![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Механизм управления экономической и информационной безопасностью.
под информационной безопасностью далее будем понимать состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности. Здесь важно заметить следующее: 1. Объектом защиты становится не просто информация как некие сведения, а информационный ресурс, т.е. информация на материальных носителях (документы, базы данных, патенты, техническая документация и т.д.), право на доступ к которой юридически закреплено за ее собственником и им же регулируется 2. Информационная безопасность пользователей в отличие от физической обеспечивает защищенность их прав на доступ к ИР для удовлетворения своих информационных потребностей; 3. С точки зрения экономической целесообразности защищать следует лишь ту информацию, разглашение (утечка, потеря и т.д.) которой неизбежно приведет к материальному и моральному ущербу. Важнейшими принципами обеспечения безопасности ИС являются[2]:
Последнее дает наибольший эффект тогда, когда все используемые средства, методы и мероприятия объединены в единую управляемую систему информационной безопасности. В этом случае достигается полный охват объектов защиты (персонала, МТС информатизации и ИР) всей совокупностью форм противодействия и защиты на основе правовых, организационных и инженерно-технических мероприятий. В зависимости от масштаба и вида деятельности коммерческой организации структура ее СИБ может быть разнообразной исходя из экономической целесообразности. Однако обязательными элементами, присутствующими в ее структуре и соответствующие основным направлениям защиты, должны быть следующие [3]: 1. Правовая защита - юридическая служба (юрист, патентовед, рацорг, оценщик интеллектуальной собственности т.п.), взаимодействующая с бухгалтерией и плановым тделом; 2. Организационная защита - службы охраны (комендант, контролеры, пожарные и т.п.) и режима (государственной, служебной тайны, конфиденциальной информации и т.п.), взаимодействующие с отделом кадров; 3. Инженерно-техническая защита - инженерно-техническая служба (операторы ЭВМ, связисты, криптографы, техники и т.п.), взаимодействующие с функциональными подразделениями фирмы. Объединяющим и координирующим началом всей СИБ является ее начальник в ранге заместителя руководителя фирмы по безопасности, опирающийся в своих действиях на решения Совета безопасности, объединяющего начальников соответствующих служб и возглавляемого ответственным руководителем фирмы. Функционально СИБ строится в виде перекрывающихся " концентрических" контуров защиты по отношению к внешним угрозам, в центре которых располагается объект защиты. При этом " внешним" контуром (большего " радиуса") является контур правовой защиты, обеспечивающий законность и правомерность как самого объекта, так и мер по его защите. Далее следует контур организационной защиты, обеспечивающий порядок доступа к объекту, который непосредственно защищается " внутренним" контуром инженерно-технической защиты путем контроля и предотвращения утечки, НСД, модификации и потери информации. Такое построение СИБ позволяет существенно локализовать техническую защиту и сократить расходы на нее вследствие правовой " селекции" объектов защиты и организации ограниченного доступа к ним. Реализация процесса защиты информации в каждом из означенных контуров происходит примерно по следующим этапам: 1. Определение объекта защиты:
2. Выявление угроз:
3. Определение необходимых мер защиты; 4. Оценка их эффективности и экономической целесообразности; 5. Реализация принятых мер с учетом выработанных критериев (приоритетов); 6. Доведение принятых мер до персонала (в части касающейся), контроль за их эффективностью и устранение (предотвращение) последствий угроз. Описанный выше процесс, по сути, является процессом управления информационной безопасностью объекта и реализуется системой управления, включающей в себя помимо самого управляемого (защищаемого) объекта, средства контроля за его состоянием, механизм сравнения текущего состояния с требуемым и формирователь управляющих воздействий для локализации и предотвращения ущерба вследствие угроз. Критерием управления в данном случае целесообразно считать минимум информационного ущерба при минимальных затратах на ОБИ, а целью управления - обеспечение требуемого состояния объекта в смысле защищенности. Разработка структуры системы управления информационной безопасностью СУИБ, как и любой другой системы управления, основывается на трех базовых принципах управления [4]: 1. Принцип разомкнутого управления. Заранее сформированные требования реализуются исполнительными органами СИБ, воздействуя на объект защиты. Достоинством является простота, а недостатком - низкая эффективность защиты, т.к. трудно заранее предугадать момент воздействия и вид угрозы; 2. Принцип компенсации. В контур управления оперативно вводится информация об обнаруженной угрозе, в результате чего исполнительные органы СИБ концентрируют свои усилия на локализации и противодействии конкретной угрозе. Достоинством является более высокая эффективность, а недостатками - трудность правильного обнаружения угрозы и невозможность устранения последствий внутренних угроз. 3. Принцип обратной связи. Обнаруживается не сама угроза, а реакция системы на нее и степень нанесенного ущерба. Достоинством является конкретность и точность отработки последствий угроз (экономическая целесообразность), включая и внутренние. Недостатком является запаздывание (инерционность) принимаемых мер, т.к. обнаруживается не предполагаемая угроза, а уже реакция на нее.
|