Административный уровень обеспечения информационной безопасности

1.8.1. Цели, задачи и содержание административного уровня.

Административный уровень является промежуточ­ным между законодательно-правовым и программно-техническим уровнями формирования режима инфор­мационной безопасности. Законы и стандарты в облас­ти информационной безопасности являются лишь от-

нравным нормативным базисом информационной безо­пасности. Основой практического построения комплек­сной системы безопасности является административный уровень, определяющий главные направления работ по защите информационных систем.

Задачей административного уровня является разра­ботка и реализация практических мероприятий по со­зданию системы информационной безопасности, учиты­вающей особенности защищаемых информационных систем.

Кроме этого, что немаловажно, именно на админист­ративном уровне определяются механизмы защиты, которые составляют третий уровень информационной безопасности — программно-технический.

Целью административного уровня является разработ­ка программы работ в области информационной безо­пасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.

Содержанием административного уровня являются следующие мероприятия:

1) разработка политики безопасности;

2) проведение анализа угроз и расчета рисков;

3) выбор механизмов и средств обеспечения инфор­мационной безопасности.

1.8.2. Разработка политики информационной безопасности

Разработка политики безопасности ведется для кон­кретных условий функционирования информационной системы. Как правило, речь идет о политике безопасно­сти организации, предприятия или учебного заведения. С учетом этого рассмотрим следующее определение по­литика безопасности.

Политика безопасности — это комплекс предупре­дительных мер по обеспечению информационной безопасности организации. Политика безопасности включа­ет правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется орга­низация в своей деятельности. Кроме этого, политика безопасности включает в себя требования в адрес субъек­тов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов ин­формационных отношений.

Основные направления разработки политики безопас­ности:

■ определение объема и требуемого уровня защиты данных;

■ определение ролей субъектов информационных отношений.

В «Оранжевой книге» политика безопасности трак­туется как набор норы, правил и практических при­емов, которые регулируют управление, защиту и рас­пределение денной информации.

Результатом разработки политики безопасности яв­ляется комплексный документ, представляющий сис­тематизированное изложение целей, задач, принципов и способов достижения информационной безопасности. Этот документ является методологической основой практических мер по обеспечению информационной бе­зопасности и включает следующие группы сведений:

■ основные положения информационной безопасно­сти организации;

■ область применения политики безопасности;

■ цели и задачи обеспечения информационной безо­пасности организации;

■ распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.

Основные положения определяют важность обеспе­чения информационной безопасности, общие пробле­мы безопасности, направления их решения, роль сотруд­ников, нормативно-правовые основы.

При описании области применения политики безо­пасности перечисляются компоненты автоматизирован­ной системы обработки, хранения и передачи информа­ции, подлежащие защите.

В состав автоматизированной информационной сис­темы входят следующие компоненты:

■ аппаратные средства — компьютеры и их состав­ные части (процессоры, мониторы, терминалы, пе­риферийные устройства — дисководы, принтеры, контроллеры), кабели, линии связи и т. д.;

■ программное обеспечение — приобретенные про­граммы, исходные, объектные, загрузочные моду­ли; операционные системы и системные програм­мы (компиляторы, компоновщики и др.), утили­ты, диагностические программы и т. д.;.

■ данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, систем­ные журналы и т. д.;

■ персонал — обслуживающий персонал и пользо­ватели.

Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначе­нием организации. Например, для режимных органи­заций на первое место ставится соблюдение конфиден­циальности. Для сервисных информационных служб реального времени важным является обеспечение до­ступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности дан­ных и т. д.

Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью.

С точки зрения обеспечения информационной безо­пасности разграничение прав и обязанностей целесооб­разно провести по следующим группам (ролям):

■ специалист по информационной безопасности;

■ владелец информации;

■ поставщики аппаратного и программного обеспе­чения;

■ Администратор сети

■ менеджер отдела;

■ операторы;

■ аудиторы.

В зависимости от размеров организации, степени развитости ее информационной системы, некоторые из перечисленных ролей могут отсутствовать вообще, а не-, которые могут совмещаться одним и тем же физическим лицом.

Специалист по информационной безопасности (на­чальник службы безопасности, администратор по безо­пасности) играет основную роль в разработке и соблю­дении политики безопасности предприятия. Он прово­дит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппарат­ные средства, программное обеспечение и т. д.).

Владелец информации — лицо, непосредственно вла­деющее информацией и работающее с ней. В большин­стве случае именно владелец информации может опре­делить ее ценность и конфиденциальность.

Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые, несут ответственность за поддержание должного уровня. информационной безопасности в поставляемых им продуктах..

Администратор сети — лицо, занимающееся обеспечением функционирования информационной сети орга­низации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соот­ветствующей политики безопасности.

Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача — своевременно я качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за юс выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безо­пасности, которые непосредственно их касаются.

Операторы обрабатывают информацию, поэтому долж­ны знать класс конфиденциальности информации и какой ущерб будет нанесен организации при ее раскрытии.

Аудиторы — внешние специалисты по безопаснос­ти, нанимаемые организацией для периодической про­верки функционирования всей системы безопасности организации.