Законодательный, административный, процедурный, программно-технический уровни

Законодательный уровень

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Мы будем относить к этому уровню весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Самое важное на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с прогрессом информационных технологий. Естественно, законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

Главное, чего не хватает современному российскому законодательству (и что можно почерпнуть из зарубежного опыта), это позитивной (не карательной) направленности. Информационная безопасность - это новая область деятельности, здесь важно научить, разъяснить, помочь, а не запрещать и наказывать. От государства в первую очередь требуется координирующая и направляющая роль. Общество должно осознать важность данной проблематики, понять основные пути решения соответствующих проблем, должны быть скоординированы научные, учебные и производственные планы. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.

К законодательному уровню необходимо отнести и приведение российских стандартов в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть много причин, по которым это должно быть сделано. Одна из них - необходимость взаимодействия с зарубежными компаниями и зарубежными филиалами российских компаний. Сейчас эта проблема решается по существу в обход действующего законодательства, путем получения разовых разрешений.

Административный уровень

Основой мер административного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности.

Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию организации в области информационной безопасности, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Разработка политики безопасности - дело тонкое, поскольку у каждой организации есть своя специфика. Здесь бессмысленно переносить практику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. В этой области целесообразно предложить, во-первых, основные принципы разработки политики безопасности, а, во-вторых, - готовые шаблоны для наиболее важных разновидностей организаций.

Процедурный уровень

К процедурному уровню относятся меры безопасности, реализуемые людьми. В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер, однако проблема состоит в том, что они пришли из докомпьютерного прошлого, поэтому нуждаются в существенном пересмотре.

Можно выделить следующие группы процедурных мер:

• управление персоналом;
• физическая защита;
• поддержание работоспособности;
• реагирование на нарушения режима безопасности;
• планирование восстановительных работ.

Для каждой группы в каждой организации должен существовать набор регламентов, определяющих действия персонала. В свою очередь, исполнение этих регламентов следует отработать на практике.

Программно-технический уровень

Согласно современным воззрениям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:

• идентификация и проверка подлинности пользователей,
• управление доступом,
• протоколирование и аудит,
• криптография,
• экранирование,
• обеспечение высокой доступности.

В принципе (если иметь в виду зарубежные продукты), доступен полный спектр решений. Если же рассмотреть практическую ситуацию, осложненную разного рода законодательными ограничениями, то окажется, что обеспечение информационной безопасности является весьма непростой задачей.

Назад | Содержание | Вперед