МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах
РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ" ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах Гендерна антидискримінаційна експертиза може зробити нас моральними рабами ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів
Контакти
Тлумачний словник Авто Автоматизація Архітектура Астрономія Аудит Біологія Будівництво Бухгалтерія Винахідництво Виробництво Військова справа Генетика Географія Геологія Господарство Держава Дім Екологія Економетрика Економіка Електроніка Журналістика та ЗМІ Зв'язок Іноземні мови Інформатика Історія Комп'ютери Креслення Кулінарія Культура Лексикологія Література Логіка Маркетинг Математика Машинобудування Медицина Менеджмент Метали і Зварювання Механіка Мистецтво Музика Населення Освіта Охорона безпеки життя Охорона Праці Педагогіка Політика Право Програмування Промисловість Психологія Радіо Регилия Соціологія Спорт Стандартизація Технології Торгівля Туризм Фізика Фізіологія Філософія Фінанси Хімія Юриспунденкция |
|
|||||||
Організація забезпечення безпеки даних і інформаційного захистуПитання визначення стратегії розробки, придбання і впровадження засобів захисту інформації, визначення круга першочергових завдань і формування політики інформаційної безпеки є прерогативою вищого керівництва компанії. Питання реалізації і забезпечення ІБ прямо входять в сферу відповідальності керівника ІТ-департаменту (якщо компанія крупна) або ІТ-відділу або ІТ-служби. Доводити комусь, що корпоративну інформацію і дані потрібно ретельно захищати, немає необхідності. Проте ті, кому доводилося на практиці займатися питаннями захисту даних і забезпечення інформаційної безпеки в автоматизованих системах, відзначають наступну особливість - реальний інтерес до проблеми захисту інформації, що проявляється менеджерами верхнього рівня, і загальний ентузіазм досить швидко змінялися на різке неприйняття на рівні підрозділів, що відповідають за працездатність ІС організації. Як правило, приводяться наступні аргументи проти проведення робіт і вживання заходів по забезпеченню інформаційної безпеки: поява додаткових обмежень для кінцевих користувачів і фахівців підрозділів забезпечення утрудняють використання і експлуатацію інформаційної системи і мереж організації; необхідність значних додаткових матеріальних витрат на проведення таких робіт, на розширення штату фахівців, що займаються проблемою інформаційної безпеки, на їх навчання. Економія на інформаційній безпеці може виражатися в різних формах, крайніми з яких є: прийняття тільки найзагальніших організаційних заходів забезпечення безпеки інформації в ІС, використання тільки простих додаткових засобів захисту інформації (СЗІ). У першому випадку, як правило, розробляються численні інструкції, накази і положення, покликані в критичну хвилину перекласти відповідальність з людей, що видають ці документи, на конкретних виконавців. Природно, що вимоги таких документів (за відсутності відповідної технічної підтримки) утрудняють повсякденну діяльність співробітників організації і, як показує досвід, не виконуються. У другому випадку отримуються і встановлюються додаткові засоби захисту. Застосування СЗІ без відповідної організаційної підтримки і планового навчання також неефективно у зв'язку з тим, що без встановлених жорстких правил обробки інформації в ІС і доступу до даних використання будь-яких СЗІ тільки підсилює існуючий безлад. Як показує досвід практичної роботи, для ефективного захисту автоматизованої системи організації необхідно вирішити ряд організаційних завдань: створити спеціальний підрозділ, що забезпечує розробку правил експлуатації корпоративної інформаційної системи, що визначає повноваження користувачів по доступу до ресурсів цієї системи і що здійснює адміністративну підтримку засобів захисту (правильну настройку, контроль і оперативне реагування на сигнали, що поступають, про порушення встановлених правил доступу, аналіз журналів реєстрації подій безпеки і т. п.); розробити технологію забезпечення інформаційної безпеки, що передбачає порядок взаємодії підрозділів організації із питань безпеки при експлуатації автоматизованої системи і модернізації її програмних і апаратних засобів; упровадити технологію захисту інформації і КІС шляхом розробки і затвердження необхідних нормативно-методичних і організаційно-розпорядливих документів (концепцій, положень, інструкцій і т. п.), а також організувати навчання всіх співробітників, що є адміністраторами і користувачами КІС. При створенні підрозділу інформаційної безпеки треба враховувати, що для експлуатації простих засобів захисту потрібен мінімальний штат співробітників, що здійснюють підтримку функціонування СЗІ. В той же час розробка і впровадження технології забезпечення інформаційної безпеки вимагає значно більшого часу, великих трудовитрат і залучення кваліфікованих фахівців, потреба в яких після її впровадження в експлуатацію відпадає. Крім того, розробка і впровадження такої технології повинні проводитися в стислі терміни, щоб не відстати від розвитку самої корпоративної інформаційної системи організації. Застосування додаткових засобів захисту інформації зачіпає інтереси багатьох структурних підрозділів організації - не стільки тих, в яких працюють кінцеві користувачі інформаційної системи, скільки підрозділів, що відповідають за розробку, впровадження і супровід прикладних завдань, за обслуговування і експлуатацію засобів обчислювальної техніки. Для мінімізації витрат на розробку і ефективне впровадження технології забезпечення інформаційної безпеки доцільно привертати сторонніх фахівців, що мають досвід в проведенні подібного роду робіт. При цьому, у будь-якому випадку, відповідальність за розробку, впровадження і ефективність роботи захисних систем несе вище керівництво компанії! Технологія інформаційної безпеки, що розробляється, повинна забезпечувати: диференційований підхід до захисту різних АРМ і підсистем (рівень захищеності повинен визначатися з позицій розумної достатності з урахуванням важливості оброблюваної інформації і вирішуваних задач); максимальну уніфікацію засобів захисту інформації з однаковими вимогами до безпеки; реалізацію дозвільної системи доступу до ресурсів ІС; мінімізацію, формалізацію (у ідеалі - автоматизацію) реальної здійснимості рутинних операцій і узгодженість дій різних підрозділів по реалізації вимог розроблених положень і інструкцій, не створюючи великих незручностей при рішенні співробітниками своїх основних завдань; облік динаміки розвитку автоматизованої системи, регламентацію не тільки стаціонарного процесу експлуатації захищених підсистем, але і процесів їх модернізації, пов'язаних з численними змінами апаратно-програмної конфігурації АРМ; мінімізацію необхідного числа фахівців відділу, що займаються захистом інформації. Треба абсолютно чітко розуміти, що дотримання необхідних вимог по захисту інформації, перешкоджаючих здійсненню несанкціонованих змін в системі, неминуче приводить до ускладнення процедури правомочної модифікації ІС. У цьому полягає одна з суперечностей, що найбільш гостро виявляються, між забезпеченням безпеки і розвитком і вдосконаленням автоматизованої системи. Технологія забезпечення інформаційної безпеки повинна бути достатньо гнучкою і передбачати особливі випадки екстреного внесення змін в програмно-апаратні засоби тієї, що захищається ІС.
Читайте також:
|
||||||||
|