Комплексный подход к обеспечению информационной безопасности
В современных автоматизированных системах все острее встает вопрос обеспечения информационной безопасности. Эффективное решение вопросов защиты информации в современных автоматизированных системах может быть успешным только при условии использования комплексного подхода к построению системы обеспечения информационной безопасности, охватывающей все аспекты жизнедеятельности организации. Большой опыт создания таких систем позволил Научно-инженерному предприятию "Информзащита" разработать поэтапный план построения целостной системы защиты информации.
Решение задачи обеспечения информационной безопасности должно начинаться с анализа автоматизированной системы и технологии обработки информации. Данный этап позволит не только выявить и проанализировать возможные пути реализации угроз безопасности, но оценить вероятность и ущерб от их реализации. По результатам этого этапа вырабатываются рекомендации по устранению выявленных угроз, правильному выбору и применению средств защиты.
Наряду с анализом существующей технологии должна осуществляться разработка организационно-распорядительных документов, дающих необходимую правовую базу службам безопасности и отделам защиты информации для проведения всего спектра защитных мероприятий, взаимодействия с внешними организациями, привлечения к ответственности нарушителей и т.п. К числу таких документов можно отнести Концепцию информационной безопасности, План защиты, должностные инструкции, Положение о категорировании ресурсов автоматизированной системы (АС), изменения в положения об отделах и подразделениях и пр.
Следующим этапом построения комплексной системы информационной безопасности служит установка и настройка рекомендованных на предыдущем этапе средств защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности и другие. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал. Однако сложившаяся в России ситуация такова, что пока таких специалистов мало.
Выходом из сложившейся ситуации могут быть курсы повышения квалификации, на которых сотрудники отделов защиты информации и служб безопасности получат все необходимые практические знания для использования имеющихся средств защиты, выявления угроз безопасности и их предотвращения. Однако на этом процесс обеспечения безопасности не кончается. С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимостей и атак. Поэтому специалистам в области защиты информации необходима своевременная и полная информация о таких событиях.
Однако и на этом нельзя утверждать, что АС организации полностью защищена. Меняется технология обработки информации, изменяются программные и аппаратные средства, приходит и уходит персонал Банка. И необходимо периодически пересматривать разработанные организационно-распорядительные документы, проводить обследование АС или ее подсистем, обучать новый персонал, обновлять средства защиты. Следование описанным выше этапам построения комплексной системы обеспечения информационной безопасности поможет достичь необходимого и достаточного уровня защищенности вашей автоматизированной системы.
Дата добавления: 2015-08-14; просмотров: 2832;