1.7 Лекция 7 - Административный уровень обеспечения информационной безопасности
1.7.1 Введение Ключевой термин: политика безопасности. Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Структурная схема терминов
1.7.2 Цели, задачи и содержание административного уровня Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем. Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.
Содержанием административного уровня являются следующие мероприятия: 1) Разработка политики безопасности. 2) Проведение анализа угроз и расчета рисков.
1.7.3 Разработка политики информационной безопасности Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Основные направления разработки политики безопасности: 1) определение объема и требуемого уровня защиты данных; 2) определение ролей субъектов информационных отношений.
Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности. Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:
основные положения информационной безопасности организации; область применения политики безопасности; цели и задачи обеспечения информационной безопасности организации; распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.
В состав автоматизированной информационной системы входят следующие компоненты: аппаратные средства – компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства – дисководы, принтеры, контроллеры), кабели, линии связи и т. д.; программное обеспечение – приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.; данные – хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.; персонал – обслуживающий персонал и пользователи.
С точки зрения обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям): специалист по информационной безопасности; владелец информации; поставщики аппаратного и программного обеспечения; менеджер отдела; операторы; аудиторы.
Специалист по информационной безопасности (начальник службы безопасности, администратор по безопасности) играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппаратные средства, программное обеспечение и т. д.).
Владелец информации – лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случае именно владелец информации может определить ее ценность и конфиденциальность.
Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.
Администратор сети – лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности.
Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются.
Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и какой ущерб будет нанесен организации при ее раскрытии.
Аудиторы – внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.
1.7.5 Вопросы для самоконтроля 1) Цели и задачи административного уровня обеспечения информационной безопасности. 2) Содержание административного уровня. 3) Дайте определение политики безопасности. 4) Направления разработки политики безопасности. 5) Перечислите составные элементы автоматизированных систем. 6) Субъекты информационных отношений и их роли при обеспечении информационной безопасности.