Административный уровень обеспечения информационной безопасности

Административный уровень  обеспечения информационной безопасности

Административный уровень  является промежуточным между законодательно-правовым и программно-техническим уровнями формирования режима информационной безопасности. Основой практического построения комплексной системы безопасности является административный уровень, определяющий главные направления работ по защите информационных систем.

Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем. Кроме этого, что немаловажно, именно на административном уровне определяются механизмы защиты, которые составляют третий уровень информационной безопасности – программно-технический.

Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.

Содержанием административного уровня являются следующие мероприятия:

• разработка политики безопасности;
• проведение анализа угроз и расчета рисков;
• выбор механизмов и средств обеспечения информационной безопасности.

Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности.

Основные направления  разработки политики безопасности:

• определение объема и требуемого уровня защиты данных;
• определение ролей субъектов информационных отношений.

Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций  на первое место ставится соблюдение конфиденциальности. Для библиотек актуальным может быть обеспечение целостности данных и т. д. Начать составление политики следует с анализа рисков.

Анализ рисков состоит из двух основных этапов: инвентаризация и классификация информационных ресурсов. Для каждого из информационных ресурсов определяется его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения её применимости к данному ресурсу, вероятности возникновения и возможного ущерба. На основе результатов этого анализа составляется классификационный раздел политики информационной безопасности. В зависимости от типа предприятия меры физической защиты могут варьироваться в широком диапазоне. Исходя из анализа рисков для каждого предприятия, необходимо описать типы помещений и необходимые для них меры безопасности. К мерам безопасности относятся установка решеток, замков, порядок допуска в помещения, средства электромагнитной защиты и т.д.

Разделы управления, описывающие подходы  к управлению компьютерами и сетями передачи данных и порядок разработки и внедрения систем, описывают порядок выполнения стандартных операционных процедур оперирования данными, правила ввода систем в эксплуатацию. Кроме того, в данном разделе указывается порядок защиты предприятия от вредоносного программного обеспечения (регламент работы антивирусной системы в частности). Описывается стандартное программное обеспечение, разрешенное к работе на предприятии. Здесь же описываются системы защиты электронной почты, системы электронной цифровой подписи и другие криптографические системы и системы аутентификации, работающие на предприятии. Это немаловажно, поскольку российское законодательство в области жестко в этом отношении.

Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.