Організація забезпечення безпеки даних і інформаційного захисту

Питання визначення стратегії розробки, придбання і впровадження засобів захисту інформації, визначення круга першочергових завдань і формування політики інформаційної безпеки є прерогативою вищого керівництва компанії. Питання реалізації і забезпечення ІБ прямо входять в сферу відповідальності керівника ІТ-департаменту (якщо компанія крупна) або ІТ-відділу або ІТ-служби. Доводити комусь, що корпоративну інформацію і дані потрібно ретельно захищати, немає необхідності. Проте ті, кому доводилося на практиці займатися питаннями захисту даних і забезпечення інформаційної безпеки в автоматизованих системах, відзначають наступну особливість - реальний інтерес до проблеми захисту інформації, що проявляється менеджерами верхнього рівня, і загальний ентузіазм досить швидко змінялися на різке неприйняття на рівні підрозділів, що відповідають за працездатність ІС організації.

Як правило, приводяться наступні аргументи проти проведення робіт і вживання заходів по забезпеченню інформаційної безпеки:

поява додаткових обмежень для кінцевих користувачів і фахівців підрозділів забезпечення утрудняють використання і експлуатацію інформаційної системи і мереж організації;

необхідність значних додаткових матеріальних витрат на проведення таких робіт, на розширення штату фахівців, що займаються проблемою інформаційної безпеки, на їх навчання.

Економія на інформаційній безпеці може виражатися в різних формах, крайніми з яких є: прийняття тільки найзагальніших організаційних заходів забезпечення безпеки інформації в ІС, використання тільки простих додаткових засобів захисту інформації (СЗІ).

У першому випадку, як правило, розробляються численні інструкції, накази і положення, покликані в критичну хвилину перекласти відповідальність з людей, що видають ці документи, на конкретних виконавців. Природно, що вимоги таких документів (за відсутності відповідної технічної підтримки) утрудняють повсякденну діяльність співробітників організації і, як показує досвід, не виконуються.

У другому випадку отримуються і встановлюються додаткові засоби захисту. Застосування СЗІ без відповідної організаційної підтримки і планового навчання також неефективно у зв'язку з тим, що без встановлених жорстких правил обробки інформації в ІС і доступу до даних використання будь-яких СЗІ тільки підсилює існуючий безлад.

Як показує досвід практичної роботи, для ефективного захисту автоматизованої системи організації необхідно вирішити ряд організаційних завдань:

створити спеціальний підрозділ, що забезпечує розробку правил експлуатації корпоративної інформаційної системи, що визначає повноваження користувачів по доступу до ресурсів цієї системи і що здійснює адміністративну підтримку засобів захисту (правильну настройку, контроль і оперативне реагування на сигнали, що поступають, про порушення встановлених правил доступу, аналіз журналів реєстрації подій безпеки і т. п.);

розробити технологію забезпечення інформаційної безпеки, що передбачає порядок взаємодії підрозділів організації із питань безпеки при експлуатації автоматизованої системи і модернізації її програмних і апаратних засобів;

упровадити технологію захисту інформації і КІС шляхом розробки і затвердження необхідних нормативно-методичних і організаційно-розпорядливих документів (концепцій, положень, інструкцій і т. п.), а також організувати навчання всіх співробітників, що є адміністраторами і користувачами КІС.

При створенні підрозділу інформаційної безпеки треба враховувати, що для експлуатації простих засобів захисту потрібен мінімальний штат співробітників, що здійснюють підтримку функціонування СЗІ. В той же час розробка і впровадження технології забезпечення інформаційної безпеки вимагає значно більшого часу, великих трудовитрат і залучення кваліфікованих фахівців, потреба в яких після її впровадження в експлуатацію відпадає. Крім того, розробка і впровадження такої технології повинні проводитися в стислі терміни, щоб не відстати від розвитку самої корпоративної інформаційної системи організації.

Застосування додаткових засобів захисту інформації зачіпає інтереси багатьох структурних підрозділів організації - не стільки тих, в яких працюють кінцеві користувачі інформаційної системи, скільки підрозділів, що відповідають за розробку, впровадження і супровід прикладних завдань, за обслуговування і експлуатацію засобів обчислювальної техніки.

Для мінімізації витрат на розробку і ефективне впровадження технології забезпечення інформаційної безпеки доцільно привертати сторонніх фахівців, що мають досвід в проведенні подібного роду робіт. При цьому, у будь-якому випадку, відповідальність за розробку, впровадження і ефективність роботи захисних систем несе вище керівництво компанії!

Технологія інформаційної безпеки, що розробляється, повинна забезпечувати:

диференційований підхід до захисту різних АРМ і підсистем (рівень захищеності повинен визначатися з позицій розумної достатності з урахуванням важливості оброблюваної інформації і вирішуваних задач);

максимальну уніфікацію засобів захисту інформації з однаковими вимогами до безпеки;

реалізацію дозвільної системи доступу до ресурсів ІС;

мінімізацію, формалізацію (у ідеалі - автоматизацію) реальної здійснимості рутинних операцій і узгодженість дій різних підрозділів по реалізації вимог розроблених положень і інструкцій, не створюючи великих незручностей при рішенні співробітниками своїх основних завдань;

облік динаміки розвитку автоматизованої системи, регламентацію не тільки стаціонарного процесу експлуатації захищених підсистем, але і процесів їх модернізації, пов'язаних з численними змінами апаратно-програмної конфігурації АРМ;

мінімізацію необхідного числа фахівців відділу, що займаються захистом інформації.

Треба абсолютно чітко розуміти, що дотримання необхідних вимог по захисту інформації, перешкоджаючих здійсненню несанкціонованих змін в системі, неминуче приводить до ускладнення процедури правомочної модифікації ІС. У цьому полягає одна з суперечностей, що найбільш гостро виявляються, між забезпеченням безпеки і розвитком і вдосконаленням автоматизованої системи. Технологія забезпечення інформаційної безпеки повинна бути достатньо гнучкою і передбачати особливі випадки екстреного внесення змін в програмно-апаратні засоби тієї, що захищається ІС.