Оглавление

 

      Введение

 

     На  современном этапе развития нашего общества многие традиционные ресурсы человеческого прогресса постепенно утрачивают свое первоначальное значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Чем больше и быстрее внедряется качественной информации в народное хозяйство и специальные приложения, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны.

     В настоящее время хорошо налаженная распределенная сеть информационно-вычислительных комплексов способна сыграть такую же роль в общественной жизни, какую в свое время сыграли электрификация, телефонизация, радио и телевидение вместе взятые. Ярким примером этому стало развитие глобальной сети Internet. Уже принято говорить о новом витке в развитии общественной формации - информационном обществе.

     Любая предпринимательская деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. Поэтому в новых рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и физических и юридических лиц, их имущественной собственности и личной безопасности.

     Учитывая  известный афоризм «цель оправдывает  средства», информация представляет определенную цену. И поэтому сам факт получения информации злоумышленником приносит ему определенный доход, ослабляя тем самым возможности конкурента. Отсюда главная цель злоумышленника - получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т. д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к дезинформации по определенным сферам деятельности, учетным данным, результатам решения некоторых задач. Более опасной целью является уничтожение накопленных информационных массивов в документальной или магнитной форме и программных продуктов. В связи с этим все большее значение приобретает организация эффективной системы информационной безопасности.

     Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.

 

      1. Рекомендации по разработке концепции информационной безопасности

     Концепция информационной безопасности организации  − это:

     – во-первых, это нормативный документ, на основании которого будет строиться ИБ организации;

     – во-вторых, это решение проблемы информационной безопасности в организации;

     – в-третьих, этот документ опирается  на нормативную базу Российского законодательства, моральные нормы, научно-технические принципы и организационные возможности.

     Концепция информационной безопасности для организации должна состоять из следующих разделов:

     1. Введение

     Настоящая Концепция определяет систему взглядов на проблему обеспечения безопасности информации в организации и представляет собой систематизированное изложение целей и задач защиты, а также принципов и способов достижения требуемого уровня безопасности информации.

     При построении системы безопасности информационных ресурсов организация основывается на комплексном подходе, доказавшем свою эффективность и надежность. Комплексный подход ориентирован на создание защищенной среды обработки информации, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и технические способы обеспечения информационной безопасности.

     Правовой  базой для разработки настоящей  концепции служат требования действующих  в России законодательных и нормативных  документов.

     Концепция является методологической основой  для формирования и проведения в  организации единой политики в области обеспечения безопасности информации (политики безопасности), для принятия управленческих решений и разработки практических мер по ее воплощению.

     2. Общие положения

     В данном разделе концепции дано название и правовая основа данного документа, т.е. необходимо дать понять, что подразумевается под словом «концепция» в данном документе, какова система взглядов на проблему безопасности.

     В концепции должно быть учтено современное  состояние, и ближайшие перспективы развития системы информационной безопасности. Также описывается, на какие объекты информационной системы она распространяется, и для чего будет являться методологической основой. В завершении данного раздела необходимо указать, какие принципы были положены в основу построения системы информационной безопасности.

     3. Объекты защиты

     В данном разделе концепции необходимо указать основные объекты, на которые направлена информационная безопасность в организации:

     - информационные ресурсы с ограниченным  доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;

     - процессы обработки информации, информационные технологии, регламенты  и процедуры сбора, обработки,  хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;

     - информационная инфраструктура, включающая  системы обработки и анализа  информации, технические и программные  средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты АС.

     4. Основные угрозы

     В этом разделе необходимо описать модель возможного нарушителя, рассмотреть различные возможности утечки информации по техническим каналам, дать определение умышленным действиям различными лицами, указать, какие пути могут быть для реализации неправомерных действий и какие вообще могут быть угрозы безопасности информации и ее источники.

     5. Основные положения технической политики в обеспечении безопасности информации

     Реализация  технической политики по обеспечению  информационной безопасности в организации должна исходить из того, что нельзя обеспечить требуемый уровень безопасности только одним мероприятием или средством, а необходим комплексный подход с системным согласованием различных элементов, а каждый разработанный элемент должен рассматриваться как часть единой системы при оптимальном соотношении как технических средств, так и организационных мероприятий.

     Должны  быть перечислены основные направления  технической политики и то, как она будет осуществляться.

     Также необходимо формирование режима безопасности информации, т.е. согласно выявленным угрозам  режим защиты формируется как  совокупность способов и мер защиты информации. Комплекс мер по формированию режима безопасности информации должен включать в себя: организационно-правовой режим (нормативные документы), организационно-технические мероприятия (аттестация рабочих мест), программно-технические мероприятия, комплекс мероприятий по контролю за функционированием АС и систем ее защиты, комплекс оперативных мероприятий по предотвращению несанкционированного доступа, а также комплекс действий по выявлению таких попыток.

     6. Принципы построения комплексной  системы защиты

     Построение  системы безопасности информации АС и ее функционирование должны осуществляться в соответствии со следующими принципами:

• законность: предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС организации в соответствии с действующим законодательством;
• системность: системный подход к построению системы защиты информации предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенных для понимания и решения проблемы обеспечения безопасности информации;
• комплексность: комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов;
• непрерывность защиты: непрерывный, целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС;
• своевременность: предполагает упреждающий характер мер для обеспечения безопасности информации;
• преемственность и совершенствование: предполагают постоянное совершенствование мер и средств защиты информации;
• разумная достаточность (экономическая целесообразность): предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба;
• персональная ответственность: предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий;
• принцип минимизации полномочий: означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью;
• взаимодействие и сотрудничество: предполагает создание благоприятной атмосферы в коллективах подразделений;
• гибкость системы защиты: для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью;
• открытость алгоритмов и механизмов защиты: суть данного принципа состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам), однако это не означает, что информация о конкретной системе защиты должна быть общедоступна;
• простота применения средств защиты: механизм защиты должен быть интуитивно понятен и прост в использовании, без значительных дополнительных трудозатрат;
• научная обоснованность и техническая реализуемость: информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации;
• специализация и профессионализм: предполагает привлечение к разработке средств и реализаций мер защиты информации специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области, реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами;
• обязательность контроля: предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил безопасности.

     7. Первоочередные мероприятия

     В данном разделе необходимо описать  первоочередные действия, которые предстоит  исполнить в ближайшее время, описать аппаратно-программный комплекс, который обеспечит информационную безопасность организации.

     2. Разработка политики ИБ и выбор решений по обеспечению политики ИБ

     В основе организационных мер защиты информации лежит политика безопасности, от эффективности которой в наибольшей степени зависит успешность мероприятий по обеспечению информационной безопасности.

     Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации.

       Политика безопасности строится на основе анализа рисков. С учетом рисков, выявленных в организации, политика информационной безопасности для организации должна содержать семь разделов:

     -«Введение». Необходимость появления политики  безопасности на основании выявленных  недостатков в информационной безопасности;

     -«Цель  политики». В этом разделе документа необходимо отразить цели создания данного документа (в частности, для парольной политики – «установление стандартов для создания «сильных» паролей, их защиты и регулярной смены»);

     -«Область  применения». В данном разделе  необходимо описать объекты или субъекты, которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»);

     -«Политика». В данном разделе необходимо  описать сами требования к информационной безопасности (например, парольная политика должна содержать пять подразделов: «Создание паролей», «Изменение паролей», «Защита паролей», «Использование паролей при разработке приложений», «Использование паролей при удаленном доступе»);

     -«Ответственность». Описывает наказание за нарушение указанных в предыдущем разделе требований;

     -«История  изменений данной политики». Дает  возможность отследить все вносимые в документ изменения (дата, автор, краткая суть изменения).