. Галатенко. Административный уровень информационной безопасности [http://www.intuit.ru/department/security/secbasics/class/free/6/ ]

1. Административный уровень информационной безопасности: Основные понятия

Кадминистративному уровнюинформационной безопасности относятсядействия общего характера, предпринимаемые руководством организации.

Главная цельмер административного уровня - сформироватьпрограмму работ в области информационной безопасностии обеспечить ее выполнение,выделяянеобходимые ресурсыиконтролируя состояние дел.

Основойпрограммы являетсяполитика безопасности, отражающаяподход организации к защите своих информационных активов. Руководство каждой организации должноосознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когдариски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программувыделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Термин "политика безопасности" являетсяне совсем точнымпереводом английского словосочетания "security policy", однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные"правила безопасности". Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), астратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно,политические решения, принимаемые на самом высоком уровне.

Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составитькарту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле,с возможностью варьироватьне толькоуровень детализации, но ивидимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.

Страница 1 из 5

Административный уровень обеспечения ИБ

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности . Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
обеспечение базы для соблюдения законов и правил;
формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики безопасности верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика безопасности среднего уровня должна для каждого аспекта освещать следующие темы:

1. Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

2. Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

3. Роли и обязанности . В документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

4. Законопослушность . Политика должна содержать общее описание запрещенных действий и наказаний за них.

5. Точки контакта . Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения , поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

кто имеет право доступа к объектам, поддерживаемым сервисом?
при каких условиях можно читать и модифицировать данные?
как организован удаленный доступ к сервису?

Административный уровень

Главная цель административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя нобходимые ресурсы и контролируя состояние дел. Основой программ является политика безопасности отражающая подход организации к защите своих информационных активов.

Информационная система организаций, и связанные с ней субъекты, интересы субъектов-сложная система для оценки и анализа которой применяют Объектно ориентированный подход, и понятие уровня детализации. С практической точки зрения политику безопасности целесообразно рассматривать на 3х уровнях детализации.

1. Верхний уровень – решение охватывающее организацию в целом: решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение этой программы.

2. Формирование цели, которые преследует организация в области информационной безопасности, определение общих направлений для достижения цели.

3. Обеспечение базы для соблюдения законов и правил.

4. Формулировка административных решений по вопросам реализации программы безопасности, которые затрагивают организацию в целом.

На верхнем уровне определяется управление защитными ресурсами и координация работы с этими ресурсами. Определение специального персонала для защиты систем и взаимодействия с другими организациями.

К среднему уровню относят вопросы касающиеся отдельных аспектов безопасности, но специфичны для различных эксплуатируемых организациях в системе.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

1. Описание аспекта (например доступ к международным сетям)

2. Область применения

3. Позиции организации по данному вопросу

4. Роли и обязанности

5. Законопослушность

6. Точки контакта

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Чем подробнее правила, чем более специфично они изложены, тем прозе поддерживать их выполнение, с помощью программно-технических средств.

После того, как сформулирована политика безопасности, приступают к составлению программы ее реализации и к самой реализации.

Контроль деятельности в области безопасности имеет двухсторонюю направленность, во первых необходимо гарантировать что действия организации не противоречат действующим законам. Во-вторых необходимо постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Политика информационной безопасности.

Набор законов, правил, практических рекомендаций и опытов определяющих управленческие и проектные решения в области защиты информации. На основе политики безопасности строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение информационной системы в определенных ситуациях.

При разработке и приведении в жизнь информационной безопасности целесообразно руководствоваться следующими принципами:

1. Невозможность миновать защитные средства – принцип невозможности означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через средства защиты информации.

2. Усиление самого слабого звена – часто таким звеном оказывается не компьютер или программа, а пользователь. Тогда проблема обеспечения информационной безопасности приобретает не технический характер.

3. Недопустимость перехода в открытое состояние – означает, что при любых обстоятельствах система защиты информации либо полностью выполняет свои функции, либо должна полностью блокировать доступ.

4. Минимизация привелегий – данный принцип предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.

5. Разделение обязанностей – предполагает что распределение ролей и ответственности обеспечит предотвращение злонамеренных или неквалифицированных действий системного администратора (1 человек не может нарушить критически важной для организации процесс).

6. Многоуровневая защита – предписывает не полагаться на единственный защитный рубеж. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией – управление доступом, протоколирование и аудит.

7. Разнообразие защитных средств – рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и по возможности не совместимыми навыками преодоления средств защиты информации.

8. Простота и управляемость информационной системы – определяет возможность формального доказательства, корректность, реализация механизмов защиты. Только в простой и управляемой системе можно проверить согласованность конфигураций различных компонентов и осуществить централизованное администрирование.

9. Обеспечение всеобщей поддержки мер безопасности – носит не технический характер, рекомендуется изначально разработать комплекс мер направленный на обеспечение лояльности персонала, на постоянное практическое и теоретическое обучение.

Два вида политики безопасности: избирательная и полномочная.

Избирательная: основой избирательной политики является избирательное управление доступом: все субъекты и объекты системы должны быть идентифицированы, права доступа с субъекту\объекту определяется на основании некоторого правила. Свойство избирательности. Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа. Матрица доступа – наиболее простой подход к моделированию систем доступа.

Полномочная политика безопасности: основа полномочной политики составляет полномочное управление доступом: 1. Все субъекты и объекты должны быть однозначно идентифицированы.
2. Каждому объекту системы присваивается метка критичности, определяющая ценность содержащийся в нем информации.
3. Каждому субъекту присваивается уровень прозрачности, определяющий максимальное значение метки критичности объектов к которым субъект имеет доступ.

Основное назначение полномочной политики – регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращения утечки информации с верхних уровней должностной иерархии в нижние, а так же блокирование возможного проникновения с нижних уровней в верхние. Ее применение в коммерческом секторе сдерживается по следующим причинам:
1. Отсутствие в коммерческих организациях четкой классификации хранимой и обрабатываемой информации.
2. Высокая стоимость реализации и большие накладные расходы.

Политика безопасности предполагает широкий спектр организационно-технических мероприятий. Приведем перечень основных:

1. Разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности.

2. Внесение необходимых изменений и дополнений во все организационно-распорядительные документы по вопросам обеспечения безопасности и действиям в случае возникновения критических ситуаций.

3. Выявление наиболее вероятных угроз для данной информационной системы и уязвимых мест процесса обработки информации и каналов доступа к ней.

4. Организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией.

5. Контроль функционирования и управления используемыми средствами защиты информации.

6. Периодический анализ состояния и оценка эффективности мер защиты информации.

7. Рассмотрение и утверждение всех изменений в оборудовании информационной системы, проверка их на удовлетворение требованиям защиты и документальное отображение изменений. И т.д.

Перечислим ряд действий, которые значительно повышают степень защиты корпоративной сети без значительных финансовых затрат:

1. Тщательное наблюдение за персоналом (в особенности за низкооплачивыемыми работниками).

2. Незаметная проверка послужного списка нанимаемого работника.

3. Ознакомление нанимаемого сотрудника с документами описывающими политику организации в области информационной безопасности и получение расписки.

4. Изменение содержимого всех экранов для входа в систему таким образом, чтобы они отражали политику безопасности принятую на предприятии.

5. Повышение уровня физической защиты.

6. Минимизация риска компьютерных краж и заражения вирусами.

7. Признание за сотрудниками определенных прав при работе с компьютерами, например:

А. Организация досок объявлений.

Б. Соблюдение конфиденциальности электронной почты.

В. Разрешение использовать определенные компьютерные игры.

Сотрудники компании должны быть союзниками, а не противниками администратора системы в борьбе за безопасность данных!!!

Организационно-режимные меры базируются на законодательных и нормативных документах по безопасности информации и должны охватывать следующие основные пути сохранения информационных ресурсов:

1. Ограничение физического доступа к объектам обработки и хранения информации и реализацию режимных мер.

2. Ограничение возможности перехвата информации вследствии существования физических полей.

3. Ограничение доступа к информационным ресурсам и другим элементам обработки данных путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных.

4. Создание твердых копий на случай утраты массивов данных.

5. Проведение профилактических и других мер от внедрения вирусов.

1. Мероприятия осуществляемые при создании информационной системы

А. Разработка общего проекта системы и ее структурных элементов.

Б. Строительство или переоборудование сообщений.

В. Разработка математического, программного, информационного или лингвистического обеспечения.

Г. Монтаж и наладка оборудования.

Д. Испытание и прием системы.

Особое значение на данном этапе предается определению действительных возможностей механизмов защиты. Для чего целесообразно применить комплекс испытаний и нагрузок.

2. Мероприятия осуществляемые в процессе эксплуатации информационной системы.

А. Организация пропускного режима.

Б. Организация автоматизированной обработки информации.

В. Организация ведения протокола.

Г. Распределение реквизитов разграничения доступа.

Д. Контроль выполнения требований служебных инструкций.

3. Мероприятия общего характера:

А. Учет требований защиты при подборе кадров.
Б. Ликвидация пробелов в механизме защиты.
В. Планирование мероприятий защиты информации.
Г. Обучение персонала.
Д. Проведение занятий с привлечением ведущих организаций.
Е. Участие в семинарах и конференциях по проблемам безопасности информации.

Организация секретного делопроизводства.

При работе с важными документами следует выполнять следующие требования:

1. Строгий контроль за допуском персонала к секретным документам.

2. Назначение конкретных лиц из руководства и служащих фирмы организующих и контролирующих секретное делопроизводство, наделение их соответствующими полномочиями.

3. Разработка инструкций по работе с секретными документами и ознакомление соответствующих работников.

4. Контроль за принятием сотрудниками письменных обязательств о сохранении коммерческой тайны фирмы.

5. Введение системы материального и иного стимулирования служащих фирмы имеющих доступ к секретным сведениям.

6. Внедрение в повседневную практику механизмов и технологий защиты коммерческой тайны фирмы.

7. Личный контроль со стороны руководителя фирмы службы внутренней безопасности и секретного делопроизводства.

Различные приемы ведения секретного делопроизводства направленны на предотвращение утечки коммерческих секретов. Документы содержащие коммерческую тайну различаются по степени секретности и снабжаются соответствующим грифом.

Составные части делопроизводства	Функции обеспечения безопасности информации при работе с документами	Способы выполнения
Документирование	1. Предупреждение необоснованного изготовления документов 2. Предупреждение включения в документы избыточных конфиденциальных сведений. 3. Предупреждение необоснованного завышения степени секретности документов. 4. Предупреждение необоснованной рассылки.	1. Определение перечня документов 2. Осуществление контроля за содержанием и степени секретности секретности документа 3. Определение реальной степени секретности сведений включенных в документ. 4. Осуществление контроля за размножением и рассылкой документов
Учет документов	Предупреждение утраты документов	1. Обеспечение регистрации каждого документа и удобство его поиска 2. Осуществление контроля за местом нахождения док-та
Хранение документов	1. Обеспечение сохранности документов	1. Выделение специального оборудования, документов, исключающих доступ к ним посторонних лиц 2. Установление порядка доступа к личным делам 3. Осуществление контроля за своевременностью и правильностью формирования дел
Уничтожение документов	1. Исключение из документооборота документов потерявших свою ценность	1. Установление порядка подготовки документов для уничтожения 2. Обеспечение необходимых условий для уничтожения 3. Осуществление контроля за правильностью и своевременностью уничтожения документов
Проверка наличия документов	1. Контроль наличия документов, выполнения требований их обработки, учета, исполнения и сдачи	1. Установление порядка проведения проверок наличия документов и порядка их обработки.

В рамках системы множество и разнообразие видов защиты информации определяется способами воздействия на дестабилизирующие факторы или порождающие их причины, на элементы информационной системы, защищаемую информацию и окружающую среду в направлении повышения показателей защищенности информации.

Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы, и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов - это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее. Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.