Заказать консультацию
Главная » Справочник » Основы информационной безопасности в органах внутренних дел » Понятие политики безопасности

Понятие политики безопасности

Политика безопасности – совокупность правил, которым должны следовать люди, программы и устройства при действиях с информацией. Этот термин чаще всего используется по отношению к организации. Политика безопасности (информации в организации) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Комплект документов может включать:

  • концепцию безопасности (систематически изложенные взгляды на основные направления, условия и порядок практического решения задач защиты деятельности организации от противоправных действий и недобросовестной конкуренции – цели и задачи, принципы, объекты защиты, виды угроз, правовые основы, техническое обеспечение и т. д.);
  • положение о конфиденциальной информации (перечень, учет, хранение и использование, порядок допуска, меры по контролю, ответственность);
  • положение об использовании информационной системы;
  • положение об использовании мобильных устройств и носителей информации;
  • положение об учете, хранении и использовании ключевой информации;
  • положение об использовании программного обеспечения;
  • положение об использовании сети Интернет;
  • положение об использовании электронной почты;
  • положение об обучении сотрудников;
  • положение о системе резервного копирования (система, стратегия, порядок, организация резервного копирования, задачи, права, ответственность администратора);
  • положение об отделе информационных технологий;
  • должностные инструкции (начальника отдела информационных технологий, инженера-электроника этого отдела и т. д.), определяющие требования, компетенцию, выполняемые обязанности, права и ответственность.

В документах рассматриваются две группы мероприятий – по построению (формированию) системы защиты и по использованию системы для защиты информации. Политика информационной безопасности определяет облик системы защиты информации – правовые нормы, организационные меры, программно-технические средства, процедуры, направленные на противодействие угрозам, минимизацию возможных последствий. Для каждого вида потенциальных проблем обычно назначается ответственный исполнитель.

Контроль состояния должен получать ответы на вопросы:

  • сколько компьютеров (вспомогательного оборудования) установлено в организации, сколько их на рабочих местах, сколько в ремонте, сколько в резерве;
  • какие задачи и с какой целью решаются на каждом компьютере;
  • можно ли узнать каждый компьютер «в лицо» и обнаружить «маскарад» оборудования, когда какой-нибудь компьютер, его часть или программное обеспечение подменены;
  • есть ли уверенность в необходимости каждой единицы контролируемого оборудования и в том, что среди него нет ничего лишнего? Наличие избыточного оборудования приводит к дублированию функций, затруднению и, в конечном счете, ослаблению контроля, что может нанести урон безопасности;
  • каков порядок ремонта и технической профилактики компьютеров;
  • как проверяется оборудование, возвращаемое из ремонта, перед установкой на рабочее место;
  • как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования.

Аналогичные вопросы выясняются в отношении программного обеспечения и персонала. Другими словами, защита информации начинается с постановки и решения организационных вопросов. Практика деятельности в сфере обеспечения информационной безопасности в автоматизированных показывает, что реальный интерес к проблеме защиты информации, проявляемый на верхнем уровне управления, на уровне подразделений, отвечающих за работоспособность автоматизированной системы, сменяется на резкое неприятие.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

  • появляются дополнительные ограничения для пользователей, затрудняющие использование и эксплуатацию автоматизированной системы организации;
  • как правило, дополнительные действия, которые возлагаются на пользователей, не сопровождаются дополнительной оплатой труда;
  • возникают дополнительные материальные затраты как на проведение таких работ, так и на расширение штата специалистов, занимающихся информационной безопасностью.

Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:

  • принятие только организационных мер защиты информации;
  • использование только технических средств защиты.

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, требования которых (при отсутствии соответствующего технического обеспечения) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются. Во втором случае приобретаются и устанавливаются дополнительные технические средства. Их применение без соответствующей организационной поддержки только усиливает существующий беспорядок.

Предыдущая статья Особенности государственной тайны Следующая статья Понятие утечки информации ограниченного доступа по техническим каналам
Статьи по теме
Полезные статьи
Узнайте цену услуг:
Консультации:
Узнай цену консультации

"Да забей ты на эти дипломы и экзамены!” (дворник Кузьмич)
Курсовая работа Дипломная работа Отчет по практике Реферат