В современном мире информация играет все большую и большую роль. Она позволяет как добропорядочным гражданам, так и злоумышленникам извлекать прибыль, получать различные преимущества, отражать нападение, извлекать иную выгоду. Впрочем, информация во все времена играла немалую роль в жизни человека. Взять хоть древний мир, хоть недавнее прошлое, хоть современность. Постоянно растущий объем информации толкает вперед технический прогресс, заставляет совершенствовать средства и технологии обработки, хранения и передачи информации. Но это в свою очередь рождает разного рода злоумышленников, желающих воспользоваться чужой информацией или навредить посредством ее подмены, искажения или уничтожения. Такое положение вещей не может быть оставлено без внимания, а потому, с развитием технологий обработки информации, развиваются и технологии ее защиты, а это в свою очередь толкает развитие средств преодоления защиты.
Данная ситуация может повлечь за собой для владельца или держателя информации весьма и весьма печальные события и последствия, а потому все больше и больше людей стремятся усовершенствовать у себя систему защиты информации. Многие организации по этой же причине внедряют у себя системы информационной безопасности. Что же это такое система информационной безопасности? Прежде всего хотелось бы определиться с понятием "Информация". В принципе информация - это все, это любые сведения о ком или о чем-либо, это мысли, идеи, проекты, планы и многое другое. Информационная безопасность это система обеспечивающая защищенность той самой любой информации от различных видов посягательств на нее. От хищения, огласки, искажения, уничтожения и т.д. И эта система, как и любая другая система не может быть однобокой, не может она рассматривать только одну какую-то проблему, и не учитывать другую, пусть и неактуальную сегодня. Система информационной безопасности должна быть комплексной, всесторонней, и только тогда она будет наиболее эффективной и надежной.
С чего же начать строить систему информационной безопасности? Ну прежде всего с определения того, что нужно защищать и нужно ли вообще. Если защита необходима, то надо продолжить принятием комплексных организационных мер. В самом начале этих мер необходимо определить конкретное лицо (конкретных лиц) или подразделения, которые будут участвовать в создании системы информационной безопасности, совершенствовании и поддержании ее надежности в дальнейшем. При этом стоит учитывать, что принцип разделения полномочий наиболее надежен. нельзя делать так, чтобы одно подразделение или один человек имел все или слишком много прав и возможностей. Это может привести к непоправимому вреду. Представьте себе случай, когда увольняется единственный уполномоченный системный администратор, который имел доступ ко всему и на котором завязаны все сервисы. Он может не передать все свои коды доступа, может напоследок натворить бед, ну и т.д. По этой причине ответственных лиц желательно назначать несколько и в соответствии со степенью их доверенности раздавать им полномочия. Наиболее доверенное лицо будет обладать наиболее ключевыми правами, но не всеми. Должно быть еще как минимум одно лицо, которое будет обладать единственным правом, переназначения прав наиболее доверенного лица другому лицу и ничего более. Этим лицом может быть и сам владелец и руководитель организации или самое доверенное и ответственное лицо.
Именно с этого и надо начинать. После чего можно создать управляющий совет (в крупных или средних организациях) или небольшую комиссию, или принять на уровне высшего руководства решение об определении политик безопасности. Для определения политик, необходимо составить подробный перечень всех информационных ресурсов, которые необходимо защищать. При этом этот перечень необходимо ранжировать по степени важности ресурсов, по величине последствий (по уровню риска), по актуальности угроз и т.д. после определения этого перечня, определения рисков и возможного ущерба можно приступать к разработке политик. Политики безопасности это документы верхнего уровня, которые обрисовывают самые общие основные установки владельца или держателя информации по ее защите. Данные политики должны содержать понятные абсолютно для всех постулаты и должны быть доведены и разъяснены всем работникам организации.
На основе политик уже можно строить более подробные и специфичные документы (руководства, рекомендации, инструкции, процедуры, процессы и т.д.), которые будут регламентировать те или иные моменты, функции, события и т.д.
Определив ключевые документы, необходимо проводить занятия с работниками, разъясняя им положения и требования тех или иных документов в части их касающейся. Естественно, нет необходимости обучать бухгалтера основам построения корпоративных сетей, эти знания необходимы специалистам Ай-Ти и, возможно, некоторым другим техническим специалистам.
В то же время основы компьютерной грамотности (правила входа в сеть, правила работы в ней, порядок включения и выключения компьютера, необходимость и порядок использования и смены паролей парольной защиты, правила обращения с носителями информации и с устной информацией и т.д.) должны знать все работники организации. И даже уборщиц следует обучать в плане обращения с устной информацией и с информацией, закрепленной на различных носителях. И это тоже правильно, ведь уборщицы в любой организации имеют доступ практически везде, пусть даже иной раз и поднадзорный доступ, но все равно. Вот с этого и надо начинать построение системы информационной безопасности.
... Продолжение следует...
Комментариев нет:
Отправить комментарий