Отдел защиты информации создан. Что дальше?

07 фев, 10:12

Сегодня вряд ли удастся найти организацию, в которой никто и никогда не задумывался бы о защите информации. Вместе с тем не всегда можно встретить правильное понимание информационной безопасности как комплекса организационных и технических мероприятий. Важнейшим элементом ее обеспечения является человек, и он же — основной фактор ее нарушения.

 

Информационная безопасность должна восприниматься как комплекс организационно-технических мер, поскольку обеспечить конфиденциальность, целостность и доступность нельзя ни отдельно взятыми техническими мерами, ни только организационными.

 

Скажем, вы решили обеспечивать защиту только техническими мерами, при этом организационные документы у вас полностью отсутствуют. Так часто бывает, если защитой занимается отдел ИТ или начальник отдела информационной безопасности (ИБ) — бывший представитель ИТ-структур. Что в этом случае произойдет? Предположим, что один из сотрудников компании систематически передает конфиденциальную информацию по электронной почте конкурентам. Вы обнаружили утечку, но документов у вас нет, следовательно, наказать сотрудника (например, уволить его) вы просто не имеете права. А если вы это сделаете, умный злоумышленник подаст на вас в суд за нарушение его конституционных прав на личную переписку. Самое печальное в том, что юридически он будет абсолютно прав: внутри вашей организации не документировано, что вся информация, передаваемая средствами электронной почты с адресов, принадлежащих вашей организации, является собственностью фирмы.

 

Рассмотрим вторую крайность. Она, как правило, характерна для бывших военнослужащих и сотрудников спецслужб. У вас подготовлены великолепные документы, но абсолютно отсутствует их техническая поддержка. Что произойдет в таком случае? Ваши сотрудники рано или поздно нарушат положения организационных документов и, увидев, что их никто не контролирует, будут делать это систематически.

 

Таким образом, информационная безопасность — гибкая система, включающая в себя как организационные, так и технические меры. При этом нужно понимать, что здесь нельзя выделить более значимые меры или менее значимые. Важно все. Нужно соблюдать меры защиты во всех точках сети, при работе любых субъектов с вашей информацией. (Под субъектом в данном случае понимается пользователь системы, процесс, компьютер или программное обеспечение для обработки информации). Каждый информационный ресурс, будь то компьютер пользователя или сервер организации, должен быть полностью защищен. Защищены должны быть файловые системы, сеть и т. д. Способы реализации мы здесь обсуждать не будем.

 

Существует огромное количество программного обеспечения, направленного на решение задачи защиты информации. Это и антивирусные программы, и сетевые экраны, и встроенные средства операционных систем. Однако самым уязвимым фактором всегда остается человек. Работоспособность любого программного обеспечения зависит от качества его написания, от грамотности администратора, который его настроил.

 

Многие организации в связи с этим создают отделы защиты информации или ставят задачи по обеспечению безопасности информации перед своими ИТ-отделами. Но не раз уже говорилось, что нельзя взваливать на ИТ-службу не свойственные ей функции. Предположим, что в вашей организации создан отдел ИТ-безопасности. Что делать дальше? С чего начинать его деятельность?

 

Первые шаги отдела ИБ

 

На мой взгляд, начинать нужно с обучения сотрудников! И в дальнейшем делать это не реже двух раз в год. Обучение обычного персонала основам защиты информации должно стать постоянным делом сотрудников отдела защиты информации!

 

Многие руководители пытаются сразу же получить от отдела защиты информации документ под названием «Политика безопасности». Это ошибка. Перед тем как вы сядете за написание этого серьезнейшего документа, который будет определять в дальнейшем все ваши усилия по обеспечению информационной безопасности вашей организации, нужно задать себе следующие вопросы:

 

Какую информацию вы обрабатываете?

 

Как ее классифицировать?

 

Какими ресурсами вы обладаете?

 

Как распределена обработка информации по ресурсам?

 

Как классифицировать ресурсы?

 

Постараемся ответить на эти вопросы.

 

 Классификация информации

 

В нашей стране исторически сложился подход к классификации информации (в первую очередь государственной) по уровням требований к ее защищенности исходя из одного ее свойства — конфиденциальности (секретности).

 

Требования к обеспечению целостности и доступности информации, как правило, лишь косвенно упоминаются среди общих требований к системам обработки данных.

 

Если такой подход в какой-то степени оправдан для обеспечения безопасности информации, составляющей государственную тайну, то это не означает, что перенос его в другую предметную область (с другими субъектами и их интересами) будет правильным.

 

Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими являются совершенно другие свойства, скажем такие, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является их целостность (достоверность). Затем следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требования к обеспечению конфиденциальности платежных документов, как правило, находятся на третьем месте.

 

Для сайта Internet-газеты на первом месте будет стоять доступность и целостность информации, а не ее конфиденциальность. Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности, терпят провал. Основными причинами этого являются узость традиционного подхода к защите информации, отсутствие у отечественных специалистов опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной.

 

Для усовершенствования классификации информации в зависимости от требований к ее защищенности следует ввести несколько степеней (градаций, категорий) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности.

 

Количество градаций и вкладываемый в них смысл могут различаться.

 

Категории защищаемой информации

 

Исходя из необходимости обеспечить различные уровни защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в организации, введем несколько категорий конфиденциальности и целостности защищаемой информации.

 

Подробнее

 

Владимир Безмалый

 

Открытые Системы

 


Адрес новости: http://e-news.com.ua/show/141540.html



Читайте также: Финансовые новости E-FINANCE.com.ua