Безопасность информационных систем. Учебное пособие. В. В. Ерохин

Чтение книги онлайн.

СКАЧАТЬ наследование, полиморфизм, выделение граней объектов, варьирование уровня детализации – все это универсальные понятия, знание которых необходимо всем специалистам по информационной безопасности.

      Законодательный уровень является важнейшим для обеспечения информационной безопасности. На законодательном уровне особого внимания заслуживают правовые акты и стандарты.

      Российские правовые акты в большинстве своем имеют ограничительную направленность. Сами по себе лицензирование и сертификация не обеспечивают безопасности. К тому же в законах не предусмотрена ответственность государственных органов за нарушения информационной безопасности.

      Главная задача мер административного уровня – это сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

      Основой программы является политика безопасности, отража ющая подход организации к защите своих информационных активов.

      Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого является ознакомление с наиболее распространенными угрозами.

      Главные угрозы – это внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

      На втором месте по размеру ущерба стоят кражи и подлоги. Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.

      Для подавляющего большинства организаций достаточно общего знакомства с рисками. Ориентация на типовые, апробированные решения позволит обеспечить базовый уровень безопасности при минимальных интеллектуальных и материальных затратах.

      Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Выделяют следующие этапы жизненного цикла:

      • инициация;

      • закупка;

      • установка;

      • эксплуатация;

      • выведение из эксплуатации.

      Безопасность невозможно добавить к системе, ее нужно закладывать с самого начала и поддерживать до конца.

      Меры процедурного уровня ориентированы на людей, а не на технические средства, и подразделяются на следующие виды:

      • управление персоналом;

      • физическая защита;

      • поддержание работоспособности;

      • реагирование на нарушения режима безопасности;

      • планирование восстановительных работ.

      На этом уровне применимы важные принципы безопасности:

      • непрерывность защиты в пространстве и времени;

      • разделение обязанностей;

      • минимизация привилегий.

      Информационная СКАЧАТЬ