Современные информационные технологии /4.Информационная безопасность.

 

ст. викладач Галушко С.О., асистент Мілінчук Ю.А.

Державний ВНЗ « Національний гірничий університет»

Управлінські заходи забезпечення інформаційної безпеки

       

         Основним управлінським заходом забезпечення інформаційної безпеки являється розробка багаторівневої політики безпеки, тому в даній статті  детально розглядається кожен з її рівнів.

        Головною метою заходів, основаних на управлінському рівні, є формування програми робіт в області інформаційної безпеки і забезпечення її виконання шляхом виділення необхідних ресурсів та здійснення регулярного контролю. Основою цієї програми є багаторівнева політика безпеки, що відображає комплексний підхід організації до захисту своїх ресурсів та інформаційних активів.

        З практичної точки зору політику безпеки доцільно розділити на три рівні: верхній, середній та нижній [2, с.157].

        До верхнього рівня можна віднести рішення, що торкаються організації в цілому [3, с.65]. Вони носять дуже загальний характер і, як правило, виходять від керівництва організації. Наприклад, список подібних рішень може включати в себе:

·        формування або перегляд комплексної програми забезпечення інформаційної безпеки, призначення відповідальних за реалізацію цієї програми;

·        формулювання цілей у сфері інформаційної безпеки та визначення загальних напрямків їх досягнення;

·        забезпечення технічної бази для дотримання відповідних законів і правил;

·        формулювання управлінських рішень з тих питань реалізації програмної безпеки, які повинні розглядатися на рівні організації в цілому.

    На політику верхнього рівня впливає мета організації в галузі інформаційної безпеки: вона формулюються, як правило в термінах цілісності, доступності та конфіденційності.

    На верхній рівень виноситься управління ресурсами захисту та координація їх використання, виділення спеціального персоналу для захисту особливо важливих систем, підтримка контактів з іншими організаціями, що забезпечують або контролюють режим безпеки.

    До середнього рівня можна віднести окремі аспекти інформаційної безпеки, які важливі для різних систем експлуатованих організацією [3, с.66].

         Політика середнього рівня по кожному подібному аспекту передбачає вироблення відповідного документованого управлінського рішення, в якому зазвичай є:

·        Опис аспекта;

·        Область його застосування;

·        Чіткий розподіл відповідних ролей та обов'язків;

·        Механізм забезпечення «законослухняності»;

·        Вказівки на необхідні «точки контакту». Повинно бути точно відомо, куди слід звертатися за роз'ясненнями, допомогою та додатковою інформацією. Зазвичай «точкою контакту» служить посадова особа.

   Політика безпеки нижнього рівня відноситься до конкретних сервісів. Вона включає в себе два аспекти – ціль та правила її досягнення [3, с.66]. На відміну від двох верхніх рівнів,   політика нижнього рівня повинна бути більш детальною. При її дослідженні необхідно дати відповідь, наприклад, на такі питання:

·        Хто має право доступу до об'єктів, що підтримуються сервісом?

·        За яких умов можна читати і модифікувати дані?

·        Як організовано віддалений доступ до сервісу?

   При формулюванні цілей, політика нижнього рівня ґрунтується на міркуваннях цілісності, доступності та конфіденційності, але вона не повинна на цьому зупинятися. Її цілі мають бути конкретнішими. З цілей зазвичай виводяться правила безпеки, що описують, хто, що і за яких умов може робити. Чим детальніші правила, чим більш формально вони викладені, тим простіше підтримувати їх виконання програмно-технічними заходами. З іншого боку, занадто жорсткі правила можуть заважати роботі користувачів, і, ймовірно, їх доведеться часто переглядати.

   Багаторівнева політика безпеки розділяється на три рівні: верхній до якого відносяться рішення, що торкаються організації в цілому, середній де описуються окремі аспекти інформаційної безпеки, та нижній, що відноситься до конкретних сервісів.

 

 

Перелік літератури

1. Ярочкин, В.И. Информационная безопасность.– М.: Академический Проект. Мир. 2004. – 544 с.

2. Голубченко О.Л. Політика інформаційної безпеки. Луганськ: вид-во СНК ім. В.Даля. 2009. –300 с.

3.Шаньгин В.Р.Информационная безопасность компьютерных систем и сетей. –М: ИД «ФОРУМ»: ИНФРА-М, 2008. –416с.