ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Стратегія забезпечення Інформаційної Безпеки підприємства
         

     

    Менеджмент

    Північний Інститут Підприємництва

    Кафедра гуманітарних дисциплін

    Курсова робота

    За дисципліни «Стратегічний менеджмент»
    На тему "Стратегія забезпечення інформаційної безпеки підприємства"

    Виконав студент 2 курсу

    Денного відділення

    Спеціальності Менеджмент

    Шатеневскій О.А.

    Перевірив -- Коновалов І.В.

    м. Архангельськ 2004

    Зміст

    | Вступ | 3 |
    | Що таке інформаційна безпека та її цілі | 5 |
    | Розробка і впровадження ефективних політик інформаційної безпеки | 6 |
    | Фактори, що визначають ефективність політики безпеки | 7 |
    | Оцінка ризику | 10 |
    | Рекомендації з розробки та впровадження ефективних політик | 12 |
    | Створення сприятливого середовища | 14 |
    | Життєвий цикл політики безпеки | 18 |
    | Приклад невдалої політики | 21 |
    | Приклад управлінської політики організації | 22 |
    | Висновок | 26 |
    | Література | 27 |

    Введення

    Діяльність будь-якої організації у наш час пов'язана з отриманням тапередачею інформації [1]. Інформація є зараз стратегічно важливимтоваром. Втрата інформаційних ресурсів або заволодіння секретноїінформацією конкурентами, як правило, завдає підприємству значнийзбиток і навіть може призвести до банкрутства [1].

    За останні 20 років інформаційні технології (ІТ) проникли в усісфери управління і ведення бізнесу [3]. Сам же бізнес з реального світу,давно переходить у світ віртуальний, а тому дуже залежимо від вірусних,хакерських та інших атак. За даними Інституту Комп'ютерної Безпекизагальний збиток, що завдали комп'ютерні віруси за останні 5 років,оцінюється як мінімум в 54 млрд. доларів, а за даними сайту
    SecurityLab.ru тільки за останні десять днів лютого (2004 рік) віруси
    "з'їли" астрономічну суму - близько 50 мільярдів доларів. Після початкуепідемії MyDoom Міністерство національної безпеки США взагаліприрівняти вірусні епідемії до тероризму. Розробники ПЗ швидко реагуютьна атаки, але постфактум, а не заздалегідь. Ще не існує засобів захисту відглобальних епідемій вірусів.

    Перші злочини з використанням комп'ютерної техніки з'явилися в
    Росії в 1991 р., коли було викрадено 125,5 тис. доларів США під
    Зовнішекономбанку СРСР. У 2003 році в Росії було порушено 1602 кримінальнихсправи за ст.272 ( «Неправомірне доступ до комп'ютерної інформації») і 165
    ( "Заподіяння майнової шкоди шляхом обману та зловживаннядовірою ") КК РФ [8].

    З 1999 року з'явилася ще одна проблема інформаційної безпеки
    (ІБ) - Спам. Це анонімна масова непрохана розсилання. Зараз близько 30%всіх електронних листів є спамом. Повінь спаму приводить дощорічним збитків, оціненим до 20 мільярдів доларів. Спам в межаходнієї компанії, призводить до збитків від 600 до 1000 доларів щорічно, зрозрахунку на одного користувача. [2] "Спам - це архіважлива проблема,що загрожує звести нанівець велику частину переваг електронної пошти ", --пише Білл Гейтс в одному зі своїх регулярних e-mail-звернень до замовників.

    Також широко поширюється зараз промислове шпигунство - пристрійвартістю всього 10 $, в разі його вдалого розміщення, може призвестифірму до банкрутства. Останнім часом почастішали взломи комп'ютерних мереж
    (наприклад несанкціонований доступ (НСД) до інформації, що обробляється на
    ПЕОМ) [1].

    У наш час зловмисники можуть одержати доступ не тільки до відкритоїінформації, а й до інформації, яка містить державну (у 2003 році ФСБприпинено понад 900 спроб проникнення в інформаційні ресурси органівдержавної влади Росії [5]) і комерційну таємницю.

    З усього вищесказаного можна зробити висновок, що в сьогоднішній ситуаціїпідприємства повинні мати стратегію ІБ, яка повинна грунтуватися накомплексному підході, здійснювати контроль всіх параметрів ІБ і матипідготовку до майбутнього.

    Мета даної роботи розглянути стратегію ІБ підприємства у вигляді системиефективних політик, які визначали б ефективний і достатній набірвимог безпеки.

    Завдання - визначити чинники ефективності ПБ, описати схему розробкита впровадження ПБ, описати життєвий цикл ПБ, розкрити питання створеннясприятливого середовища, в якій буде впровадити ПБ.

    1. Що таке стратегія інформаційної безпеки та її цілі

    Проаналізувавши досить велику кількість літератури, я не знайшовчіткого визначення ІБ, тому сформулював своє - інформаційнабезпеку це комплекс заходів щодо забезпечення безпеки інформаційнихактивів підприємства. Найголовніше в цьому визначенні це те, що ІБ можназабезпечити тільки у разі комплексного підходу. Дозвіл якихосьокремих питань (технічних або організаційних) не вирішить проблему ІБ вцілому, а от саме цього головного принципу більшість сьогоднішніхкерівників не розуміють і внаслідок чого є жертвамизловмисників.

    Стратегія - засіб досягнення бажаних результатів. Комбінація ззапланованих дій і швидких рішень щодо адаптації фірми до новихможливостей одержання конкурентних переваг і нових загроз ослабленняїї конкурентних позицій [9]. Тобто стратегію інформаційної безпеки
    (СИБ) потрібно визначати з урахуванням швидкого реагування на нові загрози іможливості.

    Серед цілей ІБ головними можна виділити наступні:

    Конфіденційність - забезпечення інформацією тільки тих людей, якіуповноважені для отримання такого доступу. Зберігання та перегляд цінногоінформації лише тими людьми, хто за своїми службовими обов'язками іповноважень призначений для цього.

    Цілісність - підтримку цілісності цінної і секретної інформаціїозначає, що вона захищена від неправомочною модифікації. Існуютьбезліч типів інформації, які мають цінність тільки тоді, коли миможемо гарантувати, що вони правильні. Головна мета інформаційноїполітики безпеки повинна гарантувати, що інформація не булапошкоджено, зруйновано або змінена будь-яким способом.

    Придатність - забезпечення того, щоб інформація та інформаційнісистеми були доступні і готові до експлуатації завжди, як тільки вонипотрібні. У цьому випадку, основна мета інформаційної політикибезпеки повинна бути гарантія, що інформація завжди доступна іпідтримується у придатному стані.

    2. Розробка та впровадження ефективних політик інформаційної безпеки

    Не секрет, що справи із забезпеченням ІБ в більшості російських компаніййдуть не найкращим чином. Спілкування з фахівцями і результатистатистичних досліджень тільки зміцнюють цю думку. Більшістьорганізацій регулярно терплять збитки, пов'язані з порушенням ІБ, не здатніоцінити збитки або хоча б виявити багато хто з цих порушень. Тим більше нейдеться про реалізацію в сучасних українських організаціях повноцінноїпроцедури управління ризиками ІБ. Більшість фахівців-практиків навіть неберуться за цю "непосильну" завдання, вважаючи за краще керуватися привирішенні проблем ІБ виключно власним досвідом і інтуїцією. Збитки відпорушень ІБ можуть виражатися у витоку конфіденційної інформації, втратиробочого часу на відновлення даних, ліквідацію наслідків віруснихатак і т.п. Збитки можуть також виражатися і цілком конкретними "круглимисумами ", наприклад, коли мова йде про шахрайство у фінансовій сфері звикористанням комп'ютерних систем.

    Політики безпеки (ПБ) лежать в основі організаційних заходів захистуінформації. Від їх ефективності найбільшою мірою залежить успішністьбудь-яких заходів щодо забезпечення ІБ. Часто доводиться стикатися знеоднозначністю розуміння терміну "політика безпеки". У сучаснійпрактиці забезпечення ІБ термін "політика безпеки" може вживатисяяк у широкому, так і у вузькому сенсі слова. У широкому сенсі, ПБвизначається як система документованих управлінських рішень ззабезпечення ІБ організації. У вузькому значенні під ПБ звичайно розуміють локальнийнормативний документ, який визначає вимоги безпеки, систему заходів,або порядок дій, а також відповідальність співробітників організації тамеханізми контролю для певної області забезпечення ІБ. Прикладами такихдокументів можуть служити "Політика керування паролями", "Політикауправління доступом до ресурсів корпоративної мережі "," Політика забезпечення
    ІБ при взаємодії з мережею Інтернет "і т.п. Використання декількохспеціалізованих нормативних документів звичайно є більш привабливимстворення "Загального керівництва щодо забезпечення ІБ організації". Наприклад, вкомпанії Cisco Systems, Inc. стараються, щоб розмір ПБ не перевищував 2сторінок. У рідкісних випадках розмір ПБ може досягає 4-5 сторінок.
    Змістовна частина типової російськомовної ПБ зазвичай не перевищує 7сторінок. Цей підхід, однак, не суперечить і створення об'ємних
    Керівництва, Положень і концепцій щодо забезпечення ІБ, які містять посилання набезліч спеціалізованих ПБ і поєднує їх в єдину системуорганізаційних заходів із захисту інформації.

    Далі мова піде про існуючі підходи до розробки ефективних ПБ,без яких неможливе створення комплексної системи забезпечення ІБорганізації та розробки стратегії ІБ. Як буде показано, ефективність ПБвизначається якістю самого документа, який повинен відповідатисучасному стану справ в організації і враховувати основні принципизабезпечення ІБ, викладені нижче, а також правильністю і закінченістюпроцесу впровадження [6].

    2.1. Фактори, що визначають ефективність політики безпеки

    Ефективні ПБ визначають необхідний і достатній набір вимогбезпеки, що дозволяють зменшити ризики ІБ до прийнятної величини. Вонинадають мінімальний вплив на продуктивність праці, враховуютьособливості бізнес-процесів організації, підтримуються керівництвом,позитивно сприймаються і виконуються співробітниками організації.

    При розробці ПБ, яка "не завалиться під своїм власним вагою",слід враховувати фактори, що впливають на успішність застосування заходівзабезпечення безпеки.

    Безпека перешкоджає прогресу

    Заходи безпеки накладають обмеження на дії користувачів іадміністраторів ІС і в загальному випадку призводять до зниження продуктивностіпраці. Безпека є витратною статтею для організації, як і будь-якаінша форма страхування ризиків.

    Людська природа завжди породжує бажання отримання більшогокількості інформації, спрощення доступу до неї і зменшення часу реакціїсистеми. Будь-які заходи безпеки певною мірою перешкоджаютьздійсненню цих природних бажань.

    Уявіть собі ситуацію очікування перемикання сигналу світлофора.
    Очевидно, що світлофор призначений для забезпечення безпеки дорожньогоруху, однак якщо рух по пересічної дорозі відсутній, то цеочікування виглядає стомлюючої тратою часу. Людське терпіння маємежа і якщо світлофор довго не переходить, то у багатьох виникаєбажання проїхати на червоне. Врешті-решт, світлофор може бутинесправний, або подальше очікування є неприйнятним.

    Аналогічно, кожен користувач ІС має обмеженим запасомтерпіння, щодо дотримання правил політики безпеки, досягнувшиякого він перестає виконувати ці правила, вирішивши, що це явно не на йогоінтересах (не в інтересах справи).

    Політики, які не враховують впливу, який вони надають напродуктивність праці користувачів і на бізнес-процеси, в кращомувипадку можуть призвести до помилкового почуття захищеності. У гіршому випадку такіполітики створюють додаткові пролом у системі захисту, коли "хто-топочинає рухатися на червоне світло ".

    Слід враховувати і мінімізувати вплив ПБ на виробничийпроцес, дотримуючись принципу розумної достатності.

    Навички безпечної поведінки купуються в процесі навчання

    На відміну, скажімо, від інстинкту самозбереження, забезпечення ІБ НЕє інстинктивним поведінкою. Це функції більш високого рівня,потребують навчання та періодичного підтримки.

    Процедури забезпечення безпеки зазвичай не є інтуїтивними. Безвідповідного навчання користувачі ІС можуть і не усвідомлювати цінністьінформаційних ресурсів, ризики і розміри можливих збитків. Користувач,не має уявлення про критичність інформаційних ресурсів (абопричини, за якими їх слід захищати), швидше за все, буде вважативідповідну політику нерозумною. Навіть деякі навички самозбереженнявимагають навчання. (Діти спочатку не знають про те, що перед тим, якпереходити через дорогу, треба подивитися спочатку наліво, а потім --направо). На відміну від інстинктивного, це приклад свідомої поведінки.

    Керівництво організації також слід просвіщати з питань,що стосуються цінності інформаційних ресурсів, що асоціюється з ними ризиківі відповідних політик безпеки. Якщо керівництво не знайоме зполітикою безпеки або з її обгрунтуванням, не доводиться розраховувати найого підтримку. Звичайно, керівництву не потрібно знати технічних деталейзабезпечення ІБ і конкретних правил, що пропонуються політиками. Доситьсфокусувати його увагу на можливі наслідки порушень безпекиі пов'язаних з ними втрати для організації.

    Слід проводити безперервну роботу з навчання співробітників іпідвищення поінформованості керівництва організації в питаннях забезпечення
    ІБ.

    Порушення політики безпеки є неминучими

    У великих організаціях в ІТ-процеси залучено велику кількістьлюдей, для більшості з яких вимоги ПБ аж ніяк не єочевидними. Чим складніше користувачам ІС пристосуватися до встановленоїполітиці, тим менш імовірною є її працездатність. На початковомуетапі вимоги ПБ напевно будуть порушуватися, та й у майбутньому повністюуникнути цього не вдасться.

    Необхідно здійснювати безперервний контроль виконання правил ПБ якна етапі її впровадження, так і надалі, фіксувати порушення ірозбиратися в їх причини.

    Однією з основних форм цього контролю є регулярне проведенняяк внутрішнього, так і зовнішнього аудиту безпеки.

    Щоб залишатися ефективною, політика безпеки зобов'язанаудосконалюватися

    Навіть якщо вам вдалося розробити та впровадити ефективну політикубезпеки, робота на цьому не закінчується. Забезпечення ІБ - безперервнийпроцес. Технології стрімко змінюються, існуючі системизастарівають, а багато процедур з часом втрачають ефективність. Політикибезпеки повинні безперервно удосконалюватися для того, щобзалишатися ефективними.

    Працездатність та ефективність існуючих політик повинні регулярноперевірятися. Застарілі політики повинні переглядатися [6].

    2.2. Оцінка ризику

    Перед прийняттям будь-яких рішень щодо стратегії інформаційноїбезпеки організації (як на тривалий, так і на короткий періодчасу) ми повинні оцінити ступеня унікальних ризиків.

    Поки організація має інформацію, що представляє цінність для вас іваших конкурентів (а може, й просто «випадкових» хакерів), вона ризикуєвтратою цією інформацією. Функція будь-якого інформаційного механізму контролюбезпеки (технічного або процедурного) і має полягати вобмеження цього ризику заздалегідь вибраним прийнятним рівнем. Звичайно, цеістинно і для захисної політики. Політика це механізм контролю заіснуючими ризиками і повинна бути призначена і розвинена у відповідь нанаявні та можливі ризики. Таким чином, всебічне здійсненняоцінки ризику має бути першою стадією процесу створення політики. Оцінкаризику повинна ідентифікувати найслабші області вашої системи і повиннавикористовуватися для визначення подальших цілей і засобів.

    Оцінка ризику являє собою комбінацію величин, що залежать відкількості інформаційних ресурсів, що мають певну цінність дляорганізації, і вразливостей, придатних для використання для одержаннядоступу до цих ресурсів. Власне, величина унікального ризику дляконкретної інформації - відношення цінності цієї інформації до кількостіспособів, якими ця інформація може бути вразлива в структурі вашоїкорпоративної мережі. Очевидно, що чим більше виявляється отриманавеличина, тим більші кошти варто спрямувати вашої організації на
    «Затикання» цієї діри.

    Звичайно, це надто спрощено і перебільшено. Так, при розробціполітики?? еізбежно виникнуть питання, що деякі ресурси, хай імають для вас цінність, повинні бути вільно доступні в Інтернеті, абодоступ до них повинні мати і ваші комерційні партнери. Але, в цілому, хоч із деякою умовністю, застосовується саме описаний підхід. Політика,яка враховує дуже багато факторів, багато з яких абсолютнонеактуальні, нічим не краще політики, що помилково не враховує будь -то важливої умови. Розробка політики безпеки є спільнимсправою керівництва компанії, яке повинне точно визначити цінністькожного інформаційного ресурсу і що виділяються на безпеку коштів, так ісистемних адміністраторів, які повинні правильно оцінити існуючувразливість вибраної інформації.

    Після чого, згідно з основних ризиків політики, пропонуєтьсярозподіл коштів, що виділяються на безпеку. Далі системніадміністратори повинні визначити способи зниження вразливостіінформаційного ресурсу і, грунтуючись на цінності цього ресурсу,погодити з керівництвом застосовувані методи. Під методами мається на увазіне лише написання або придбання та встановлення необхідних програм іобладнання, але й навчання персоналу, розробка посадових інструкцій івизначення відповідальності за їх невиконання [2].

    2.3. Рекомендації з розробки та впровадження ефективних політик

    Облік основних факторів, що впливають на ефективність ПБ, визначаєуспішність її розробки та впровадження. Наведені нижче рекомендаціїмістять основні принципи створення ефективних політик.

    Мінімізація впливу політики безпеки на виробничий процес

    Впровадження ПБ практично завжди пов'язане зі створенням деяких незручностейдля співробітників організації і зниженням продуктивності бізнеспроцесів. (Однак правильна система заходів ІБ підвищує ефективність бізнеспроцесів організації за рахунок значного підвищення рівня ІБ,що є одним з основних показників ефективності). Вплив заходів ІБ набізнес процеси необхідно мінімізувати. У той же час не вартопрагнути зробити заходи ІБ абсолютно прозорими. Для того щоб зрозуміти,який вплив політика буде чинити на роботу організації, і уникнути
    "вузьких місць", слід залучати до розробки цього документапредставників бізнес підрозділів, служб технічної підтримки і всіх,кого це безпосередньо торкнеться.

    ПБ - продукт колективної творчості. Рекомендується включати досклад робочої групи наступних співробітників організації:

    . керівника вищої ланки;

    . керівника, відповідального за впровадження і контролю виконання вимог ПБ;

    . співробітника юридичного департаменту;

    . співробітника служби персоналу;

    . представника бізнес користувачів;

    . технічного письменника;

    . експерта з розробки ПБ.

    До складу робочої групи може входити від 5 до 10 чоловік. Розмірробочої групи залежить від розміру організації та широти проблемної області,охоплюваній ПБ.

    Безперервність навчання

    Навчання користувачів та адміністраторів інформаційних систем єнайважливішою умовою успішного впровадження ПБ. Тільки свідоме виконаннявимог ПБ приводить до позитивного результату. Навчання реалізуєтьсяшляхом ознайомлення всіх користувачів з ПБ під розпис, публікації ПБ,розсилки користувачам інформаційних листів, проведення семінарів іпрезентацій, а також індивідуальної роз'яснювальної роботи з порушникамивимог ПБ. У разі потреби на порушників безпекинакладаються стягнення, передбачені ПБ та правилами внутрішньогорозпорядку.

    Користувачі інформаційних систем повинні знати кого, в яких випадках іяким чином треба інформувати про порушення ІБ. Однак це не повинновиглядати як виказування. Контактна інформація осіб, відповідальних зареагування на інциденти, повинна бути доступна будь-якому користувачеві.

    Безперервний контроль та реагування на порушення безпеки

    Контроль виконання правил ПБ може здійснюватися шляхом проведенняпланових перевірок у рамках заходів з аудиту ІБ.

    В організації повинні бути передбачені заходи з реагування напорушення правил ПБ. Ці заходи повинні передбачати сповіщення проінцидент, реагування, процедури відновлення, механізми зборудоказів, проведення розслідування та притягнення порушника довідповідальності. Система заходів з реагування на інциденти, повинна бутискоординована між ІТ-департаментом, службою безпеки та службоюперсоналу.

    Політики повинні по можливості носити не рекомендаційний, аобов'язковий характер. Відповідальність за порушення політики має бутичітко визначена. За порушення ПБ повинні бути передбачені конкретнідисциплінарні, адміністративні стягнення і матеріальна відповідальність.

    Постійне вдосконалення політик безпеки

    ПБ не є набором раз і назавжди визначених прописних істин. Чи неслід намагатися шляхом впровадження ПБ вирішити відразу всі проблеми ІБ. Політикає результатом узгоджених рішень, що визначають основнівимоги щодо забезпечення ІБ і відображають існуючий рівень розумінняцієї проблеми в організації. Для того щоб залишатися ефективною ПБповинна періодично коригуватися. Повинна бути визначенавідповідальність за підтримання ПБ в актуальному стані і призначеніінтервали її перегляду. Політика має бути простою і зрозумілою. Слідуникати ускладнень, які зроблять політику непрацездатною. З цієї жпричини вона не повинна бути довгою. Інакше більшість користувачів незможуть дочитати її до кінця, а, якщо і дочитаю, то не запам'ятають про що в нійговориться.

    Підтримка керівництва організації

    На етапі впровадження ПБ вирішальне значення має підтримка керівництваорганізації. ПБ вводиться в дію наказом керівника установи тапроцес її впровадження повинен знаходиться у нього на контролі. У ПБ повинна бутиявно прописана заклопотаність керівництва питаннями забезпечення ІБ.
    З боку координатора робочої групи з розробки ПБ керівництвуорганізації повинні бути роз'яснені ризики, що виникають у разі відсутності
    ПБ, а приписувані ПБ заходи забезпечення ІБ повинні бути економічнообгрунтовані [6].

    2.4. Створення сприятливого середовища

    Ми прийшли до висновку, що ефективність захисної політики пропорційнапідтримку, яку вона отримує в організації. Таким чином, критичноважливою умовою для успіху у сфері захисту організації стаєорганізація роботи та створення в організації атмосфери, сприятливої длястворення і підтримки високого пріоритету інформаційної безпеки. Чимбільша організація, тим важливішою стає підтримка співробітників.
    Далі буде запропоновано декілька речей, які можуть бути зроблені длягарантії повної підтримки ПБ керівництвом організації, що маєістотно збільшити ефективність політики.

    Підтримка управління

    Я вже згадував про це раніше, але готовий підкреслити знову. Самоеважкий, з чим ми можемо зіткнутися в процесі становлення захисноїполітики - це переконати керівництво нашої організації в необхідностікомп'ютерної безпеки і залучити їх в цей процес, змусити бутипричетними до створення захисної політики (поки грім не вдарить, мужик неперехреститься, тобто в даному випадку керівництво грошей не дасть). Тутнеможливо запропонувати універсального методу, все в даному випадку залежить відвашої переконливості і здібності до ведення переговорів. Прикладом можепослужити питання такого плану: Чи готовий Бізнес істотно витратиться назахист інформації про самого себе та на захист сервісу, на якому заснованоуправління компанією [7]? Може бути, допомогти в якості аргументів можутьпочаті вами тестові перевірки вразливості, або навіть демонстрація прикерівництві вразливості комп'ютерної захисту. У будь-якому разі, без підтримкивисокого керівництва політика не може досягти успіху, тому в разі відмовине варто навіть намагатися робити це на свій страх і ризик - ця затія приреченана провал.

    Організаційна структура

    Незалежно від розмірів організації, захисна політика повинна завждимати власника. У той час як права, обов'язки і навіть назвупосади можуть мінятися від організації до організації, його роль повинна бутинезмінна. Давайте, для прикладу, назвемо цю людину «керівникохорони »або« security officer ». Це - відповідальний керівник, вобов'язки якого входить спостерігати за створенням, розподілом, івиконанням політики безпеки. У цьому сенсі «керівник охорони»виконує роль посередника між управлінням та користувацький масою.
    Очевидно, що ця людина повинна підпорядковуватися тільки вищому керівництвукомпанії - генеральному директору, президенту або раді директорів.

    Оскільки «керівник охорони» в кінцевому рахунку несе загальнувідповідальність за інформаційну безпеку всієї компанії, для тогощоб мати можливість відстоювати інтереси інформаційної безпеки вряді випадків він (вона) навіть може бути членом правління. Як правило,більшість маленьких або середніх організацій не можуть дозволити собіокрему посаду «керівника охорони», і в цьому випадку можливесуміщення посад. Однак, незалежно від розмірів організації, роль
    «Керівника охорони» повинна бути ясно призначена і його обов'язки повиннібути чітко сформульовані.

    Фінансова підтримка

    Процес створення системи безпеки завжди вимагав і буде вимагатиінвестицій витрат часу, людських ресурсів і фінансів. Бездостатнього фінансового забезпечення будь-яке, навіть найбільш правильне іперспективне зусилля в даній області потерпить невдачу. Ця ж істинавідноситься і до створення захисної політики.

    У розподілі фондів для створення політики ми ще раз бачимо цінністьвсебічної оцінки ризику. При належному чином здійсненої оцінкиризиків ми повинні отримати чіткі показники різних ризиків, якимпіддаються інформаційні ресурси вашої організації, потенційніфінансові втрати, які ви можете понести у кожному випадку, можливийшкоди і наслідки, і роль, яку політика може відігравати для пом'якшенняцього ризику та мінімізації втрат. Ці показники, укупі з розуміннямцінності ваших інформаційних ресурсів (які також можна оціночноотримати) повинні забезпечити достатньо аргументів для фінансовихінвестицій у безпеку.

    Культура безпеки

    Ланцюг завжди міцна настільки, наскільки міцно в ній саме слабкеланка, а саме слабка ланка в системі безпеки - кінцевий користувач.
    На будь-яке ваше рішення з безпеки завжди знайдеться якийсь діяч зспівробітників, який зуміє знайти протидію. Він може вважати себепри цьому мало не генієм комп'ютерів, часто не усвідомлюючи, яку шкодувін завдає своїми діями безпеки власної організації. Якщоваші користувачі не розуміють цінності ваших інформаційних ресурсів, то миможемо, звичайно, вести з ними війну, але вона з самого початку приречена на провал.
    Ви повинні створити культуру безпеки у вашій організації, чому прекрасносприяє наявна політика безпеки. Далі наведені короткістратегії, які можна (і потрібно) використовувати:

    Навчання користувачів - адміністратори можуть почати «внутрішнюрекламну кампанію », що пояснює цінність загальної безпеки, ризики, зякими вони стикаються, роль політики та обов'язки індивідуальнихкористувачів.

    Акцентування уваги на менеджерах - ці керівники нижчої ланкизазвичай і встановлюють «правила гри» для своїх підлеглих і найбільшнесамовито вимагають виконання запропонованих речей, в яких справедливістьвони особисто вірять. Якщо переконати їх у потребі в безпеці, то вважайте,що половина боротьби виграно.

    Підтримувати співробітників - службовці, в більшості своїй, лояльнікомпанії, в якій вони працюють. Має сенс бути чесними зі штатомспівробітників у питаннях безпеки та її вплив на добробуторганізації. Це зазвичай допомагає зменшити час, необхідний для персоналуперебудови до нових реалій роботи. Один із способів полягає в тому, щобщодня (щотижня/щомісяця) розсилати результати оцінок безпекиі ревізій. Треба бути абсолютно відвертими з персоналом про всі випадкивірусних атак, зломів і інших інциденти безпеки.

    Позитивні емоції - оскільки добре розроблена політика може (іповинна) враховувати витрати на навчання і підтримку персоналу, то деякіспівробітники тепер повинні бути винагороджені за пильність або простогарне виконання вимог безпеки. Цих співробітників можна відібратиза результатами перевірок/ревізій, які регулярно проводить сисадмінами. У рядіорганізацій вже через найкоротший час переважна більшістьспівробітників працюватиме, щоб ці, нехай і невеликі, але дужеприємні премії. Неминуче, безпека організації при цьому різкозбільшується, а така система нагород буде прекрасним доповненнямдо системи штрафів за дії, які призводять до порушень інформаційноїбезпеки.

    Негативні емоції - якщо стимул отримання додаткових премій невпливає на деяких співробітників, то можна розглянути методдосягнення мети іншим шляхом. В організації повинна бути розроблена системастягнень з недбайливих і недбалих працівників. Все це, як ми вжеговорили, повинно бути прописано в політиці. Фактично, метод батога іпряника з часів римської імперії і понині був і є вельмидієвим.

    Прийняття політики і отримання підпису від кожного співробітника - коженпрацівник зобов'язаний ознайомитися з політикою безпеки і підписатися підній. Фактично, в нашому російському менталітеті тільки це змушуєспівробітників уважно прочитати і вникнути в документ. А у випадкупорушення тільки це дає законне юридичне право на стягнення зспівробітника [2].

    2.5. Життєвий цикл політики безпеки

    Розробка ПБ - тривалий і трудомісткий процес, що вимагає високогопрофесіоналізму, відмінного знання нормативної бази в галузі ІБ і, крімусього іншого, письменницького таланту. Цей процес зазвичай займає багатомісяці і не завжди завершується успішно. Координатором цього процесує фахівець, на якого керівництво організації покладаєвідповідальність за забезпечення ІБ. Ця відповідальність зазвичайконцентрується на керівника Відділу інформаційної безпеки, Головномуофіцера з інформаційної безпеки (CISO), Головному офіцера безпеки
    (CSO), ІТ-директора (CIO), або на керівника Відділу внутрішнього аудиту.
    Цей спеціаліст координує діяльність робочої групи з розробки тавпровадження ПБ протягом усього життєвого циклу, що складається з п'ятипослідовних етапів, описаних нижче.

    1. Початковий аудит безпеки

    Аудит безпеки - це процес, з якого починаються будь-якіпланомірні дії щодо забезпечення ІБ в організації. Він включає в себепроведення обстеження, ідентифікацію загроз безпеки, ресурсів,що потребують захисту і оцінку ризиків. В ході аудиту проводиться аналізпоточного стану ІБ, виявляються існуючі вразливості, найбільшкритичні області функціонування і найбільш чутливі до погроз ІБбізнес процеси.

    2. Розробка

    Аудит безпеки дозволяє зібрати і узагальнити відомості, необхіднідля розробки ПБ. На підставі результатів аудиту визначаються основніумови, вимоги і базова система заходів із забезпечення ІБ в організації,що дозволяють зменшити ризики до прийнятної величини, які оформляються увигляді узгоджених в рамках робочої групи рішень і затверджуютьсякерівництвом організації.

    Розробка ПБ з нуля не завжди є хорошою ідеєю. У багатьохвипадках можна скористатися наявними напрацюваннями, обмежившисьадаптацією типового комплекту ПБ до специфічних умов своєїорганізації. Цей шлях дозволяє заощадити багато місяців роботи і підвищитиякість розроблюваних документів. Крім того, він є єдиноприйнятним у разі відсутності в організації власних ресурсів длякваліфікованої розробки ПБ.

    3. Впровадження

    З найбільшими труднощами доводиться стикатися на етапі впровадження
    ПБ, яке, як правило, пов'язано з необхідністю вирішення технічних,організаційних та дисциплінарних проблем. Частина користувачів можутьсвідомо, л?? бо несвідомо чинити опір введенню нових правилповедінки, яких тепер необхідно дотримуватися, а також програмно -технічних механізмів захисту інформації, в тій чи іншій мірі неминучеобмежують їх вільний доступ до інформації. Адміністраторів ІС можедратувати необхідність виконання вимог ПБ, що ускладнюють завданняадміністрування. Крім цього можуть виникати і чисто технічніпроблеми, пов'язані, наприклад, з відсутністю у використовуваному ПОфункціональності, необхідної для реалізації окремих положень ПБ.

    На етапі впровадження необхідно не просто довести зміст ПБ довідома всіх співробітників організації, а також провести навчання і датинеобхідні роз'яснення сумнівається, які намагаються обійти новіправила і продовжувати працювати по старому.

    Для впровадження завершилося успішно, повинна бути створена проектнагрупа з впровадження ПБ, що діє за узгодженим планом відповідноз встановленими термінами виконання робіт.

    4. Аудит і контроль

    Дотримання положень ПБ повинно бути обов'язковою для всіхспівробітників організації та має безперервно контролюватися.

    Проведення планового аудиту безпеки є одним з основнихметодів контролю працездатності ПБ, що дозволяє оцінити ефективністьвпровадження. Результати аудиту можуть служити підставою для переглядудеяких положень ПБ і внесення в них необхідних коригувань.

    5. Перегляд і коректування

    Перша версія ПБ зазвичай не повною мірою відповідає потребаморганізації, однак розуміння цього приходить із досвідом. Швидше за все, післяспостереження за процесом впровадження ПБ та оцінки ефективності її застосуваннябуде потрібно здійснити низку доробок. На додаток до цього, що використовуютьсятехнології та організація бізнес процесів безперервно змінюються, щопризводить до необхідності коректувати існуючі підходи до забезпечення
    ІБ. У більшості випадків щорічний перегляд ПБ є нормою, якавстановлюється самою політикою [6].

    2.6. Приклад невдалої політики

    Для того, щоб продемонструвати, яким чином неефективні політикибезпеки, або їх відсутність, роблять систему забезпечення ІБнепрацездатною, почнемо з розгляду простих прикладів невдалих
    (неефективних) ПБ. На цих прикладах ми побачимо, що невдалі ПБ (нещо відповідають критеріям ефективності), призводять до зниженняпродуктивності праці користувачів інформаційної системи (ІС) і,створюючи ілюзію "помилкової захищеності", тільки погіршують загальний стан справіз забезпеченням ІБ в організації.

    Крадіжка обладнання

    Виробник електроніки придбав дуже дороге тестовеобладнання для використання у виробництві. Відділ безпеки вирішив,що для забезпечення збереження цього обладнання необхідно обмежитидоступ до нього всього декількома співробітниками. На вході в приміщення зустаткуванням були встановлені дорогі електронні замки зі смарт -картами. Тільки старшому менеджеру були видані ключ

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати !