Хто і як повинен займатися організацією захисту?

Питання визначення стратегії розробки, придбання й впровадження засобів захисту інформації, визначення кола першочергових завдань і формування політики інформаційної безпеки є прерогативою вищого керівництва компанії. Питання реалізації й забезпечення ИБ прямо входять у сферу відповідальності керівника Ит-Департаменту (якщо компанія велика) або Ит-Відділу або ИТ-службы. Доводити комусь, що корпоративну інформацію й дані потрібно ретельно захищати, немає необхідності. Однак ті, кому доводилося на практиці займатися питаннями захисту даних і забезпечення інформаційної безпеки в автоматизованих системах, відзначають наступну особливість - реальний інтерес до проблеми захисту інформації, що проявляється менеджерами верхнього рівня, і загальний ентузіазм досить швидко переміняються на різке неприйняття на рівні підрозділів, відповідальних за працездатність ИС організації.

Як правило, приводяться наступні аргументи проти проведення робіт і вживання заходів по забезпеченню інформаційної безпеки:

  • поява додаткових обмежень для кінцевих користувачів і фахівців підрозділів забезпечення утрудняють використання й експлуатацію інформаційної системи й мереж організації;
  • необхідність значних додаткових матеріальних витрат на проведення таких робіт, на розширення штату фахівців, що займаються проблемою інформаційної безпеки, на їхнє навчання.

Економія на інформаційній безпеці може виражатися в різних формах, крайніми з яких є: прийняття тільки самих загальних організаційних мір забезпечення безпеки інформації в ИС, використання тільки простих додаткових засобів захисту інформації (СЗИ).

У першому випадку, як правило, розробляються численні інструкції, накази й положення, покликані в критичну мінуту перекласти відповідальність із людей, що видають ці документи, на конкретних виконавців. Природно, що вимоги таких документів (при відсутності відповідної технічної підтримки) утрудняють повсякденну діяльність співробітників організації й, як показує досвід, не виконуються.

У другому випадку здобуваються й установлюються додаткові засоби захисту. Застосування СЗИ без відповідної організаційної підтримки й планового навчання також неефективно у зв'язку з тим, що без установлених твердих правил обробки інформації в ИС і доступу до даних використання будь-яких СЗИ тільки підсилює існуючий безладдя.

Як показує досвід практичної роботи, для ефективного захисту автоматизованої системи організації необхідно вирішити ряд організаційних завдань:

  • створити спеціальний підрозділ, що забезпечує розробку правил експлуатації корпоративної інформаційної системи, що визначає повноваження користувачів по доступі до ресурсів цієї системи й здійснюючу адміністративну підтримку засобів захисту (правильне настроювання, контроль і оперативне реагування на вступників сигнали про порушення встановлених правил доступу, аналіз журналів реєстрації подій безпеки й т.п.);
  • розробити технологію забезпечення інформаційної безпеки, що передбачає порядок взаємодії підрозділів організації з питань безпеки при експлуатації автоматизованої системи й модернізації її програмних і апаратних засобів;
  • впровадити технологію захисту інформації й КИСНУВ шляхом розробки й твердження необхідних нормативно-методичних і організаційно-розпорядницьких документів (концепцій, положень, інструкцій і т.п.), а також організувати навчання всіх співробітників, що є адміністраторами й користувачами КИСНУВ.

При створенні підрозділу інформаційної безпеки треба враховувати, що для експлуатації простих засобів захисту потрібний мінімальний штат співробітників, що здійснюють підтримку функціонування СЗИ. У той же час розробка й впровадження технології забезпечення інформаційної безпеки вимагає значно більшого часу, більших трудозатрат і залучення кваліфікованих фахівців, потреба в які після її впровадження в експлуатацію відпадає. Крім того, розробка й впровадження такої технології повинні проводитися в стислий термін, щоб не відстати від розвитку самої корпоративної інформаційної системи організації.

Застосування додаткових засобів захисту інформації зачіпає інтереси багатьох структурних підрозділів організації - не стільки тих, у яких працюють кінцеві користувачі інформаційної системи, скільки підрозділів, відповідальних за розробку, впровадження й супровід прикладних завдань, за обслуговування й експлуатацію засобів обчислювальної техніки.

Для мінімізації витрат на розробку й ефективне впровадження технології забезпечення інформаційної безпеки доцільно залучати сторонніх фахівців, що мають досвід у проведенні подібного роду робіт. При цьому, у кожному разі, відповідальність за розробку, впровадження й ефективність роботи захисних систем несе вище керівництво компанії!

Розроблювальна технологія інформаційної безпеки повинна забезпечувати:

  • диференційований підхід до захисту різних АРМ і підсистем (рівень захищеності повинен визначатися з позицій розумної достатності з урахуванням важливості оброблюваної інформації й розв'язуваних завдань);
  • максимальну уніфікацію засобів захисту інформації з однаковими вимогами до безпеки;
  • реалізацію дозвільної системи доступу до ресурсів ИС;
  • мінімізацію, формалізацію (в ідеалі - автоматизацію) реальної выполнимости рутинних операцій і погодженість дій різних підрозділів по реалізації вимог розроблених положень і інструкцій, не створюючи більших незручностей при рішенні співробітниками своїх основних завдань;
  • облік динаміки розвитку автоматизованої системи, регламентацію не тільки стаціонарного процесу експлуатації захищених підсистем, але й процесів їхньої модернізації, пов'язаних із численними змінами апаратно-програмної конфігурації АРМ;
  • мінімізацію необхідного числа фахівців відділу, що займаються захистом інформації.

Треба зовсім чітко розуміти, що дотримання необхідних вимог по захисту інформації, що перешкоджають здійсненню несанкціонованих змін у системі, неминуче приводить до ускладнення процедури правочинної модифікації ИС. У цьому складається одне з найбільше що гостро проявляються протиріч між забезпеченням безпеки й розвитком і вдосконалюванням автоматизованої системи. Технологія забезпечення інформаційної безпеки повинна бути досить гнучкої й передбачати особливі випадки екстреного внесення змін у програмно-апаратні засоби що захищається ИС.