Лекция "Уровни обеспечения информационной безопасности"

Обеспечение информационной безопасности — очень непростая задача, имеющая несколько уровней.

Программно-технический уровень.

С современной точки зрения информационным системам должны быть доступны следующие механизмы безопасности:

• управление доступом,

• экранирование,

• проверка подлинности пользователей и их идентификация,

• протоколирование и аудит,

• обеспечение высокой доступности,

• криптография.

Процедурный уровень.

К нему относятся меры, реализуемые людьми. Опыт, накопленный в отечественных организациях, по реализации процедурных мер пришел из докомпьютерного прошлого и нуждается в существенном пересмотре.
Существуют следующие группы организационных (процедурных) мер:

• управление персоналом,

• поддержание работоспособности,

• планирование восстановительных работ,

• физическая защита,

• реагирование на нарушение безопасного режима.

Для каждой группы должны существовать правила, определяющие действия персонала. Они должны быть учреждены в каждой конкретной организации и отработаны на практике.

Административный уровень.

Политика безопасности, предпринимаемая руководством организации, является основой мер административного уровня. Это совокупность документированных решений руководства, которые направлены на защиту информации, а также ресурсов, ассоциированных с ней. Политика безопасности основывается на анализе реальных рисков, угрожающих информационной системе той или иной организации. После анализа разрабатывается стратегия защиты. Это программа, под которую выделяются деньги, назначаются ответственные, устанавливается порядок контроля ее выполнения и т.д.
Поскольку каждая организация имеет свою специфику, бессмысленно переносить практику государственных режимных предприятий на коммерческие структуры, персональные компьютерные системы или учебные заведения. Целесообразнее использовать основные принципы разработки политики безопасности или готовые шаблоны для основных разновидностей организаций.

Законодательный уровень.

Это важнейший уровень обеспечения информационной безопасности. В него входит комплекс мер, направленных на создание и поддержание в обществе негативного отношения к нарушителям и нарушениям в этой области. Необходимо создать механизм, который позволил бы согласовывать разработку законов с постоянным совершенствованием информационных технологий. Государство должно выполнять координирующую и направляющую роль в этом вопросе. Российские стандарты информационных технологий и информационной безопасности должны соответствовать международному уровню. Это облегчит взаимодействие с зарубежными компаниями и зарубежными филиалами отечественных компаний. Сейчас эта проблема решается путем разовых разрешений, зачастую в обход действующего законодательства.

Только взаимодействие всех уровней обеспечения информационной безопасности сделают ее максимально эффективной.

Самостоятельно расписывают более подробно каждый уровень.