Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Організація забезпечення безпеки даних і інформаційного захисту
Питання визначення стратегії розробки, придбання і впровадження засобів захисту інформації, визначення круга першочергових завдань і формування політики інформаційної безпеки є прерогативою вищого керівництва компанії. Питання реалізації і забезпечення ІБ прямо входять в сферу відповідальності керівника ІТ-департаменту (якщо компанія крупна) або ІТ-відділу або ІТ-служби. Доводити комусь, що корпоративну інформацію і дані потрібно ретельно захищати, немає необхідності. Проте ті, кому доводилося на практиці займатися питаннями захисту даних і забезпечення інформаційної безпеки в автоматизованих системах, відзначають наступну особливість - реальний інтерес до проблеми захисту інформації, що проявляється менеджерами верхнього рівня, і загальний ентузіазм досить швидко змінялися на різке неприйняття на рівні підрозділів, що відповідають за працездатність ІС організації. Як правило, приводяться наступні аргументи проти проведення робіт і вживання заходів по забезпеченню інформаційної безпеки: поява додаткових обмежень для кінцевих користувачів і фахівців підрозділів забезпечення утрудняють використання і експлуатацію інформаційної системи і мереж організації; необхідність значних додаткових матеріальних витрат на проведення таких робіт, на розширення штату фахівців, що займаються проблемою інформаційної безпеки, на їх навчання. Економія на інформаційній безпеці може виражатися в різних формах, крайніми з яких є: прийняття тільки найзагальніших організаційних заходів забезпечення безпеки інформації в ІС, використання тільки простих додаткових засобів захисту інформації (СЗІ). У першому випадку, як правило, розробляються численні інструкції, накази і положення, покликані в критичну хвилину перекласти відповідальність з людей, що видають ці документи, на конкретних виконавців. Природно, що вимоги таких документів (за відсутності відповідної технічної підтримки) утрудняють повсякденну діяльність співробітників організації і, як показує досвід, не виконуються. У другому випадку отримуються і встановлюються додаткові засоби захисту. Застосування СЗІ без відповідної організаційної підтримки і планового навчання також неефективно у зв'язку з тим, що без встановлених жорстких правил обробки інформації в ІС і доступу до даних використання будь-яких СЗІ тільки підсилює існуючий безлад.
Як показує досвід практичної роботи, для ефективного захисту автоматизованої системи організації необхідно вирішити ряд організаційних завдань: створити спеціальний підрозділ, що забезпечує розробку правил експлуатації корпоративної інформаційної системи, що визначає повноваження користувачів по доступу до ресурсів цієї системи і що здійснює адміністративну підтримку засобів захисту (правильну настройку, контроль і оперативне реагування на сигнали, що поступають, про порушення встановлених правил доступу, аналіз журналів реєстрації подій безпеки і т. п.); розробити технологію забезпечення інформаційної безпеки, що передбачає порядок взаємодії підрозділів організації із питань безпеки при експлуатації автоматизованої системи і модернізації її програмних і апаратних засобів; упровадити технологію захисту інформації і КІС шляхом розробки і затвердження необхідних нормативно-методичних і організаційно-розпорядливих документів (концепцій, положень, інструкцій і т. п.), а також організувати навчання всіх співробітників, що є адміністраторами і користувачами КІС. При створенні підрозділу інформаційної безпеки треба враховувати, що для експлуатації простих засобів захисту потрібен мінімальний штат співробітників, що здійснюють підтримку функціонування СЗІ. В той же час розробка і впровадження технології забезпечення інформаційної безпеки вимагає значно більшого часу, великих трудовитрат і залучення кваліфікованих фахівців, потреба в яких після її впровадження в експлуатацію відпадає. Крім того, розробка і впровадження такої технології повинні проводитися в стислі терміни, щоб не відстати від розвитку самої корпоративної інформаційної системи організації. Застосування додаткових засобів захисту інформації зачіпає інтереси багатьох структурних підрозділів організації - не стільки тих, в яких працюють кінцеві користувачі інформаційної системи, скільки підрозділів, що відповідають за розробку, впровадження і супровід прикладних завдань, за обслуговування і експлуатацію засобів обчислювальної техніки.
Для мінімізації витрат на розробку і ефективне впровадження технології забезпечення інформаційної безпеки доцільно привертати сторонніх фахівців, що мають досвід в проведенні подібного роду робіт. При цьому, у будь-якому випадку, відповідальність за розробку, впровадження і ефективність роботи захисних систем несе вище керівництво компанії! Технологія інформаційної безпеки, що розробляється, повинна забезпечувати: диференційований підхід до захисту різних АРМ і підсистем (рівень захищеності повинен визначатися з позицій розумної достатності з урахуванням важливості оброблюваної інформації і вирішуваних задач); максимальну уніфікацію засобів захисту інформації з однаковими вимогами до безпеки; реалізацію дозвільної системи доступу до ресурсів ІС; мінімізацію, формалізацію (у ідеалі - автоматизацію) реальної здійснимості рутинних операцій і узгодженість дій різних підрозділів по реалізації вимог розроблених положень і інструкцій, не створюючи великих незручностей при рішенні співробітниками своїх основних завдань; облік динаміки розвитку автоматизованої системи, регламентацію не тільки стаціонарного процесу експлуатації захищених підсистем, але і процесів їх модернізації, пов'язаних з численними змінами апаратно-програмної конфігурації АРМ; мінімізацію необхідного числа фахівців відділу, що займаються захистом інформації. Треба абсолютно чітко розуміти, що дотримання необхідних вимог по захисту інформації, перешкоджаючих здійсненню несанкціонованих змін в системі, неминуче приводить до ускладнення процедури правомочної модифікації ІС. У цьому полягає одна з суперечностей, що найбільш гостро виявляються, між забезпеченням безпеки і розвитком і вдосконаленням автоматизованої системи. Технологія забезпечення інформаційної безпеки повинна бути достатньо гнучкою і передбачати особливі випадки екстреного внесення змін в програмно-апаратні засоби тієї, що захищається ІС.
|
||||||
Последнее изменение этой страницы: 2021-12-15; просмотров: 39; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.16.69.143 (0.004 с.) |