Административный уровень информационной безопасности

Лекция 3. Виды мер обеспечения информационной безопасности

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

законодательного;

административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

процедурного (меры безопасности, ориентированные на людей);

программно-технического.

l это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе.

Структура информационного законодательства может быть представлена следующей совокупностью информационных правовых норм и актов:

l Информационно-правовые нормы международных актов (договора, конвенции, декларации, патенты, авторские права, лицензии):

l Внутригосударственные нормы:

– Государственные (конституция, законы (кодексы), указы, постановления)

– Ведомственные (приказы, руководства, положения, инструкции).

Мы будем различать на законодательном уровне две группы мер:

• меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);

• направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации в целях регламентации производственной деятельности и взаимоотношений исполнителей на нормативноправовой основе, исключающей или существенно затрудняющей неправоверное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Главная цель мер административного уровня

l сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

l Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

l Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.