Политика безопасности верхних уровней – правового и административного

Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима БИ. Чтобы достичь данной цели, следует учитывать специфику конкретной организации.

К политике безопасности верхнего уровня можно отнести решения, затрагивающие организацию в целом. Они носят общий характер и, как правило, исходят от руководства организации. Список подобных решений включает в себя следующие элементы:

· формирование или пересмотр комплексной программы обеспечения БИ, определение ответственных за продвижение программы;

· формулировка целей, которые преследует организация в области БИ, определение общих направлений в достижении этих целей;

· обеспечение базы для соблюдения законов и правил;

· формулировка решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Цели организации в области БИ формулируются в терминах конфиденциальности, целостности и доступности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение случаев потерь, повреждений или искажений данных. Организация в первую очередь заботится о защите от НСД - конфиденциальности. На верхний уровень политики безопасности выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального личного состава для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим секретности.

Политика безопасности верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации. Однако может быть и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы. В политике определяются обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь. В этом смысле политика является основой подотчетности персонала.

Политика безопасности верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:

· организация должна соблюдать существующие законы;

· следует контролировать действия лиц, ответственных за выработку программы безопасности;

· необходимо обеспечить определенную степень послушания персонала, а для этого нужно выработать систему поощрений и наказаний.

На верхний уровень политики безопасности выносится минимум вопросов. Подобное вынесение целесообразно, если оно сулит значительную экономию средств или когда иначе поступить просто невозможно. Условно верхний уровень подразделяется на два подуровня: правовой и административный.

Правовое обеспечение БИ в РФ регулируется следующими законами:

· Конституция Российской Федерации от 12.12.93 г;

· Закон РФ «Об информации, информатизации и защите информации» от 20.02.95;

· Закон РФ «О государственной тайне» от 21.07.93.

· Концепция информационной безопасности РФ от 9.9.2000 г.

Административные мероприятия по ЗИ в АС заключаются в разработке и реализации административных мер при подготовке и эксплуатации системы. Административные меры, не смотря на постоянное совершенствование технических мер, составляют значительную часть (40 %) системы защиты. Они используются тогда, когда АС не может непосредственно контролировать использование информации. В целях повышения эффективности защиты иногда технические меры продублировать административными. Административные меры по защите систем в процессе их функционирования подготовки к нему охватывают решения и процедуры, принимаемые руководством организации – потребителем системы. Хотя некоторые из них могут определяться внешними факторами, например, законами или правительственными постановлениями, большинство проблем решается внутри организации в конкретных условиях.

Административный уровень предусматривает поддержание правовой базы БИ и разработку (введение в действие) таких документов, как:

· Положение о сохранности информации ограниченного распространения. Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, учреждениям и организациям;

· Перечень сведений, составляющих служебную, коммерческую, банковскую или другую тайну. Перечень определяет сведения, отнесенные к этим категориям, уровень и сроки обеспечения ограничений по доступу к защищаемой информации;

· Приказы и распоряжения по установлению режима БИ:

- о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации;

- о вводе в эксплуатацию объектов информатизации;

- о назначении выделенных помещений;

- о допуске сотрудников к работе с информацией ограниченного распространения;

- о назначении лиц ответственных за обеспечение сохранности информации ограниченного распространения в АС.

· Инструкции и функциональные обязанности личному составу:

- по организации охранно-пропускного режима;

- по организации делопроизводства;

- по организации работы с информацией на магнитных носителях;

- о защите информации ограниченного распространения в АС;

- по организации модификаций аппаратно-программных конфигураций ЭВМ;

- другие нормативные документы.

Административные меры по ЗИ в АС должны охватывать этапы проектирования, разработки, изготовления, испытаний, подготовки к эксплуатации и эксплуатационные системы.