Главная | Обратная связь
МегаЛекции

Административный уровень информационной безопасности




Административный уровень

Главная цель административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя нобходимые ресурсы и контролируя состояние дел. Основой программ является политика безопасности отражающая подход организации к защите своих информационных активов.

Информационная система организаций, и связанные с ней субъекты, интересы субъектов-сложная система для оценки и анализа которой применяют Объектно ориентированный подход, и понятие уровня детализации. С практической точки зрения политику безопасности целесообразно рассматривать на 3х уровнях детализации.

1. Верхний уровень – решение охватывающее организацию в целом: решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение этой программы.

2. Формирование цели, которые преследует организация в области информационной безопасности, определение общих направлений для достижения цели.

3. Обеспечение базы для соблюдения законов и правил.

4. Формулировка административных решений по вопросам реализации программы безопасности, которые затрагивают организацию в целом.

На верхнем уровне определяется управление защитными ресурсами и координация работы с этими ресурсами. Определение специального персонала для защиты систем и взаимодействия с другими организациями.

К среднему уровню относят вопросы касающиеся отдельных аспектов безопасности, но специфичны для различных эксплуатируемых организациях в системе.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

1. Описание аспекта (например доступ к международным сетям)

2. Область применения

3. Позиции организации по данному вопросу

4. Роли и обязанности

5. Законопослушность

6. Точки контакта

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Чем подробнее правила,, чем более специфично они изложены, тем прозе поддерживать их выполнение, с помощью программно-технических средств.

После того, как сформулирована политика безопасности, приступают к составлению программы ее реализации и к самой реализации.

Контроль деятельности в области безопасности имеет двухсторонюю направленность, во первых необходимо гарантировать что действия организации не противоречат действующим законам. Во-вторых необходимо постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.



Политика информационной безопасности.

- набор законов, правил, практических рекомендаций и опытов определяющих управленческие и проектные решения в области защиты информации. На основе политики безопасности строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение информационной системы в определенных ситуациях.

При разработке и приведении в жизнь информационной безопасности целесообразно руководствоваться следующими принципами:

1. Невозможность миновать защитные средства – принцип невозможности означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через средства защиты информации.

2. Усиление самого слабого звена – часто таким звеном оказывается не компьютер или программа, а пользователь. Тогда проблема обеспечения информационной безопасности приобретает не технический характер.

3. Недопустимость перехода в открытое состояние – означает, что при любых обстоятельствах система защиты информации либо полностью выполняет свои функции, либо должна полностью блокировать доступ.

4. Минимизация привелегий – данный принцип предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.

5. Разделение обязанностей – предполагает что распределение ролей и ответственности обеспечит предотвращение злонамеренных или неквалифицированных действий системного администратора (1 человек не может нарушить критически важной для организации процесс).

6. Многоуровневая защита – предписывает не полагаться на единственный защитный рубеж. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией – управление доступом, протоколирование и аудит.

7. Разнообразие защитных средств – рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и по возможности не совместимыми навыками преодоления средств защиты информации.

8. Простота и управляемость информационной системы – определяет возможность формального доказательства, корректность, реализация механизмов защиты. Только в простой и управляемой системе можно проверить согласованность конфигураций различных компонентов и осуществить централизованное администрирование.

9. Обеспечение всеобщей поддержки мер безопасности – носит не технический характер, рекомендуется изначально разработать комплекс мер направленный на обеспечение лояльности персонала, на постоянное практическое и теоретическое обучение.

Два вида политики безопасности: избирательная и полномочная.

Избирательная: основой избирательной политики является избирательное управление доступом: все субъекты и объекты системы должны быть идентифицированы, права доступа с субъекту\объекту определяется на основании некоторого правила. Свойство избирательности. Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа. Матрица доступа – наиболее простой подход к моделированию систем доступа.

Полномочная политика безопасности: основа полномочной политики составляет полномочное управление доступом: 1. Все субъекты и объекты должны быть однозначно идентифицированы.
2. Каждому объекту системы присваивается метка критичности, определяющая ценность содержащийся в нем информации.
3. Каждому субъекту присваивается уровень прозрачности, определяющий максимальное значение метки критичности объектов к которым субъект имеет доступ.

Основное назначение полномочной политики – регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращения утечки информации с верхних уровней должностной иерархии в нижние, а так же блокирование возможного проникновения с нижних уровней в верхние. Ее применение в коммерческом секторе сдерживается по следующим причинам:
1. Отсутствие в коммерческих организациях четкой классификации хранимой и обрабатываемой информации.
2. Высокая стоимость реализации и большие накладные расходы.

Политика безопасности предполагает широкий спектр организационно-технических мероприятий. Приведем перечень основных:

1. Разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности.

2. Внесение необходимых изменений и дополнений во все организационно-распорядительные документы по вопросам обеспечения безопасности и действиям в случае возникновения критических ситуаций.

3. Выявление наиболее вероятных угроз для данной информационной системы и уязвимых мест процесса обработки информации и каналов доступа к ней.

4. Организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией.

5. Контроль функционирования и управления используемыми средствами защиты информации.

6. Периодический анализ состояния и оценка эффективности мер защиты информации.

7. Рассмотрение и утверждение всех изменений в оборудовании информационной системы, проверка их на удовлетворение требованиям защиты и документальное отображение изменений. И т.д.

Перечислим ряд действий, которые значительно повышают степень защиты корпоративной сети без значительных финансовых затрат:

1. Тщательное наблюдение за персоналом (в особенности за низкооплачивыемыми работниками).

2. Незаметная проверка послужного списка нанимаемого работника.

3. Ознакомление нанимаемого сотрудника с документами описывающими политику организации в области информационной безопасности и получение расписки.

4. Изменение содержимого всех экранов для входа в систему таким образом, чтобы они отражали политику безопасности принятую на предприятии.

5. Повышение уровня физической защиты.

6. Минимизация риска компьютерных краж и заражения вирусами.

7. Признание за сотрудниками определенных прав при работе с компьютерами, например:

А. Организация досок объявлений.

Б. Соблюдение конфиденциальности электронной почты.

В. Разрешение использовать определенные компьютерные игры.

Сотрудники компании должны быть союзниками, а не противниками администратора системы в борьбе за безопасность данных!!!

 

Организационно-режимные меры базируются на законодательных и нормативных документах по безопасности информации и должны охватывать следующие основные пути сохранения информационных ресурсов:

1. Ограничение физического доступа к объектам обработки и хранения информации и реализацию режимных мер.

2. Ограничение возможности перехвата информации вследствии существования физических полей.

3. Ограничение доступа к информационным ресурсам и другим элементам обработки данных путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных.

4. Создание твердых копий на случай утраты массивов данных.

5. Проведение профилактических и других мер от внедрения вирусов.

По содержанию все организационные предприятия можно условно разделить на следующие группы:

1. Мероприятия осуществляемые при создании информационной системы

А. Разработка общего проекта системы и ее структурных элементов.

Б. Строительство или переоборудование сообщений.

В. Разработка математического, программного, информационного или лингвистического обеспечения.

Г. Монтаж и наладка оборудования.

Д. Испытание и прием системы.

Особое значение на данном этапе предается определению действительных возможностей механизмов защиты. Для чего целесообразно применить комплекс испытаний и нагрузок.

 

2. Мероприятия осуществляемые в процессе эксплуатации информационной системы.

А. Организация пропускного режима.

Б. Организация автоматизированной обработки информации.

В. Организация ведения протокола.

Г. Распределение реквизитов разграничения доступа.

Д. Контроль выполнения требований служебных инструкций.

3. Мероприятия общего характера:

А. Учет требований защиты при подборе кадров.
Б. Ликвидация пробелов в механизме защиты.
В. Планирование мероприятий защиты информации.
Г. Обучение персонала.
Д. Проведение занятий с привлечением ведущих организаций.
Е. Участие в семинарах и конференциях по проблемам безопасности информации.

Организация секретного делопроизводства.

При работе с важными документами следует выполнять следующие требования:

1. Строгий контроль за допуском персонала к секретным документам.

2. Назначение конкретных лиц из руководства и служащих фирмы организующих и контролирующих секретное делопроизводство, наделение их соответствующими полномочиями.

3. Разработка инструкций по работе с секретными документами и ознакомление соответствующих работников.

4. Контроль за принятием сотрудниками письменных обязательств о сохранении коммерческой тайны фирмы.

5. Введение системы материального и иного стимулирования служащих фирмы имеющих доступ к секретным сведениям.

6. Внедрение в повседневную практику механизмов и технологий защиты коммерческой тайны фирмы.

7. Личный контроль со стороны руководителя фирмы службы внутренней безопасности и секретного делопроизводства.

Различные приемы ведения секретного делопроизводства направленны на предотвращение утечки коммерческих секретов. Документы содержащие коммерческую тайну различаются по степени секретности и снабжаются соответствующим грифом.

Составные части делопроизводства Функции обеспечения безопасности информации при работе с документами Способы выполнения
Документирование 1. Предупреждение необоснованного изготовления документов 2. Предупреждение включения в документы избыточных конфиденциальных сведений. 3. Предупреждение необоснованного завышения степени секретности документов. 4. Предупреждение необоснованной рассылки. 1. Определение перечня документов 2. Осуществление контроля за содержанием и степени секретности секретности документа 3. Определение реальной степени секретности сведений включенных в документ. 4. Осуществление контроля за размножением и рассылкой документов
Учет документов Предупреждение утраты документов 1. Обеспечение регистрации каждого документа и удобство его поиска 2. Осуществление контроля за местом нахождения док-та
Хранение документов 1. Обеспечение сохранности документов 1. Выделение специального оборудования, документов, исключающих доступ к ним посторонних лиц 2. Установление порядка доступа к личным делам 3. Осуществление контроля за своевременностью и правильностью формирования дел
Уничтожение документов 1. Исключение из документооборота документов потерявших свою ценность 1. Установление порядка подготовки документов для уничтожения 2. Обеспечение необходимых условий для уничтожения 3. Осуществление контроля за правильностью и своевременностью уничтожения документов  
Проверка наличия документов 1. Контроль наличия документов, выполнения требований их обработки, учета, исполнения и сдачи 1. Установление порядка проведения проверок наличия документов и порядка их обработки.

В рамках системы множество и разнообразие видов защиты информации определяется способами воздействия на дестабилизирующие факторы или порождающие их причины, на элементы информационной системы, защищаемую информацию и окружающую среду в направлении повышения показателей защищенности информации.

 





©2015- 2017 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов.