Логотип журнала "Провизор"








Корпоративная политика информационной безопасности
Другие статьи из раздела: Информационные технологии в фармации
Статья
№ 08'2010 Достаточно одного НАЖАТИЯ КЛАВИШИ...
№ 05'2010 АПТЕЧНЫЕ ПРЕДСТАВИТЕЛЬСТВА В ИНТЕРНЕТЕ
№ 04'2010 ФАРМАЦИЯ переходит на цифру*
№ 02'2010 ФАРМАЦИЯ ПЕРЕХОДИТ НА ЦИФРУ
№ 01'2010 ИНТЕРНЕТ-РЕСУРСЫ ОТЕЧЕСТВЕННЫХ ФАРМПРОИЗВОДИТЕЛЕЙ: ВЛИЯНИЕ КРИЗИСА*
№ 24'2009 Реклама в Интернете - это перспективно
№ 22'2009 ИНТЕРНЕТ-РЕСУРСЫ ОТЕЧЕСТВЕННЫХ ФАРМПРОИЗВОДИТЕЛЕЙ: ВЛИЯНИЕ КРИЗИСА
№ 21'2009 ПРАКТИКУМ ОПТИМИЗАЦИИ аптечных интернет-продаж
№ 16'2009 ИНТЕРНЕТ И СВОБОДА
№ 15'2009 ИНТЕРНЕТ И СВОБОДА

Корпоративная политика информационной безопасности

Ю. М. Пенкин, проф., зав кафедрой фармакоинформатики НФаУ, г. Харьков, В. А. Жук, доц. кафедры фармакоинформатики НФаУ, г. Харьков, Л. Ю. Белогорцева, асс. кафедры фармакоинформатики НФаУ, г. Харьков

Политика информационной безопасности (ПИБ) — набор законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области защиты информации. На основе ПИБ строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение информационной системы в различных ситуациях.

В. В. Домарев «Безопасность информационных технологий.
Системный подход» — 2004 г.

Частные вопросы защиты информации мы уже затрагивали на предыдущих тематических встречах с читателями журнала. В этот раз нам предстоит познакомиться с общими подходами к реализации корпоративной политики информационной безопасности (ПИБ). Безусловно, этот аспект жизненного цикла информационных систем (ИС) является практически значимым в силу своей необходимости. Поэтому любая уважающая себя организация, имеющая корпоративную ИС, просто обязана сформировать собственную ПИБ. 

В рамках системных требований к ПИБ разнообразие видов защиты информации определяется способами воздействия на дестабилизирующие факторы или порождающие их причины, на элементы ИС, защищаемую информацию и окружающую среду в направлении повышения показателей защищенности информации. Эти способы могут быть классифицированы следующим образом:

  • физические средства — механические, электрические, электромеханические, электронные, электронно-механические и другие устройства и системы, функционирующие автономно, создавая различного рода препятствия дестабилизирующим факторам;
  • аппаратные средства — различные электронные, электронно-механические и подобные устройства, встраиваемые в аппаратуру ИС или сопрягаемые с ней специально для решения задач защиты информации;
  • программные средства — специальные пакеты программ или отдельные программы, используемые для решения задач защиты;
  • организационные меры — организационно-технические мероприятия, предусматриваемые в ИС с целью решения задач защиты; правовые меры — законодательно-правовые акты, действующие в государстве, специально издаваемые законы, связанные с обеспечением защиты информации. Они регламентируют права и обязанности всех лиц и подразделений, имеющих отношение к функционированию ИС, и устанавливают ответственность за действия, следствием которых может быть нарушение защищенности информации;
  • морально-этические нормы — сложившиеся моральные нормы и этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению общих правил поведения в обществе.

По понятным причинам реализацию специальных средств (физических, аппаратных и программных) мы оставим специалистам и техникам, а здесь рассмотрим только общую структуру мероприятий по этим направлениям. Она представлена в табл. 1.


Таблица 1. Мероприятия по защите информации
Общие процедуры обеспечения сохранности информации
Управление доступом Контроль угроз Управление надежностью Ограничение обработки Преобразование
информации


Что касается организационных и правовых мер, они относятся к административным методам защиты информации, которые, в том числе, определяют и разработку специального пакета документов по реализации ПИБ. Перечень этих документов с краткой, но достаточно полной информацией об их содержании приведен в табл. 2.

Таблица 2. Пакет документов по реализации корпоративной ПИБ
Название документа Краткое содержание документа
1 2

«Концепция обеспечения информационной безопасности в ИС»

  • общая характеристика объекта защиты (описание состава, функций и существующей технологии обработки данных в типовой ИС);
  • формулировка целей создания системы защиты, основных задач обеспечения информационной безопасности и путей достижения целей (решения задач);
  • перечень типичных угроз информационной безопасности и возможных путей их реализации, неформальная модель вероятных нарушителей;
  • основные принципы и подходы к построению системы обеспечения информационной безопасности, меры, методы и средства достижения целей защиты.

«План защиты от несанкционированного доступа к информации»

  • определение целей, задач защиты информации в ИС и основных путей их достижения (решения);
  • требования к организации и проведению работ по защите информации в ИС;
  • описание применяемых мер и средств защиты информации от рассматриваемых угроз, общих требований к настройкам применяемых средств защиты информации от НСД;
  • распределение ответственности за реализацию «Плана защиты ИС» между должностными лицами и структурными подразделениями организации.
Продолжение таблицы 2
1 2

«Положение о категорировании ресурсов ИС»

  • формулировка целей введения классификации ресурсов (АРМ, задач, информации, каналов передачи) по степеням (категориям) защищенности;
  • предложения по числу и названиям категорий защищаемых ресурсов и критериям классификации ресурсов по требуемым степеням защищенности;
  • определение мер и средств защиты информации, обязательных и рекомендуемых к применению на АРМ различных категорий;
  • общие положения, специальные термины и определения, встречающиеся в документе;
  • образец формуляра ЭВМ (для учета требуемой степени защищенности (категории), комплектации, конфигурации и перечня решаемых на ЭВМ задач);
  • образец формуляра решаемых на ИС функциональных задач (для учета их характеристик, категорий пользователей и их прав доступа к информационным ресурсам).

«Порядок обращения с информацией, подлежащей защите»

  • определение основных видов защищаемых (конфиденциальных) сведений (информационных ресурсов);
  • общие вопросы организации учета, хранения и уничтожения документов и магнитных носителей конфиденциальной информации;
  • порядок передачи (представления) конфиденциальных сведений третьим лицам;
  • определение ответственности за нарушение установленных правил обращения с защищаемой информацией;
  • форма типового Соглашения (обязательства) сотрудника организации о соблюдении требований обращения с защищаемой информацией.

«План обеспечения непрерывной работы и восстановления»

  • общие положения (назначение документа);
  • классификация возможных (значимых) кризисных ситуаций и указание источников получения информации о возникновении кризисной ситуации;
  • перечень основных мер и средств обеспечения непрерывности процесса функционирования ИС и своевременности восстановления ее работоспособности;
  • общие требования к подсистеме обеспечения непрерывной работы и восстановления;
  • типовые формы для планирования резервирования ресурсов подсистем ИС и определения конкретных мер и средств обеспечения работы и восстановления;
  • порядок действий и обязанности персонала по обеспечению непрерывной работы и восстановлению работоспособности системы.

«Положения об отделе технической защиты информации»

  • общие положения, руководство отделом;
  • основные задачи и функции отдела;
  • права и обязанности начальника и сотрудников отдела, ответственность;
  • типовая организационно-штатная структура отдела.

«Обязанности администратора информационной безопасности подразделения»

  • основные права и обязанности по поддержанию требуемого режима безопасности;
  • ответственность за реализацию принятой политики безопасности в пределах своей компетенции.

«Памятка пользователю»

  • общие обязанности сотрудников подразделений при работе со средствами ИС и ответственность за нарушение установленных порядков.

«Инструкция по внесению изменений в списке пользователей»

  • процедура регистрации, предоставления или изменения прав доступа пользователей к ресурсам ИС.

«Инструкция по модификации технических и программных средств»

  • регламентация взаимодействий подразделений организации по обеспечению безопасности информации при проведении модификаций программного обеспечения и технического обслуживания средств вычислительной техники.

«Инструкция по организации парольной защиты»

  • регламентация организационно-технического обеспечения процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе организации, а также контроль действий пользователей и обслуживающего персонала системы при работе с паролями.

«Инструкция по организации антивирусной защиты»

  • требования к закупке, установке антивирусного программного обеспечения;
  • порядок использования средств антивирусной защиты, регламенты проведения проверок и действия персонала при обнаружении вирусов;
  • распределение ответственности за организацию и проведение антивирусного контроля.

«Инструкция по работе с ключами шифрования»

  • порядок изготовления, работы, хранения ключевых дискет (или CD) и уничтожения ключевой информации;
  • обязанности и ответственность сотрудников по использованию и сохранности ключевой информации;
  • формы журналов учета ключевых дискет (или CD);
  • порядок действий персонала в случае утери, порчи ключевой дискеты (или CD), компрометации ключевой информации.


Конечно, конкретная организация может иметь не полный перечень приведенных выше документов (она имеет на это право), но администраторы и менеджеры всех уровней должны в полном объеме «представлять» и, главное, решать задачи, обеспечивающие реализацию корпоративной ПИБ. 

Отметим, что существенная часть рассмотренного материала представлена на основе монографии Домарева В. В. («Безопасность информационных технологий. Системный подход» — К.: ООО «ТИД «ДС», 2004. — 992 с.), которую можем рекомендовать читателям для более глубокого ознакомления с вопросами защиты информации.

http://www.provisor.com.ua






© Провизор 1998–2017



Грипп у беременных и кормящих женщин
Актуально о профилактике, тактике и лечении

Грипп. Прививка от гриппа
Нужна ли вакцинация?
















Крем от морщин
Возможен ли эффект?
Лечение миомы матки
Как отличить ангину от фарингита






Журнал СТОМАТОЛОГ



џндекс.Њетрика