Кто и как должен заниматься организацией защиты?
Вопросы определения стратегии разработки, приобретения и внедрения средств защиты информации, определение круга первоочередных задач и формирование политики информационной безопасности являются прерогативой высшего руководства компании. Вопросы реализации и обеспечения ИБ прямо входят в сферу ответственности руководителя ИТ-департамента (если компания крупная) или ИТ-отдела или ИТ-службы. Доказывать кому-то, что корпоративную информацию и данные нужно тщательно защищать, нет необходимости. Однако те, кому приходилось на практике заниматься вопросами защиты данных и обеспечения информационной безопасности в автоматизированных системах, отмечают следующую особенность - реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, и всеобщий энтузиазм довольно быстро сменяются на резкое неприятие на уровне подразделений, отвечающих за работоспособность ИС организации.
Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:
-
появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения затрудняют использование и эксплуатацию информационной системы и сетей организации;
-
необходимость значительных дополнительных материальных затрат на проведение таких работ, на расширение штата специалистов, занимающихся проблемой информационной безопасности, на их обучение.
Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются: принятие только самых общих организационных мер обеспечения безопасности информации в ИС, использование только простых дополнительных средств защиты информации (СЗИ).
В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы, на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как показывает опыт, не выполняются.
Во втором случае приобретаются и устанавливаются дополнительные средства защиты. Применение СЗИ без соответствующей организационной поддержки и планового обучения также неэффективно в связи с тем, что без установленных жестких правил обработки информации в ИС и доступа к данным использование любых СЗИ только усиливает существующий беспорядок.
Как показывает опыт практической работы, для эффективной защиты автоматизированной системы организации необходимо решить ряд организационных задач:
-
создать специальное подразделение, обеспечивающее разработку правил эксплуатации корпоративной информационной системы, определяющее полномочия пользователей по доступу к ресурсам этой системы и осуществляющее административную поддержку средств защиты (правильную настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т. п.);
-
разработать технологию обеспечения информационной безопасности, предусматривающую порядок взаимодействия подразделений организации по вопросам безопасности при эксплуатации автоматизированной системы и модернизации ее программных и аппаратных средств;
-
внедрить технологию защиты информации и КИС путем разработки и утверждения необходимых нормативно-методических и организационно-распорядительных документов (концепций, положений, инструкций и т. п.), а также организовать обучение всех сотрудников, являющихся администраторами и пользователями КИС.
При создании подразделения информационной безопасности надо учитывать, что для эксплуатации простых средств защиты нужен минимальный штат сотрудников, осуществляющих поддержку функционирования СЗИ. В то же время разработка и внедрение технологии обеспечения информационной безопасности требует значительно большего времени, больших трудозатрат и привлечения квалифицированных специалистов, потребность в которых после ее внедрения в эксплуатацию отпадает. Кроме того, разработка и внедрение такой технологии должны проводиться в сжатые сроки, чтобы не отстать от развития самой корпоративной информационной системы организации.
Применение дополнительных средств защиты информации затрагивает интересы многих структурных подразделений организации - не столько тех, в которых работают конечные пользователи информационной системы, сколько подразделений, отвечающих за разработку, внедрение и сопровождение прикладных задач, за обслуживание и эксплуатацию средств вычислительной техники.
Для минимизации расходов на разработку и эффективное внедрение технологии обеспечения информационной безопасности целесообразно привлекать сторонних специалистов, имеющих опыт в проведении подобного рода работ. При этом, в любом случае, ответственность за разработку, внедрение и эффективность работы защитных систем несет высшее руководство компании!
Разрабатываемая технология информационной безопасности должна обеспечивать:
-
дифференцированный подход к защите различных АРМ и подсистем (уровень защищенности должен определяться с позиций разумной достаточности с учетом важности обрабатываемой информации и решаемых задач);
-
максимальную унификацию средств защиты информации с одинаковыми требованиями к безопасности;
-
реализацию разрешительной системы доступа к ресурсам ИС;
-
минимизацию, формализацию (в идеале - автоматизацию) реальной выполнимости рутинных операций и согласованность действий различных подразделений по реализации требований разработанных положений и инструкций, не создавая больших неудобств при решении сотрудниками своих основных задач;
-
учет динамики развития автоматизированной системы, регламентацию не только стационарного процесса эксплуатации защищенных подсистем, но и процессов их модернизации, связанных с многочисленными изменениями аппаратно-программной конфигурации АРМ;
-
минимизацию необходимого числа специалистов отдела, занимающихся защитой информации.
Надо совершенно четко понимать, что соблюдение необходимых требований по защите информации, препятствующих осуществлению несанкционированных изменений в системе, неизбежно приводит к усложнению процедуры правомочной модификации ИС. В этом состоит одно из наиболее остро проявляющихся противоречий между обеспечением безопасности и развитием и совершенствованием автоматизированной системы. Технология обеспечения информационной безопасности должна быть достаточно гибкой и предусматривать особые случаи экстренного внесения изменений в программно-аппаратные средства защищаемой ИС.
- 0. Введение: Введение:
- Информация и информационная культура
- Информация, данные, знание и развитие экономики
- Информационные революции
- Информация и информационная культура предприятия
- Контрольные вопросы и задания
- Сферы применения информационных технологий
- Обработка информации
- Хранение информации. Базы и хранилища данных
- Развитие инструментальных средств обработки информации
- Предыстория эвм
- Вычислительные устройства
- Поколения эвм
- Суперкомпьютеры и кластеры
- Компьютеры следующего поколения
- Контрольные вопросы и задания
- Предпосылки быстрого развития информационных технологий
- Этапы развития информационных технологий
- Проблемы, стоящие на пути информатизации общества
- Задачи и процессы обработки информации
- Преимущества применения компьютерных технологий
- Инструментальные технологические средства
- Тенденции развития ит
- От обработки данных - к управлению знаниями
- Децентрализация и рост информационных потребностей
- Интеграция децентрализованных систем
- Капиталовложения и риски
- Психологический фактор и языковые уровни
- Развитие ит и организационные изменения на предприятиях
- Контрольные вопросы и задания
- Развитие Internet/Intranet технологий
- Поисковые системы
- Internet-технологии в бизнесе
- Электронная коммерция
- Контрольные вопросы и задания
- Понятие информационной системы
- Информационная стратегия как ключевой фактор успеха
- Внешнее и внутреннее информационное окружение предприятия
- Информационный контур, информационное поле
- Контрольные вопросы и задания
- Роль структуры управления в формировании ис
- Типы данных в организации
- От переработки данных к анализу
- Системы диалоговой обработки транзакций
- Рабочие системы знания и автоматизации делопроизводства
- Управляющие информационные системы
- Системы поддержки принятия решений
- Olap-технологии
- Технологии Data Mining
- Статистические пакеты
- Нейронные сети и экспертные системы
- Информационные системы поддержки деятельности руководителя
- Контрольные вопросы и задания
- Взаимосвязь информационных подсистем предприятия
- Сервис-ориентированная архитектура ис
- Контрольные вопросы и задания
- Принципы создания информационной системы
- Принцип "открытости" информационной системы
- Структура среды информационной системы
- Модель создания информационной системы
- Реинжиниринг бизнес-процессов
- Отображение и моделирование процессов
- Обеспечение процесса анализа и проектирования ис возможностями case-технологий
- Внедрение информационных систем
- Основные фазы внедрения информационной системы
- Контрольные вопросы и задания
- Управленческий учет и отчетность
- Автоматизированные информационные системы
- Интегрированная информационная среда
- Эволюция кис
- Контрольные вопросы и задания
- Методология планирования материальных потребностей предприятия mrp
- Стандарт mrp II
- Контрольные вопросы и задания
- Erp и управление возможностями бизнеса
- Состав erp-системы
- Основные различия систем mrp и erp
- Особенности выбора и внедрения erp-системы
- Основные принципы выбора erp-системы
- Основные технические требования к erp-системе
- Оценка эффективности внедрения
- Особенности внедрения erp-системы
- Основные проблемы внедрения и использования erp-систем
- Неэффективность внедрения
- Сложность эффективной интеграции erp-систем с приложениями третьих фирм
- Ограниченные аналитические возможности erp-систем и недостаточная поддержка процессов принятия решений
- Контрольные вопросы и задания
- Функциональное наполнение концепции crm
- Главные составляющие crm-системы
- Планирование ресурсов предприятия, синхронизированное с требованиями и ожиданиями покупателя
- Новая покупательская ценность
- Выстраивание новых взаимоотношений: фокус на покупателя, а не на продукт
- Главная цель - "интегрирование" покупателя
- Использование открытых технологий
- Методология scm: ключ к согласованному бизнесу
- Контрольные вопросы и задания
- Надо ли защищаться?
- От кого защищаться?
- От чего защищаться?
- Как защищаться?
- Чем защищаться?
- Кто и как должен заниматься организацией защиты?
- Что выбрать?
- Контрольные вопросы и задания
- 14. Лекция: Заключение: