Контроль предполагает своевременное выявление и пресечение попыток несоблюдения персоналом предусмотренных системой ИБ мер и средств. Меры по обеспечению ИБ должны быть упреждающими, т.е. своевременными. Простота подразумевает, что используемые механизмы реализации защиты информационных ресурсов должны быть интуитивны, не требовать от рядовых пользователей особых знаний, лишних и раздражающих действий. Все сотрудники или лица сторонних организаций, участвующие в создании и реализации механизмов защиты информационных ресурсов, должны быть максимально подготовлены, иметь опыт работы, т.е. быть профессионалами в своей области. Ответственность за обеспечение Р1Б возлагается на каждого сотрудника в пределах его полномочий. Это необходимо для сужения круга виновных лиц в результате реализации угроз информационным ресурсам. С учетом существующей практики выделим основные направления обеспечения ИБ на предприятии, а именно правовую, организационную и инженерно-техническую защиту. Правовую основу ИБ предприятия следует делить на внешнюю и внутреннюю защиту (рис. 15). К внешней мы относим те правовые аспекты деятельности, на состав и содержание которых предприятие никаким образом повлиять не может, тем самым, повысив свое состояние защищенности. К этому уровню относятся нормы международного и государственного права. Под внутренней правовой защитой мы понимаем специальные правила, акты, мероприятия, процедуры, приказы, которые определяет, разрабатывает, регулирует и контролирует само предприятие, обеспечивая тем самым внутреннюю политику ИБ. Организационная защита предполагает регламентацию деятельности предприятия по следующим направлениям; • организация режима и охраны; • организация работы с персоналом (подбор персонала, обучение 134 |
56 обеспечения ИБ (антивирусные программы, организационные ограничения и т.н.) резко снижает общий ущерб. Поэтому затраты на ИБ в сравнительно малых размерах весьма эффективны в небольших организациях, не подвергающихся специальным компьютерным атакам. При этом кривая имеет оптимальное (наименьшее) значение. Рис. 17 Зависимость уровня ущерба от уровня затрат на ИБ Гибкость состоит в возможности системы ИБ оперировать уровнем защищенности, а также быть удобной для модернизации по мере устаревания. Контроль предполагает своевременное выявление и пресечение попыток несоблюдения персоналом предусмотренных системой ИБ мер и средств. Меры по обеспечению ИБ должны быть упреждающими, т.е. своевременными. Простота подразумевает, что используемые механизмы реализации защиты информационных ресурсов должны быть интуитивны, не требовать от рядовых пользователей особых знаний, лишних и раздражающих действий. Все сотрудники или лица сторонних организации, участвующие в создании и реализации механизмов защиты информационных ресурсов, должны быть максимально подготовлены, иметь опыт работы, т.е. быть профессионалами в своей области. Ответственность за обеспечение ИБ возлагается на каждого сотрудника в пределах его полномочий. Это необходимо для сужения круга виновных лиц в результате реализации угроз информационным ресурсам. С учетом существующей практики выделим основные направления обеспечения ИБ на предприятии, а именно правовую, организационную и инженернотехническую защиту. Правовую основу ИБ предприятия следует делить на внешнюю и внутреннюю защиту (рис. 18). К внешней мы относим те правовые аспекты деятельности, на состав и содержание которых предприятие никаким образом повлиять не может, тем самым, повысив свое состояние защищенности. К этому уровню относятся нормы международного и государственного права. С ПРАВОВАЯ ЗАЩИТА ) Под внутренней правовой защитой мы понимаем специальные правила, акты, мероприятия, процедуры, приказы, которые определяет, разрабатывает, регулирует и контролирует само предприятие, обеспечивая тем самым внутреннюю политику ИБ. Организационная защита предполагает регламентацию деятельности предприятия по следующим направлениям: ■ организация режима и охраны; ■ организация работы с персоналом (подбор персонала, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил, мотивация); ■ организация работы с документами (организация составления и использования документов, их учета, хранения, уничтожения); • организация использования технических средств сбора, обработки, хранения информации; ■ организация работы по анализу внутренних и внешних угроз конфиденциальной информации и разработке мер по се защите; ■ организация регулярного контроля за работой персонала с конфиденциальной информацией. Организационная защита играет большую роль в обеспечении ИБ предприятия, т.к. чаще всего утечка информации и несанкционированный доступ к ней связаны со злоумышленными действиями, небрежностью сотрудников (рис. 19). Эти ситуации очень трудно предотвратить с помощью технических, физических средств защиты. Важным организационным мероприятием по обеспечению ИБ на предприятии выступает создание специальных штатных единиц по защите информации (или служб безопасности). |