Управленческие решения

Законодательные меры

Тема 7. Реализация мер безопасности

Защита сети подразумевает не единичные действия, а комплексный подход, включающий следующие меры защиты:

- Законодательные меры;

- Управленческие решения;

- Организационные меры;

- Физические решения;

- Программно-технические меры.

 

 

К правовым мерам относится часть уголовного кодекса, определяющая ответственность за совершения преступлений в области современных информационных технологий.

Законы:

· "Об информатизации". Закон Республики Беларусь «Об информации, информатизации и защите информации» от 10.11.2008г. №455-З

· "О патентах на изобретения".

· О ПАТЕНТАХ НА ИЗОБРЕТЕНИЯ, ПОЛЕЗНЫЕ МОДЕЛИ, ПРОМЫШЛЕННЫЕ ОБРАЗЦЫ

· "О Национальном архивном фонде и архивах в Республике Беларусь".

· "Об авторском праве и смежных правах"

· Указ Президента Республики Беларусь «О мерах по совершенствованию использования национального сегмента сети Интернет» от 02.02.2010

·

· и т.д.

Следует также упомянуть Указы Президента РБ, которые касаются, прежде всего, вопросов формирования государственной политики в сфере информатизации, (включая организационные механизмы), создания системы правовой информации и информационно-правового сотрудничества с государствами СНГ, обеспечения информацией органов государственной власти, мер по защите информации. Например, УКАЗ ПРЕЗИДЕНТА РЕСПУБЛИКИ БЕЛАРУСЬ «ОБ УТВЕРЖДЕНИИ НАЦИОНАЛЬНОЙ КОНЦЕПЦИИ БЕЗОПАСНОСТИ РЕСПУБЛИКИ БЕЛАРУСЬ»

Главная цель мер, предпринимаемых на управленческом уровне, — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности.

Под политикой безопасности мы будем понимать совокупность документированных управленческих решений, направленных на защиту информации

С практической точки зрения политику безопасности целесообразно подразделить на два уровня: верхнего, или центрального, который охватывает всю организацию, и нижнего, или сервисного, который относится к отдельным сервисам.

К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

  • Решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, определение ответственных за продвижение программы.
  • Формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей.
  • Обеспечение базы для соблюдения законов и правил.
  • Формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

К нижнему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов — отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ к Internet (как сочетать свободу получения информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Для данного уровня должна для каждого аспекта освещать следующие темы:

· Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как обеспечение, которое не было одобрено и/или закуплено на уровне организации.

· Область применения. Следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика по поводу неофициального программного обеспечения организаций-субподрядчиков? Затрагивает ли она работников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

· Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного обеспечения и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов по политике безопасности (как и перечень этих документов) может быть существенно разным для разных организаций.

· Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь. Например, если для использования работником неофициального программного обеспечения нужно официальное разрешение, должно быть известно, у кого и как его следует получать. Если должны проверяться дискеты, принесенные с других компьютеров, необходимо описать процедуру проверки. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

· Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

· Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.