Организация информационной безопасности

13 апреля, 2016 admin

Организация информационной безопасности начинается с «Политики ин­формационной безопасности» — внутреннего документа, содержащего в себе ее основные принципы, используемые защитные механизмы и правила их эксплуатации.

Основой этой политики в коммерческом банке является общая политика безопасности организации. Часто информационную безопасность рассматри­вают как часть общей системы безопасности. Постоянное сравнение базовых принципов защиты организации и механизмов защиты информационной систе­мы может привести к значительному росту ее надежности и эффективности.

Однако система информационной безопасности тесно связана с техни­ческими проблемами, решение которых может потребовать значительных сроков и ресурсов, что может привести к экономической нецелесообразности использования рассматриваемых механизмов. Наиболее эффективной схемой создания политики информационной безопасности является последователь­ная разработка ее составляющих с привлечением специалистов из различных областей. Возможный порядок работ приведен на рисунке 9.10.

Результатом этих работ становится рабочая система информационной безопасности, регламентируемая документом «Политика информационной безопасности».

Рассмотрим пример структуры данного документа (табл. 9.7).

Такой документ позволит сотрудникам, ответственным за обеспечение информационной безопасности, контролировать систему в целом на осно­вании общих правил, что позволит существенно сократить расходы и потери в случае различных нарушений.

Рассмотрим основные механизмы защиты информационных систем. Реа­лизация концепции информационной безопасности, как правило, строится на стандартных механизмах. Преимуществами использования типовых ре­шений являются надежность, наличие опыта их эксплуатации у персонала,

Организация информационной безопасности

Рис. 9.10. Схема организации информационной безопасности

прозрачность возможности реализации и низкая стоимость. Недостаток стандартных механизмов — их доступность для злоумышленника. Поэтому, используя типовые решения, следует знать об их слабых сторонах, особенно когда информация имеет высокую коммерческую стоимость и возможно привлечение злоумышленниками профессиональных специалистов в области информационной безопасности.

Таблица 9.7

Примерная структура политики информационной безопасности

Раздел документа

Содержание

Ответственные

сотрудники

Общие положения

Статус документа

Руководитель выс­шего звена. Пред­ставители службы безопасности

Классификация данных по степени открытости. Опреде­ление владельцев информа­ционных ресурсов

Группы объектов информационной системы, их владельцы и степень доступа к ним. Пример: аналитические счета банка, синтети­ческие счета, справочники

Технологи банка

Правила доступа и группы пользователей

Основные правила доступа к данным. При­мер: доступ к данным на чтение — руково­дитель должен видеть всю информацию, к которой имеют доступ все его подчиненные

Технологи банка, ад­министратор системы

Правила эксплуатации

Правила по технике информационной безопасности для пользователей (правила хранения носителей информации, структура паролей, доступ к аппаратным составляющим системы)

Руководители подраз­делений, сотрудники информационно­технических служб, сотрудник отдела безопасности

Правила хранения информа­ционных объектов в системе

Глава определяет:

• какой программный продукт обеспечивает хранение и обработку различных объектов;

• на каких вычислительных ресурсах (серверах или пользовательских станциях) выполняются различные задачи;

• как осуществляется резервное копирова­ние системы

Руководитель информационно-тех­нических подразде­лений, разработчики системы, внутренний аудит

Правила разработки инфор­мационной системы

Глава включает в себя:

• перечень технических и программных средств, допустимых к использованию в системе;

• утвержденные алгоритмы криптографии и электронной подписи;

• порядок ведения проектной документации

Руководители про­ектов, внутренний аудит, представители службы безопасности

Порядок внесения изменений, обновления и замены рабо­чей версии информационной системы

Самый уязвимый этап в жизни информа­ционной системы, связанный установкой и внедрением новых технологических цепочек или программно-аппаратных решений

Руководители про­ектов, внутренний аудит, представители службы безопасности, руководители подраз­делений

Механизмы мониторинга доступа к объектам информа­ционной системы

Перечень файлов протокола, которые ведутся системой, а также набор контрольных метрик, определяющих состояние системы и угрозы нарушений в ее работе

Внутренний аудит, технические спе­циалисты

Обязанности должностных лиц в случае нарушений ин­формационной безопасности системы

Различные нарушения или угрозы наруше­ний, выявленные в результате анализа меха­низмов мониторинга, и действия должност­ных лиц по устранению или предотвращению нарушений

Руководитель информационно­технологического подразделения, пред­ставители службы безопасности

Ее меры можно разделить на четыре категории.

1. Сдерживающие социальные меры. Обычно направлены на устранение первичных причин нарушений в информационном пространстве организа­ции. К ним относятся:

• создание здорового социального климата в организации;

• снижение нагрузки на персонал и развитие системы, восстановление работоспособности сотрудников;

• разработка системы наказания за различные нарушения, в том числе и за нарушение режима информационной безопасности, информиро­вание всех о применяемых наказаниях;

• ограничение знаний сотрудников только областью их непосредствен­ных обязанностей;

• контроль и анализ нетипичных действий сотрудников и сторонних лиц (партнеров, клиентов);

• четкая система обучения.

2. Установка систем защиты. Ее средства основываются на программно­аппаратных решениях. Обычно они предлагаются сторонними организация­ми и за определенную плату или бесплатно доступны для каждой организа­ции. К техническим средствам защиты относятся:

• шифрование;

• электронные подписи и электронная аутентификация;

• развитие системы доступа к данным;

• система защиты программных ресурсов;

• система защиты аппаратных ресурсов;

• физическое ограничение доступа к аппаратным ресурсам системы.

3. Компенсационные меры. Направлены на ограничение последствий нарушений в системе. К ним относятся следующие решения:

• установка лимитов на выполнение операций;

• страхование рисков;

• создание резервных систем;

• моделирование нарушений;

• подробное регламентирование действий сотрудников в исключитель­ных ситуациях.

4. Мониторинг нарушений. Его цель — распознавание нарушений в ин­формационных системах, а именно:

• аудит информационной системы;

• сравнение ее показателей с независимыми источниками;

• система контрольных метрик.

Опубликовано в Банковское дело
«
»

Комментарии закрыты.