Стратегия обеспечения Информационной Безопасности предприятия
| Категория реферата: Рефераты по менеджменту
| Теги реферата: баллов, прочитать сообщение
| Добавил(а) на сайт: Nabatnikov.
Предыдущая страница реферата | 1 2 3 4 5 6 7 8 | Следующая страница реферата
Среди целей ИБ главными можно выделить следующие:
Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.
Целостность – поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации. Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.
Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.
2. Разработка и внедрение эффективных политик информационной безопасности
Не секрет, что дела с обеспечением ИБ в большинстве российских компаний обстоят не лучшим образом. Общение со специалистами и результаты статистических исследований только укрепляют это мнение. Большинство организаций регулярно терпят убытки, связанные с нарушением ИБ, не способны оценить ущерб или хотя бы обнаружить многие из этих нарушений. Тем более не идет речь о реализации в современных российских организациях полноценной процедуры управления рисками ИБ. Большинство специалистов-практиков даже не берутся за эту "непосильную" задачу, предпочитая руководствоваться при решении проблем ИБ исключительно собственным опытом и интуицией. Убытки от нарушений ИБ могут выражаться в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак и т.п. Убытки могут также выражаться и вполне конкретными "круглыми суммами", например, когда речь идет о мошенничестве в финансовой сфере с использованием компьютерных систем.
Политики безопасности (ПБ) лежат в основе организационных мер защиты
информации. От их эффективности в наибольшей степени зависит успешность
любых мероприятий по обеспечению ИБ. Часто приходится сталкиваться с
неоднозначностью понимания термина "политика безопасности". В современной
практике обеспечения ИБ термин "политика безопасности" может употребляться
как в широком, так и в узком смысле слова. В широком смысле, ПБ
определяется как система документированных управленческих решений по
обеспечению ИБ организации. В узком смысле под ПБ обычно понимают локальный
нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и
механизмы контроля для определенной области обеспечения ИБ. Примерами таких
документов могут служить "Политика управления паролями", "Политика
управления доступом к ресурсам корпоративной сети", "Политика обеспечения
ИБ при взаимодействии с сетью Интернет" и т.п. Использование нескольких
специализированных нормативных документов обычно является предпочтительней
создания "Общего руководства по обеспечению ИБ организации". Например, в
компании Cisco Systems, Inc. стараются, чтобы размер ПБ не превышал 2
страниц. В редких случаях размер ПБ может достигать 4-5 страниц.
Содержательная часть типовой русскоязычной ПБ обычно не превышает 7
страниц. Этот подход, однако, не противоречит и созданию объемных
Руководств, Положений и Концепций по обеспечению ИБ, содержащих ссылки на
множество специализированных ПБ и увязывающих их в единую систему
организационных мер по защите информации.
Далее речь пойдет о существующих подходах к разработке эффективных ПБ, без которых невозможно создание комплексной системы обеспечения ИБ организации и разработки стратегии ИБ. Как будет показано, эффективность ПБ определяется качеством самого документа, который должен соответствовать текущему положению дел в организации и учитывать основные принципы обеспечения ИБ, изложенные ниже, а также правильностью и законченностью процесса внедрения [6].
2.1. Факторы, определяющие эффективность политики безопасности
Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.
При разработке ПБ, которая "не рухнет под своим собственным весом", следует учитывать факторы, влияющие на успешность применения мер обеспечения безопасности.
Безопасность препятствует прогрессу
Меры безопасности накладывают ограничения на действия пользователей и администраторов ИС и в общем случае приводят к снижению производительности труда. Безопасность является затратной статьей для организации, как и любая другая форма страхования рисков.
Человеческая природа всегда порождает желание получения большего количества информации, упрощения доступа к ней и уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению этих естественных желаний.
Представьте себе ситуацию ожидания переключения сигнала светофора.
Очевидно, что светофор предназначен для обеспечения безопасности дорожного
движения, однако если движение по пересекаемой дороге отсутствует, то это
ожидание выглядит утомительной тратой времени. Человеческое терпение имеет
предел и если светофор долго не переключается, то у многих возникает
желание проехать на красный. В конце концов, светофор может быть
неисправен, либо дальнейшее ожидание является неприемлемым.
Аналогично, каждый пользователь ИС обладает ограниченным запасом терпения, в отношении следования правилам политики безопасности, достигнув которого он перестает эти правила выполнять, решив, что это явно не в его интересах (не в интересах дела).
Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда "кто-то начинает двигаться на красный свет".
Следует учитывать и минимизировать влияние ПБ на производственный процесс, соблюдая принцип разумной достаточности.
Навыки безопасного поведения приобретаются в процессе обучения
В отличие, скажем, от инстинкта самосохранения, обеспечение ИБ не является инстинктивным поведением. Это функции более высокого уровня, требующие обучения и периодического поддержания.
Процедуры обеспечения безопасности обычно не являются интуитивными. Без соответствующего обучения пользователи ИС могут и не осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов (или причинах, по которым их следует защищать), скорее всего, будет считать соответствующую политику неразумной. Даже некоторые навыки самосохранения требуют обучения. (Дети сначала не знают о том, что перед тем, как переходить через дорогу, надо посмотреть сначала налево, а потом – направо). В отличие от инстинктивного, это пример сознательного поведения.
Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированным с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать технических деталей обеспечения ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации.
Следует проводить непрерывную работу по обучению сотрудников и
повышению осведомленности руководства организации в вопросах обеспечения
ИБ.
Нарушения политики безопасности являются неизбежными
В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования ПБ отнюдь не являются очевидными. Чем сложнее пользователям ИС приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования ПБ наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.
Рекомендуем скачать другие рефераты по теме: bestreferat ru, особенности реферата.
Категории:
Предыдущая страница реферата | 1 2 3 4 5 6 7 8 | Следующая страница реферата