Политика и модели безопасности информации в компьютерных системах.

Основным способом достижения высокой эффективности управления сложной кибернетической системой является создание единого информационного пространства, позволяющего оптимизировать процессы обработки информации по критериям оперативности, достоверности, адекватности, безопасности и многим другим. Создание единого информационного пространства предполагает интеграцию информационных ресурсов всех субъектов информационных отношений в системе. Например, если рассматривать в качестве системы страну, то необходима интеграция ресурсов государства, частных организаций и граждан. При создании единого информационного поля организации, предприятия или учреждения информационные ресурсы отдельных структурных подразделений (филиалов, отделов и др.) объединяются в единые корпоративные информационные ресурсы и т.п. Как правило, объединяемые информационные ресурсы имеют разный юридический статус, уровень конфиденциальности, функциональное назначение и технологическую базу. Поэтому первой задачей, которую необходимо решить при создании единого информационного пространства, является выработка системной информационной политики, определяющей принципы, порядок и правила интеграции информационных ресурсов, при соблюдении законов и интересов всех субъектов информационных отношений.

Информационная политика включает политику формирования и использования информационных ресурсов, политику информационной безопасности и техническую политику.

Политика формирования и использования информационных ресурсов определяет принципы, порядок и правила санкционированного включения и изъятия информационных ресурсов из единого информационного пространства, а также осуществления доступа к ним субъектов информационных отношений. Эта политика в большей мере находится в сфере правового и административного регулирования.

Политика информационной безопасности создается с целью организационно-технической поддержки политики формирования и использования информационных ресурсов при осуществлении доступа к информации. Политика информационной безопасности системы должна учитывать политики безопасности субъектов информационных отношений, требования нормативно-руководящих документов по защите информации и реальные угрозы безопасности информации.

Техническая политика вырабатывается с целью обеспечения технологической поддержки политики формирования и использования информационных ресурсов с учетом ограничений, накладываемых политикой информационной безопасности и технологическими особенностями интегрируемых информационных и коммуникационных ресурсов.

Официальное определение политики информационной безопасности приведено в «ОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения»: политика информационной безопасности – это совокупность требований и правил по информационной безопасности для объекта информационной безопасности, выработанных в соответствии с требованиями руководящих и нормативных документов в целях противодействия заданному множеству угроз информационной безопасности, с учетом ценности защищаемой информационной сферы и стоимости системы обеспечения информационной безопасности.

Сформулируем определение политики информационной безопасности для компьютерной системы.

Политика информационной безопасности АС - совокупность принципов, правил и рекомендаций, определяющих порядок организации защиты информации, обрабатываемой в конкретной АС, зафиксированная документально.

Формирование политики информационной безопасности сложная организационно-техническая задача, которая должна разрабатываться должностными лицами и специалистами разных уровней иерархии управления организации. Рассмотрим общий порядок формирования политики информационной безопасности для гипотетической организации.