Руководство организации должно заранее тщательно взвесить различные возможности при выборе стратегии ответных действий. В принципе стратегия может зависеть от конкретных обстоятельств нападения. Возможен и выбор единой стратегии на все случаи жизни. Нужно принять во внимание все за и против и проинформировать пользователей о принятом решении, чтобы они в любом случае осознавали степень своей уязвимости.

Следующий контрольный перечень помогает сделать выбор между стратегиями «защититься и продолжить» и «выследить и осудить».

При каких обстоятельствах предпочесть стратегию «защититься и продолжить»:

Активы организации недостаточно защищены.

Продолжающееся вторжение сопряжено с большим финансовым риском.

Нет возможности или намерения осудить злоумышленника.

Неизвестен круг пользователей.

Пользователи неопытны, а их работа уязвима.

Пользователи могут привлечь организацию к суду за нанесенный ущерб.

При каких обстоятельствах предпочесть стратегию «выследить и осудить»:

Активы и системы хорошо защищены.

Имеются хорошие резервные копии.

Угроза активам организации меньше потенциального ущерба от будущих повторных вторжений.

Имеет место согласованная атака, повторяющаяся с большой частотой и настойчивостью.

Организация притягивает злоумышленников и, следовательно, подвергается частым атакам.

Организация готова идти на риск, позволяя продолжить вторжение.

Действия злоумышленника можно контролировать.

Доступны развитые средства отслеживания, так что преследование нарушителя имеет шансы науспех.

Обслуживающий персонал обладает достаточной квалификацией для успешного выслеживания.

Руководство организации желает осудить злоумышленника.

Системный администратор знает, какого рода информация обеспечит успешное преследование.

Имеется тесный контакт с правоохранительными органами.

В организации есть человек, хорошо знающий соответствующие законы.

Организация готова к искам собственных пользователей по поводу программ и данных, скомпрометированных во время выслеживания злоумышленника.

1.2.6 Толкование политики безопасности

Важно определить, кто будет интерпретировать политику безопасности. Это может быть отдельное лицо или подразделение. Вне зависимости от того, насколько хорошо она написана, политика безопасности время от времени нуждается в разъяснении, а заодно и в пересмотре.

1.2.7 Гласность политики безопасности

Письменный документ с изложением политики должен быть доступен не только руководителям и сотрудникам, ответственным за информационную безопасность, он должен быть доступен всем сотрудникам организации. Более того, обеспечение доступа к документу еще не гарантия его действенности.

После того как положения политики безопасности записаны и одобрены, необходимо начать активный процесс, гарантирующий, что политика воспринята и обсуждена. Почтовую рассылку нельзя признать достаточной мерой. Прежде чем политика вступит в силу, следует отвести время для дискуссий, чтобы все заинтересованные пользователи могли высказать свое мнение и указать на недостатки политики. В идеале политика должна соблюдать баланс между безопасностью и производительностью труда, удобством работы.

Целесообразно провести собрания, чтобы выслушать пожелания пользователей и заодно убедиться в правильном понимании ими предложенной политики. (Творцы политики порой бывают несколько косноязычны.) В собраниях должны участвовать все: от высшего руководства до младших специалистов. Безопасность - забота общая.

Помимо усилий по оглашению политики на начальном этапе, необходимо постоянно напоминать о ней. Опытные пользователи нуждаются в периодических напоминаниях, новичкам ее нужно разъяснять, вводя в курс дела. Прежде чем допускать сотрудника к работе, разумно получить его подпись под свидетельством о том, что он прочитал и понял политику безопасности. В ситуациях, чреватых судебным разбирательством после нарушения политики, бумага с подписью может оказаться весьма кстати.

1.3 Организация системы безопасности

Управлять информационной безопасностью невозможно без соответствующих структур. Для инициирования и контроля за реализацией информационной безопасности внутри организации должна быть создана определенная структура управления. Она должна включать как штатные, так и внештатные органы управления.

1.3.1 Инфраструктура информационной безопасности

Для согласования политики информационной безопасности, распределения функций, координирования мер безопасности в организации следует проводить совещания руководящих лиц. В случае необходимости, нужно обеспечить возможность получения консультаций специалистов и сделать эту информацию доступной для всех. Для отслеживания основных тенденций в области стандартизации, критериев оценки, а также для определения наиболее подходящих пунктов транспортного соединения в случае инцидентов, затрагивающих проблемы безопасности, должны быть установлены контакты с внешними специалистами по обеспечению безопасности. Следует всячески поощрять многопрофильные подходы к обеспечению информационной безопасности, например, совместную работу аудиторов, пользователей и администраторов в этом направлении.

1.3.2 Совещание руководящих лиц по информационной безопасности

Ответственность за обеспечение информационной безопасности несут все руководящие сотрудники. Следует предусмотреть необходимость проведения совещаний высших руководящих лиц для обеспечения четкого руководства и поддержки инициатив по проведению мероприятий безопасности. В случае отсутствия достаточного количества вопросов для проведения регулярных совещаний по безопасности рекомендуется включать эти вопросы в повестку дня других регулярных совещаний.

Обычно на таких совещаниях рассматриваются следующие вопросы:

обзор и согласование политики информационной безопасности и распределение ответственности;

мониторинг основных рисков, которым подвергаются информационные ресурсы;

анализ инцидентов, затрагивающих проблемы безопасности;

одобрение основных инициатив и планов по повышению уровня информационной безопасности.

Рекомендуется, чтобы один из руководителей нес основную ответственность за координацию политики информационной безопасности.

1.3.3 Координация информационной безопасности

В крупной организации следует координировать меры информационной безопасности на многопрофильных совещаниях.

На таком совещании в присутствии представителей всех подразделений следует координировать реализацию мер информационной безопасности. Типичными вопросами такого совещания могут быть:

согласование специфических функций и ответственности за информационную безопасность в пределах организации;

согласование определенных методологий и процедур обеспечения информационной безопасности, например, оценки рисков, системы классификации мер безопасности;

согласование и поддержка инициатив в отношении информационной безопасности в пределах организации, например, программы по распространению знаний об информационной безопасности;

обеспечение того, чтобы безопасность стала частью процесса информационного планирования; координация реализации специфических мер информационной безопасности для новых систем или услуг; обеспечение наглядности поддержки мер информационной безопасности в организации.

1.3.4 Распределение ответственности за информационную безопасность

Ответственность за обеспечение защиты отдельных информационных ресурсов, а также за проведение специфических мер безопасности должна быть четко определена.

Политика информационной безопасности должна обеспечивать общее руководство по распределению функций и ответственности за состояние безопасности в организации. В случае необходимости это должно быть дополнено более детальной местной (на уровне отдельных подразделений) интерпретацией, отражающей специфику местонахождения, а также специфику систем или услуг, которая должна четко определять распределение ответственности в отношении индивидуальных ресурсов (как материальных, так и информационных), а также безопасность информационных процессов, например, планирование бесперебойной деятельности.

Ответственность за безопасность информационной системы должен нести владелец конкретной системы. Владельцы информационных систем могут делегировать свои полномочия в области безопасности (полномочия предпринимать те или иные действия) отдельным пользователям или провайдерам услуг. Однако, в конечном счете, именно они остаются ответственными за обеспечение безопасности системы.

Во избежание путаницы в отношении индивидуальной ответственности важно, чтобы те сферы, за которые каждый руководитель несет ответственность, были бы четко определены, а именно:

Различные ресурсы и процессы безопасности, связанные с каждой отдельной системой, должныбыть определены предельно ясно.

Назначение ответственных за каждый вид ресурсов или процесс должно быть согласовано, и кругответственности определен документально.

Полномочия должны быть четко определены и документированы.

1.3.5 Процедура санкционирования в отношении средств информационной технологии

Все вопросы, связанные с новой информационной техникой, должны быть согласованы с руководителями, а процедура согласования четко разработана. Лицам согласующим соответствующие изменения, следует убедиться в том, что инсталляция программного обеспечения и оборудования производится в производственных целях и будет обеспечивать адекватный уровень защиты безопасности, а также не будет отрицательно влиять на безопасность существующей инфраструктуры.

Следует предусмотреть два уровня санкционирования:

Производственное согласование. Установка каждой единицы программного обеспечения и оборудования должна производиться с разрешения соответствующего руководителя со стороны пользователя, который обосновывает их назначение и использование. Соответствующее разрешениедолжно быть также получено от руководителя, ответственного за обеспечение информационнойбезопасности на месте, для соблюдения соответствия всем направлениям политики безопасностии ее требованиям.

Техническое согласование. При необходимости следует проверить, что для всех устройств, подключенных к сетям коммуникации, или находящихся в ведении определенного провайдера услуг,имеется разрешение на установку со стороны руководства.

1.3.6 Консультация специалиста по информационной безопасности

Каждая организация, крупная или небольшая, может выиграть при привлечении консультанта по безопасности. В идеале консультантом должен быть опытный специалист по информационной безопасности, работающий в данной организации. Малые организации, к сожалению, не могут держать в штате такого специалиста-консультанта. В этом случае рекомендуется создание единого централизованного пункта, к услугам которого следует прибегать в случае необходимости принятия обоснованных решений в области безопасности, а также в случае необходимости получения помощи в максимальном развитии знаний и опыта внутри организации.

Консультанты по информационной безопасности или консультационные пункты должны иметь в своем распоряжении все необходимое, для того чтобы дать правильный совет по всем аспектам информационной безопасности.

Качество их оценки угроз безопасности и советов по контрмерам будет предопределять эффективность программы обеспечения информационной безопасности в организации. Для максимальной эффективности консультант или консультационный пункт должны иметь прямую связь с соответствующими руководителями организации. Они должны привлекаться на как можно более ранней стадии, сразу после инцидента, затрагивающего проблемы безопасности, для обеспечения квалифицированного руководства и привлечения соответствующих ресурсов для расследования. Несмотря на то, что большая часть расследований в плане внутренней безопасности будет проводиться под контролем руководящих лиц, специалист по информационной безопасности может быть приглашен для консультации, руководства или проведения расследования.

1.3.7 Сотрудничество между организациями

Специалистам по информационной безопасности, работающим в организации, следует, по своему усмотрению, наладить контакты с внешними специалистами по безопасности (в данной отрасли или на данной территории). Такое сотрудничество дает возможность использования коллективного опыта в оценке угроз безопасности и способствует распространению полезного опыта в области безопасности, помогая тем самым преодолеть трудности, возникающие во взаимоотношениях между организациями.

Важным представляется и установление соответствующих контактов с правоохранительными органами, провайдерами услуг информационной технологии, а также с организациями, занимающимися предоставлением телекоммуникационных услуг. Это даст возможность быстро войти в контакт с нужными лицами и получить консультацию в случае инцидента, затрагивающего проблемы безопасности.

Обмен информацией по вопросам безопасности должен быть ограничен для обеспечения защиты конфиденциальной информации компании от несанкционированного доступа.

1.3.8 Независимая ревизия состояния информационной безопасности

Документ, определяющий политику информационной безопасности, устанавливает ответственность должностных лиц и направления обеспечения информационной безопасности. Существующая практика обеспечения информационной безопасности должна подвергаться независимой ревизии для получения уверенности в том, что организационные меры действительно соответствуют политике безопасности, и ее проведение является эффективным.

Примечание. Возможным исполнителем такой проверки может быть внутренний аудитор, независимый руководитель высшего звена либо третья сторона, специализирующаяся в осуществлении такого рода исследованиях и экспертизе. Кандидаты на проведение такой работы должны иметь соответствующие навыки и опыт.

1.4 Ответственность субъектов информационной безопасности

Все пользователи КИС несут ответственность за обеспечение их безопасности. Однако форма и объем ответственности зависят от роли конкретного сотрудника и степени его причастности к КИС. Целесообразно рассматривать три широкие категории штатного персонала, а также их функции и ответственность в отношении обеспечения безопасности КИС. Общая (т.е. минимальная) ответственность этих категорий штатного персонала оговорена ниже:

Рядовые сотрудники - все, кто занимаются использованием, эксплуатацией, разработкой или внедрением компьютерных систем. Они ответственны за:

знание своих обязанностей по обеспечению безопасности КИС и принятие соответствующих действий;

проявление активной заинтересованности в поддержании безопасности КИС - выявление новыхвидов потенциальных угроз и информирование о них руководителей подразделений;

знание своих правовых обязанностей и принятие соответствующих действий;

соблюдение требований, обязательных в масштабе всей организации стандартов;

соблюдение требований локальных стандартов и инструкций.

Руководители подразделений - сотрудники, уполномоченные администрацией осуществлять ежедневное руководство работой и/или развитием производственных функций и поддерживающих их компьютерных систем. Они ответственны за:

оценку потенциальных угроз для тех направлений, которыми они руководят;

разработку соответствующих локальных стандартов и инструкций по обеспечению безопасности КИС и согласование их с администрацией;

обеспечение выполнения находящимся под их руководством персоналом соответствующих стандартов и инструкций;

обеспечение надлежащего обучения для администраторов сетей;

стремление обеспечить достаточное финансирование для нужд безопасности КИС;

обеспечение регулярного обновления требований безопасности, информационного программного обеспечения и планов действий в экстренных случаях.

Администрация - руководители наиболее высокого ранга. Они ответственны за:

общую безопасность находящихся в их ведении систем (как владельцы этих систем), включая принятие решений по выдаче разрешений на подключение к своей сети других сетей;

обеспечение достаточного финансирования для нужд безопасности КИС;

назначение АДМИНИСТРАТОРОВ БЕЗОПАСНОСТИ КИС для каждого производственного подразделения;

определение круга основных обязанностей для координаторов по безопасности КИС и обеспечение их обучения в достаточном объеме.

Кроме рассмотренных категорий целесообразно выделить еще две категории:

Администраторы безопасности КИС - сотрудники, назначенные администрацией для обеспечения безопасности определенных ресурсов и распространения знаний по безопасности КИС в отдельных подразделениях. Они ответственны за:

реализацию правил обеспечения безопасности информационных ресурсов подразделения или функционального комплекса;

обеспечение администрирования установленных для них средств безопасности;

обеспечение полной осведомленности среди сотрудников подразделений о важности поддержания безопасности КИС;

обеспечение информирования всех сотрудников своих подразделений о существовании руководств по безопасности;

помощь руководителям подразделений в выявлении потенциальных рисков и составлении инструкций для своих подразделений.

Администраторы сетей / системные администраторы - сотрудники, назначенные руководителями подразделений для сопровождения и эксплуатации локальных сетей (LAN) или локальных систем. Они несут определенную ответственность за вверенные им системы, которая заключается в:

администрировании и идентификации пользователей;

снятие резервных копий с различных систем и их данных.

1.5 Классификация ресурсов и контроль за ними

Обеспечение соответствующей защиты ресурсов организации невозможно без их идентификации. Все основные информационные ресурсы должны быть четко определены, взяты на соответствующий учет с назначением ответственного лица.

1.5.1 Отчетность по ресурсам

Отчетность за использование ресурсов помогает обеспечить адекватность мер безопасности. По основным ресурсам должны определяться их владельцы с возложением на них ответственности за поддержание соответствующих мер безопасности. Реализация этих мер может быть делегирована другим лицам, но ответственность по отчетности остается на назначенных владельцах ресурсов.

1.5.2 Инвентаризация ресурсов

Инвентаризация ресурсов помогает обеспечить эффективность мер безопасности и может способствовать достижению других целей, например, обеспечению здоровья и личной безопасности, страхованию и управлению активами. Инвентаризация должна проводиться в отношении основных ресурсов каждой информационной системы. Каждый компонент ресурсов должен быть четко определен в соответствии с классификацией по его принадлежности и применяемым к нему мерам безопасности. Примерами ресурсов, ассоциирующихся с информационными системами, могут быть:

информационные ресурсы: базы и файлы данных, системная документация, руководства для пользователей, учебные материалы, операционные процедуры и процедуры поддержки, схемы обеспечения непрерывного функционирования, схемы нейтрализации неисправности;

программные ресурсы: прикладное программное обеспечение, системное программное обеспечение, средства разработки приложений и утилиты;

физические ресурсы: компьютеры и коммуникационное оборудование, магнитные носители информации (ленты и диски), другое техническое оборудование (источники питания, кондиционеры),мебель, помещения;

услуги: вычислительные и коммуникационные услуги, другие технические (отопление, освещение,энергоснабжение, кондиционирование воздуха).

1.5.3 Классификация информации

Классификация информации должна использоваться для определения необходимости принятия мер безопасности, их объема и приоритетности.

Информация имеет различную степень уязвимости и важности. Отдельные компоненты информации могут нуждаться в дополнительной защите или в особом обращении. Для определения соответствующих уровней обеспечения безопасности и информирования пользователей о необходимости особого обращения с информацией должна использоваться система классификации мер безопасности.

1.5.4 Принципы классификации

При классификации мер безопасности и определении соответствующих мероприятий по защите информации следует принимать во внимание необходимость предоставления информации, а также последствия несанкционированного доступа или разрушения информации. В частности, следует обратить внимание на следующие факторы:

конфиденциальность: производственная необходимость предоставления или ограничения доступа к информации с соблюдением конфиденциальности и контроля, требуемых в отношении ограниченного доступа к информации;

целостность: производственная необходимость проверки изменений информации и контроль,необходимый для защиты правильности и полноты информации;

доступность: производственная необходимость иметь доступ к информации и соблюдение принятых видов контроля для ее получения.

Ответственность за определение классификационной принадлежности единицы информации, например, документа, записи данных, файла данных или дискеты, а также за периодичный пересмотр классификации должна лежать на лице, подготовившем данные, или на владельце данных.

Следует уделить особое внимание интерпретации классификационных меток на документах, поступающих от других организаций, которые могут быть различными в отношении одной и той же информации либо похожими.

1.5.5 Маркирование информации

Информация ограниченного доступа и выходные данные систем, обрабатывающих подобную информацию, должны быть снабжены соответствующими метками. Однако зачастую информация перестает быть уязвимой по истечении некоторого периода времени, например, когда она становится достоянием широкой публики. Этот факт следует принимать во внимание, поскольку обеспечение излишней секретности приводит к неоправданным дополнительным расходам.

Выходные данные, поступающие от информационных систем, содержащих информацию ограниченного доступа, должны иметь соответствующую метку. Маркировка должна отражать степень секретности наиболее уязвимых сведений в выходных данных. Это относится к распечатанным отчетам, экранным дисплеям, магнитным носителям (лентам, дискетам, кассетам), электронным сообщениям и электронной передаче файлов.

Примечание. Физические метки являются наиболее подходящими для маркировки. Тем не менее в некоторых случаях, например, при электронной передаче, функция маркирования выполняется иными средствами, такими, как процедуры, контракты или почтовые уведомления.

1.6 Обеспечение безопасности персоналом

Снизить риски, возникающие вследствие ошибок, кражи, мошенничества или неправильного обращения с техникой, возможно только при должной организации работ с персоналом.

1.6.1 Обеспечение безопасности при составлении должностных инструкций и проверка благонадежности

Обеспечение мер безопасности должно начинаться уже на стадии приема на работу; они должны предусматриваться должностными инструкциями и контрактными условиями. Выполнение мер безопасности должно отслеживаться в период работы сотрудника.

Руководители должны обеспечить, чтобы должностные инструкции включали все необходимые обязанности по соблюдению мер безопасности. Принимаемые на работу лица должны пройти соответствующую проверку на благонадежность, особенно для уязвимых видов деятельности. Все служащие и сторонние пользователи должны подписать обязательство о соблюдении конфиденциальности (о неразглашении тайны, нераспространении информации ограниченного пользования).

1.6.2 Отражение мер безопасности в должностных инструкциях

В должностные инструкции должна быть включена ответственность за соблюдение мер безопасности в соответствии с проводимой в организации политикой информационной безопасности. Сюда входят общие обязанности по реализации или соблюдению политики безопасности, а также особые обязанности по защите конкретных ресурсов или по выполнению конкретных процедур и процессов обеспечения безопасности.

1.6.3 Проверка на благонадежность при приеме на работу

Принимаемые на работу должны подвергаться проверке, если работа связана с доступом к средствам обработки уязвимой информации. При этом необходимо:

представление, по крайней мере, двух положительных характеристик, одна служебная и одна личная;

проверка автобиографических данных на полноту и достоверность; подтверждение образовательной и профессиональной квалификации; проверка идентичности личности, например, паспортных данных;

проверка кредитоспособности при приеме на ответственные должности, например, проверка финансового положения.

1.6.4 Договор о соблюдении конфиденциальности

Пользователи информационными средствами организации должны подписать соответствующее обязательство в отношении конфиденциальности (о неразглашении). Служащие обычно подписывают такое обязательство как часть основных условий приема на работу.

Персонал отделений и сторонние пользователи, не связанные существующим контрактом, содержащим обязательства по соблюдению конфиденциальности, должны обязательно подписать такой договор, прежде чем получить доступ к информационным средствам организации.

Договора о соблюдении конфиденциальности должны пересматриваться в случае изменений условий приема на работу или контрактных условий, особенно когда служащие собираются увольняться или по окончании срока действия контракта.

1.7 Обучение пользователей

Чтобы обеспечить информированность пользователей о существующих угрозах для информационной безопасности и связанных с ними проблемах, а также предоставить им все необходимое для реализации выработанной организацией политики обеспечения безопасности в процессе работы, необходимо планировать и регулярно осуществлять мероприятия по обучению.

Пользователи должны быть обучены процедурам безопасности и правильному использованию информационных средств.

Пользователи должны получить официальное письменное разрешение на доступ с указанием прав и ограничений.

1.7.1 Теоретическое и практическое обучение информационной безопасности

До получения разрешения на доступ к информационным услугам пользователи должны пройти соответствующее обучение в отношении политики и процедур обеспечения безопасности, включая требования безопасности и контроля, а также обучение по правильному использованию информационных средств, например, по процедурам подключения к системе, использованию пакетов прикладных программ.

Примечание. Данные меры необходимы для обеспечения правильного выполнения процедур безопасности и минимизации возможных рисков для конфиденциальности, целостности и доступности данных или услуг, которые могут возникнуть из-за ошибки пользователя.

Такая политика должна применяться в отношении служащих организации и сторонних пользователей.

1.8 Реагирование на инциденты

Информация об инциденте должны быть доведена до руководства как можно быстрее. Это необходимо для того, чтобы сократить ущерб от инцидентов, касающихся проблем безопасности, и сбоев в работе, а также отслеживать такие инциденты и делать соответствующие выводы на будущее.

1.8.1 Доведение информации об инцидентах, касающихся проблем безопасности

Должна быть разработана официальная процедура доведения такой информации совместно с процедурой реагирования на инциденты с указанием действий, которые следует предпринять при получении сообщения об инциденте. Все служащие организации и подрядчики должны владеть процедурой сообщения об инцидентах и обязаны докладывать о таких инцидентах как можно быстрее в соответствующую службу.

Все служащие организации и подрядчики должны быть ознакомлены с процедурами доклада о различного вида инцидентах (нарушение защиты, угроза, уязвимые места защиты или сбои), которые могут повлиять на безопасность ресурсов организации. Они обязаны сообщать о любых обнаруженных или вызывающих подозрение инцидентах как можно быстрее в соответствующую службу. Организация должна создать формальную дисциплинарную процедуру в отношении служащих, чьи действия привели к нарушению безопасности.

1.8.2 Сообщение об уязвимости защиты

Пользователи информационными услугами обязаны фиксировать и сообщать обо всех замеченных или предполагаемых уязвимых местах средств защиты в отношении систем или услуг. Пользователи должны сообщать об этом либо непосредственному руководителю, либо своему поставщику услуги как можно быстрее. Пользователи должны знать, что ни при каких обстоятельствах они не должны предпринимать самостоятельные попытки проверить слабые места, вызывающие подозрение.

Примечание. Это делается в целях их же защиты, поскольку их действия по проверке слабых мест могут быть интерпретированы как потенциальное злоупотребление.

1.8.3 Сообщение о сбоях программного обеспечения

Пользователи услуг информационной техники должны фиксировать все программы, которые, по их мнению, работают некорректно, т.е. не соответствуют спецификациям, а также сообщать об этом в местную службу поддержки или же непосредственно провайдеру услуг.

Следует разработать процедуры немедленных действий лиц, которые предполагают, что сбой обусловлен умышленным искажением части программы, например, наличием компьютерного вируса. При этом особое внимание должно быть уделено следующим аспектам:

Записать симптомы и любые сообщения, появляющиеся на экране.

Прекратить использование компьютера, при возможности изолировать его. Немедленно поставить в известность службу технической поддержки. Если оборудование подлежит осмотру, оно должно быть отключено от локальной сети организации до того, как на него вновь будет подано питание. Дискеты не должны передаваться на другие машины.

Немедленно сообщить о происшествии в соответствующую службу.

Пользователи не должны ни при каких обстоятельствах не пытаться изъять подозрительные программы. Восстановление должно производиться опытным персоналом, имеющим соответствующую подготовку.

1.8.4 Процедуры дисциплинарного воздействия

Должны существовать официальные процедуры дисциплинарного воздействия в отношении сотрудников, нарушивших правила и процедуры политики безопасности в организации. Наличие таких процедур будет сдерживать служащих, которых могут склонить к нарушению процедур обеспечения безопасности. Кроме того, они должны обеспечивать корректное и справедливое обращение со служащими, подозреваемыми в совершении серьезных или неоднократных нарушений требований безопасности. Процедуры дисциплинарного воздействия должны разрабатываться под руководством специалиста по кадрам (юриста) и согласовываться с руководством организации.

2. Основные положения теории защиты информации

"Если, рассуждая о природе богов и происхождении вселенной, мы не достигнем желанной нашему уму цели, то в этом нет ничего удивительного, поскольку следует помнить, что и я, говорящий, и вы судьи - всего лишь люди; так что если наши соображения будут правдоподобны, не следует стремиться ни к чему больше».

Платон

"Я сделал как мог, и пусть, кто может - сделает лучше».

Древние римляне

2.1 Введение

Теория защиты информации определяется как система основных идей, относящихся к защите информации в современных системах ее обработки, дающая целостное представление о сущности проблемы защиты, закономерностях ее развития и существенных связях с другими отраслями знания, формирующаяся и развивающаяся на основе опыта практического решения задач защиты и определяющая основные ориентиры в направлении совершенствования практики защиты информации.

В приведенном определении уже содержатся общие сведения о задачах теории защиты, в более же развернутом виде теория защиты должна:

предоставлять полные и адекватные сведения о происхождении, сущности и развитии проблем защиты;

полно и адекватно отображать структуру и содержание взаимосвязей с родственными и смежными областями знаний;

аккумулировать опыт предшествующего развития исследований, разработок и практического решения задач защиты информации;

ориентировать в направлении наиболее эффективного решения основных задач защиты и предоставлять необходимые для этого научно-методологические и инструментальные средства;

формировать научно обоснованные перспективные направления развития теории и практики защиты информации.

Сформулированным выше целевым назначением теории защиты предопределяется ее состав и общее содержание. Составными частями ее, очевидно, должны быть:

полные и систематизированные сведения о происхождении, сущности и содержании проблемы защиты;

систематизированные результаты ретроспективного анализа развития теоретических исследований и разработок, а также опыта практического решения задач защиты, полно и адекватно отображающие наиболее устойчивые тенденции в этом развитии;

научно обоснованная постановка задачи защиты информации в современных системах ее обработки, полно и адекватно учитывающая текущие и перспективные концепции построения систем и технологий обработки, потребности в защите информации и объективные предпосылки удовлетворения;

общие стратегические установки на организацию защиты информации, учитывающие все многообразие потенциально возможных условий защиты;

методы, необходимые для адекватного и наиболее эффективного решения всех задач защиты и содержащие как общеметодологические подходы к решению, так и конкретные прикладные методы решения;

методологическая и инструментальная база, содержащая необходимые методы и инструменталь ные средства решения любой совокупности задач защиты в рамках любой выбранной стратегической установки;

научно обоснованные предложения по организации и обеспечению работ по защите информации;

научно обоснованный прогноз перспективных направлений развития теории и практики защиты информации.

Приведенный перечень составных частей даже при таком очень общем представлении их содержания предметно свидетельствует о большом объеме и многоаспектности теории защиты, что, естественно, порождает значительные трудности ее формирования. Эти трудности усугубляются еще тем, что проблема защиты информации относится к числу сравнительно новых, причем по мере развития исследований, разработок и практической их реализации появляются новые аспекты, защита информации представляется все более комплексной и все более масштабной проблемой. Существенное влияние оказывает также неординарность проблемы защиты, наиболее значимым фактором которой является повышенное влияние на процессы защиты случайных трудно предсказуемых событий. Всем изложенным предопределяется настоятельная необходимость выбора и обоснования методологических принципов формирования самой теории защиты.

2.2 Возникновение и история развития проблемы защиты информации

Проблема защиты информации, вообще говоря, имеет многовековую историю. Ведь даже наскальные рисунки (не говоря уже о древних рукописях) есть не что иное, как попытка сохранить информацию о реалиях объективного мира. Применение же специальных мер в целях сохранения информации в тайне практиковалось еще в древние времена: достоверно, например, известно, что выдающийся политический деятель и полководец Древнего Рима Цезарь использовал для этих целей криптографическое преобразование текстов сообщений (вошедшее в историю под названием шифра Цезаря), хотя по современным представлениям весьма примитивное.

Но поскольку здесь рассматриваются вопросы защиты информации в автоматизированных системах ее обработки, то и ретроспективный анализ их происхождения и развития будем производить на глубину реального существования этих систем. В ведущих, с точки зрения информатизации, странах (прежде всего США) рассматриваемая проблема находится в центре внимания специалистов и интенсивно разрабатывается уже более 30 лет. Достаточно красноречивым свидетельством этого внимания может служить тот факт, что число публикаций по различным аспектам защиты информации только в открытой печати исчисляется многими тысячами, причем среди них многие десятки - это публикации монографического характера. Издаются специальные журналы, регулярно проводятся конференции, соответствующие дисциплины включены в учебные планы всех вузов, готовящих специалистов по вычислительной технике и ее использованию.

Прежде всего, специалисты единодушны в оценке чрезвычайной важности проблемы защиты, причем в подтверждение приводятся многочисленные конкретные факты злоумышленных действий над информацией, находящейся в КИС. Последствия таких действий нередко были достаточно тяжелы.

Страницы: 1, 2, 3, 4, 5, 6