Безопасность информационных систем. Учебное пособие. В. В. Ерохин
Чтение книги онлайн.
Читать онлайн книгу Безопасность информационных систем. Учебное пособие - В. В. Ерохин страница 7
Законодательный уровень является важнейшим для обеспечения информационной безопасности. На законодательном уровне особого внимания заслуживают правовые акты и стандарты.
Российские правовые акты в большинстве своем имеют ограничительную направленность. Сами по себе лицензирование и сертификация не обеспечивают безопасности. К тому же в законах не предусмотрена ответственность государственных органов за нарушения информационной безопасности.
Главная задача мер административного уровня – это сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отража ющая подход организации к защите своих информационных активов.
Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого является ознакомление с наиболее распространенными угрозами.
Главные угрозы – это внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
На втором месте по размеру ущерба стоят кражи и подлоги. Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.
Для подавляющего большинства организаций достаточно общего знакомства с рисками. Ориентация на типовые, апробированные решения позволит обеспечить базовый уровень безопасности при минимальных интеллектуальных и материальных затратах.
Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Выделяют следующие этапы жизненного цикла:
• инициация;
• закупка;
• установка;
• эксплуатация;
• выведение из эксплуатации.
Безопасность невозможно добавить к системе, ее нужно закладывать с самого начала и поддерживать до конца.
Меры процедурного уровня ориентированы на людей, а не на технические средства, и подразделяются на следующие виды:
• управление персоналом;
• физическая защита;
• поддержание работоспособности;
• реагирование на нарушения режима безопасности;
• планирование восстановительных работ.
На этом уровне применимы важные принципы безопасности:
• непрерывность защиты в пространстве и времени;
• разделение обязанностей;
• минимизация привилегий.
Информационная