- Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.
- Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" является должностное лицо, и это не зависит от того, какой конкретный человек занимает в данный момент данный пост.
Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ при следовании политике безопасности нижнего уровня:
- кто имеет право доступа к объектам, поддерживаемым сервисом?
- при каких условиях можно читать и модифицировать данные?
- как организован удаленный доступ к сервису?
При формулировке целей политика нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. Ее цели должны быть конкретнее. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только работникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству придется найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а работники не окажутся чрезмерно скованы. Обычно ввиду особой важности данного вопроса наиболее формально задаются права доступа к объектам.
ПОЛИТИКА БЕЗОПАСНОСТИ ГИПОТЕТИЧЕСКОЙ ОРГАНИЗАЦИИ
Чтобы сделать изложение более конкретным, рассмотрим политику обеспечения информационной безопасности гипотетической локальной сети, которой владеет организация.
Область применения.
В сферу действия политики обеспечения информационной безопасности попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации.
Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются: - обеспечение уровня безопасности, соответствующего требованиям нормативных документов;
- исследование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);
- обеспечение безопасности в каждой функциональной области локальной сети;
- обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
- обеспечение анализа регистрационной информации;
- предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;
- выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;
- обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.
Распределение ролей и обязанностей.
Перечисленные ниже группы людей отвечают за реализацию сформулированных ранее целей.
- руководитель организации отвечает за выработку соответствующей политики обеспечения информационной безопасности и проведение ее в жизнь;
- руководители подразделений отвечают за доведение положений политики обеспечения информационной безопасности до пользователей и за контакты с ними.
- администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики обеспечения информационной безопасности.
- пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.
Законопослушность.
Нарушение политики обеспечения информационной безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Поскольку наиболее уязвимым звеном любой информационной системы является человек, особое значение приобретает воспитание законопослушности сотрудников по отношению к законам и правилам информационной безопасности. Случаи нарушения этих законов и правил со стороны персонала должны рассматриваться руководством для принятия мер вплоть до увольнения.
ЗАКЛЮЧЕНИЕ
Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.
Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
Гайкович В., Першин А., Безопасность электронных банковских систем. - Москва, "Единая Европа", 1994.
Галатенко В., Информационная безопасность, "Открытые системы", N 4,5,6, 1995.
Федеральный Закон "Об информации, информатизации и защите информации". - "Российская газета", 22 февраля, 1995.
Указ Президента Российской Федерации от 3 апреля 1995 г. N 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации".
1