logo search
Материалы для PDF / Информационная безопасность

Лекция 6. Административный уровень информационной безопасности

К административному уровню информационной безопасности от­носятся действия общего характера, предпринимаемые руководством ор­ганизации.

Главная цель мер административного уровня — сформировать про­грамму работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражаю­щая подход организации к защите своих информационных активов. Ру­ководство каждой организации должно осознать необходимость под­держания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, состав­ляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определя­ется порядок контроля выполнения программы и т.п.

Термин «политика безопасности» является не совсем точным перево­дом английского словосочетания «security policy», однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные «правила безопасности». Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области ин­формационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Под политикой безопасности мы будем понимать совокупность до­кументированных решений, принимаемых руководством организаций, направленных на защиту информации и ассоциированных с ней ресурсов.

Такая трактовка, конечно, гораздо шире, чем набор правил разграниче­ния доступа (именно это означал термин «security policy» в «Оранжевой кни­ге» и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов — это слож­ная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в приме­ре и сделаем еще раз далее.

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном сти­ле, с возможностью варьировать не только уровень детализации, но и ви­димые грани объектов. Техническим средством составления, сопровожде­ния и визуализации подобных карт может служить свободно распростра­няемый каркас какой-либо системы управления.