МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах
РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ" ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах Гендерна антидискримінаційна експертиза може зробити нас моральними рабами ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів Контакти
Тлумачний словник |
|
|||||||
Організація забезпечення безпеки даних і інформаційного захистуПитання визначення стратегії розробки, придбання і впровадження засобів захисту інформації, визначення круга першочергових завдань і формування політики інформаційної безпеки є прерогативою вищого керівництва компанії. Питання реалізації і забезпечення ІБ прямо входять в сферу відповідальності керівника ІТ-департаменту (якщо компанія крупна) або ІТ-відділу або ІТ-служби. Доводити комусь, що корпоративну інформацію і дані потрібно ретельно захищати, немає необхідності. Проте ті, кому доводилося на практиці займатися питаннями захисту даних і забезпечення інформаційної безпеки в автоматизованих системах, відзначають наступну особливість - реальний інтерес до проблеми захисту інформації, що проявляється менеджерами верхнього рівня, і загальний ентузіазм досить швидко змінялися на різке неприйняття на рівні підрозділів, що відповідають за працездатність ІС організації. Як правило, приводяться наступні аргументи проти проведення робіт і вживання заходів по забезпеченню інформаційної безпеки: поява додаткових обмежень для кінцевих користувачів і фахівців підрозділів забезпечення утрудняють використання і експлуатацію інформаційної системи і мереж організації; необхідність значних додаткових матеріальних витрат на проведення таких робіт, на розширення штату фахівців, що займаються проблемою інформаційної безпеки, на їх навчання. Економія на інформаційній безпеці може виражатися в різних формах, крайніми з яких є: прийняття тільки найзагальніших організаційних заходів забезпечення безпеки інформації в ІС, використання тільки простих додаткових засобів захисту інформації (СЗІ). У першому випадку, як правило, розробляються численні інструкції, накази і положення, покликані в критичну хвилину перекласти відповідальність з людей, що видають ці документи, на конкретних виконавців. Природно, що вимоги таких документів (за відсутності відповідної технічної підтримки) утрудняють повсякденну діяльність співробітників організації і, як показує досвід, не виконуються. У другому випадку отримуються і встановлюються додаткові засоби захисту. Застосування СЗІ без відповідної організаційної підтримки і планового навчання також неефективно у зв'язку з тим, що без встановлених жорстких правил обробки інформації в ІС і доступу до даних використання будь-яких СЗІ тільки підсилює існуючий безлад. Як показує досвід практичної роботи, для ефективного захисту автоматизованої системи організації необхідно вирішити ряд організаційних завдань: створити спеціальний підрозділ, що забезпечує розробку правил експлуатації корпоративної інформаційної системи, що визначає повноваження користувачів по доступу до ресурсів цієї системи і що здійснює адміністративну підтримку засобів захисту (правильну настройку, контроль і оперативне реагування на сигнали, що поступають, про порушення встановлених правил доступу, аналіз журналів реєстрації подій безпеки і т. п.); розробити технологію забезпечення інформаційної безпеки, що передбачає порядок взаємодії підрозділів організації із питань безпеки при експлуатації автоматизованої системи і модернізації її програмних і апаратних засобів; упровадити технологію захисту інформації і КІС шляхом розробки і затвердження необхідних нормативно-методичних і організаційно-розпорядливих документів (концепцій, положень, інструкцій і т. п.), а також організувати навчання всіх співробітників, що є адміністраторами і користувачами КІС. При створенні підрозділу інформаційної безпеки треба враховувати, що для експлуатації простих засобів захисту потрібен мінімальний штат співробітників, що здійснюють підтримку функціонування СЗІ. В той же час розробка і впровадження технології забезпечення інформаційної безпеки вимагає значно більшого часу, великих трудовитрат і залучення кваліфікованих фахівців, потреба в яких після її впровадження в експлуатацію відпадає. Крім того, розробка і впровадження такої технології повинні проводитися в стислі терміни, щоб не відстати від розвитку самої корпоративної інформаційної системи організації. Застосування додаткових засобів захисту інформації зачіпає інтереси багатьох структурних підрозділів організації - не стільки тих, в яких працюють кінцеві користувачі інформаційної системи, скільки підрозділів, що відповідають за розробку, впровадження і супровід прикладних завдань, за обслуговування і експлуатацію засобів обчислювальної техніки. Для мінімізації витрат на розробку і ефективне впровадження технології забезпечення інформаційної безпеки доцільно привертати сторонніх фахівців, що мають досвід в проведенні подібного роду робіт. При цьому, у будь-якому випадку, відповідальність за розробку, впровадження і ефективність роботи захисних систем несе вище керівництво компанії! Технологія інформаційної безпеки, що розробляється, повинна забезпечувати: диференційований підхід до захисту різних АРМ і підсистем (рівень захищеності повинен визначатися з позицій розумної достатності з урахуванням важливості оброблюваної інформації і вирішуваних задач); максимальну уніфікацію засобів захисту інформації з однаковими вимогами до безпеки; реалізацію дозвільної системи доступу до ресурсів ІС; мінімізацію, формалізацію (у ідеалі - автоматизацію) реальної здійснимості рутинних операцій і узгодженість дій різних підрозділів по реалізації вимог розроблених положень і інструкцій, не створюючи великих незручностей при рішенні співробітниками своїх основних завдань; облік динаміки розвитку автоматизованої системи, регламентацію не тільки стаціонарного процесу експлуатації захищених підсистем, але і процесів їх модернізації, пов'язаних з численними змінами апаратно-програмної конфігурації АРМ; мінімізацію необхідного числа фахівців відділу, що займаються захистом інформації. Треба абсолютно чітко розуміти, що дотримання необхідних вимог по захисту інформації, перешкоджаючих здійсненню несанкціонованих змін в системі, неминуче приводить до ускладнення процедури правомочної модифікації ІС. У цьому полягає одна з суперечностей, що найбільш гостро виявляються, між забезпеченням безпеки і розвитком і вдосконаленням автоматизованої системи. Технологія забезпечення інформаційної безпеки повинна бути достатньо гнучкою і передбачати особливі випадки екстреного внесення змін в програмно-апаратні засоби тієї, що захищається ІС.
Читайте також:
|
||||||||
|