logo search
Теор

8.3. Политика информационной безопасности организации

Политика информационной безопасности представляет собой документ, на основе которого строится комплексная система обеспечения безопасности информации организации (корпорации). Политика безопасности осуществляется в соответствии со спецификой корпорации и законодательной базой государства.

Для разработки документа о политике информационной безопасности используется как отечественный, так и зарубежный опыт. Ключевым документом по вопросам информационной безопасности считается версия 2.0 от 22.05.1998 г. Британского стандарта BS 7799 1995 «Общие критерии оценки безопасности информационных технологий» (ISO17799).Он содержит практические правила по управлению информационной безопасностью и используется в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие 10 разделов:

Формирование политики информационной безопасности включает в себя этапы: анализ рисков, определение стратегии защиты, составление документов политики информационной безопасности, разработка программы реализации политики информационной безопасности.

Анализ рисков. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. При анализе рисков выполняются следующие мероприятия: инвентаризация, классификация, выявление угроз, оценка рисков.

Инвентаризация проводится для определения объема необходимой защиты, контроля защищенности, а также для других областей: охрана труда, техника безопасности, страхование, финансы. Инвентаризации подлежат:

Классификация информационных ресурсов производится после инвентаризации. Ценность каждого ресурса обычно представляется как функция нескольких дискретных переменных.

В качестве основной переменной, например, выбирают степень конфиденциальности информации со следующими значениями:

Следующими переменными могут быть выбраны отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности (конфиденциальности, целостности, доступности). При этом вводится n-бальная система оценки.

Выявление угроз. Определяются носители и потенциальные источники утечки информации, формулируются угрозы, частота (статистика) их появления, вычисляется вероятность их появления.

Вероятности реализации разных видов угроз различны, и их определение требует анализа большого статистического материала. Так, например:

Следует заметить, что определение вероятностей появления различных угроз имеет очень большое значение для построения системы защиты информационных ресурсов корпорации.

Оценка рисков. Для каждого из информационных ресурсов определяются его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения ее применимости к данному ресурсу, вероятности возникновения и возможного ущерба.

Определение стратегии защиты производится по следующим направлениям:

предотвращение (предупреждение) ущерба (например, авторизация персонала на доступ к информации и технологии);

обнаружение угроз – обеспечение раннего обнаружения преступлений и злоупотреблений, даже если механизмы защиты были обойдены;

минимизация размера потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;

восстановление – обеспечение эффективного восстановления информации в случае ее потери.

Составление документов политики информационной безопасности

Стандарт рекомендует включать в состав документа, характеризующего политику безопасности организации, следующие разделы:

Разработка программы реализации политики информационной безопасности

На этом этапе выделяются ресурсы, назначаются ответственные, формируется план действий, определяется порядок контроля выполнения программы и т. п.

Итак, политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности информации. Это основной документ корпорации, который доводится до всех сотрудников.

9. Методы и средства обеспечения информационной безопасности

Совокупность методов и средств, обеспечивающих целостность, конфиденциальность, достоверность, аутентичность и доступность информации в условиях воздействия на нее угроз естественного или искусственного характера, образует защиту информации (Data protection).

Методы и средства обеспечения информационной безопасности (защиты информации) можно разделить на: