БЕЗОПАСНОСТЬ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ

План защиты информации

План защиты информации на объекте должен включать:

□         описание защищаемой системы (основные характеристики защищаемого объекта: назначение объекта, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, и требований по обеспечению доступа, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т. п.);

□         цель защиты системы и пути обеспечения безопасности автоматизированной системы и циркулирующей в ней информации;

□         перечень значимых угроз безопасности автоматизированной системы, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;

□         политику информационной безопасности;

□         план размещения средств и функциональную схему системы защиты информации на объекте;

□         спецификацию средств защиты информации и смету затрат на их внедрение;

□         календарный план проведения организационных и технических мероприятий по защите информации, порядок ввода в действие средств защиты;

□         основные правила, регламентирующие деятельность персонала по вопросам обеспечения информационной безопасности объекта (особые обязанности должностных лиц, обслуживающих автоматизированную систему);

□         порядок пересмотра плана и модернизации средств защиты.

Пересмотр плана защиты осуществляется при изменении следующих компонентов объекта:

□         кадров;

□         архитектуры информационной системы (подключение других локальных сетей, изменение или модификация используемых средств вычислительной техники или ПО);

□         территориального расположения компонентов автоматизированной системы.

В рамках плана защиты необходимо иметь план действий персонала в критических ситуациях, т. е. план обеспечения непрерывной работы и восстановления информации. Он отражает:

□         цель обеспечения непрерывности процесса функционирования автоматизированной системы, восстановления ее работоспособности и пути ее достижения;

□         перечень и классификацию возможных кризисных ситуаций;

□         требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации, ведения текущих, долговременных и аварийных архивов; состав резервного оборудования и порядок его использования и т. п.);

□         обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях, при ликвидации их последствий, минимизации наносимого ущерба и при восстановлении нормального функционирования системы.

Если организация осуществляет обмен электронными документами с партнерами по выполнению единых заказов, то необходимо в план защиты включить договор о порядке организации обмена электронными документами, в котором отражаются следующие вопросы:

□         разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

□         определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

□         порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);

□         порядка разрешения споров в случае возникновения конфликтов.

План защиты информации представляет собой пакет текстуально-графических документов, поэтому наряду с приведенными компонентами этого пакета в него могут входить:

□         положение о коммерческой тайне, определяющее перечень сведений, составляющих коммерческую тайну, и порядок его определения, а также обязанности должностных лиц по защите коммерческой тайны;

□         положение о защите информации, регламентирующее все направления деятельности по реализации политики безопасности, а также ряд дополнительных инструкций, правил, положений, соответствующих специфике объекта защиты.

Реализация плана защиты (управление системой защиты) предполагает разработку необходимых документов, заключение договоров с поставщиками, монтаж и настройку оборудования и т. д. После формирования системы защиты информации решается задача ее эффективного использования, т. е. управления безопасностью.

Управление - процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданной программе.

Управление информационной безопасностью должно быть:

□         устойчивым к активным вмешательствам нарушителя;

□         непрерывным, обеспечивающим постоянное воздействие на процесс защиты;

□         скрытым, не позволяющим выявлять организацию управления защитой информации;

□         оперативным, обеспечивающим возможность своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку.

Кроме того, решения по защите информации должны быть обоснованными с точки зрения всестороннего учета условий выполнения поставленной задачи, применения различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других данных, повышающих достоверность исходной информации и принимаемых решений.

Показателем эффективности управления защитой информации является время цикла управления при заданном качестве принимаемых решений. В цикл управления входит сбор необходимой информации для оценки ситуации, принятие решения, формирование соответствующих команд и их исполнение. В качестве критерия эффективности может использоваться время реакции системы защиты информации на нарушение, которое не должно превышать времени устаревания информации исходя из ее ценности.

Как показывает разработка реальных АСУ, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является абсолютно надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволят с наибольшей эффективностью обеспечить решение постоянной задачи.

Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации - адаптировать абстрактные положения к своей конкретной предметной области (организации, банку), в которой всегда найдутся свои особенности и тонкости.