4 рівні забезпечення інформаційної безпеки

безпеки

Забезпечення інформаційної безпеки — дуже непросте завдання, яке має кілька рівнів.

Програмно-технічний рівень.

З сучасного погляду інформаційним системам мають бути доступні такі механізми безпеки:

  • управління доступом,
  • екранування,
  • перевірка справжності користувачів та їх ідентифікація,
  • протоколювання та аудит,
  • забезпечення високої доступності,
  • криптографія.

Процедурний рівень.

До нього відносяться заходи, які реалізують люди. Досвід, накопичений у вітчизняних організаціях, щодо реалізації процедурних заходів прийшов з докомп'ютерного минулого і потребує суттєвого перегляду. Існують такі групи організаційних (процедурних) заходів:

Для кожної групи мають існувати правила, що визначають дії персоналу. Вони мають бути засновані у кожній конкретній організації та відпрацьовані на практиці.

Адміністративний рівень.

Політика безпеки, яку вживає керівництво організації, є основою заходів адміністративного рівня. Це сукупність документованих рішень керівництва, спрямованих на захист інформації, а також ресурсів, що асоціюються з нею. Політика безпеки ґрунтується на аналізі реальних ризиків, що загрожують інформаційній системі тієї чи іншої організації. Після аналізу розробляється стратегія захисту. Це програма, під яку виділяються гроші, призначаються відповідальні, встановлюється порядок контролю за її виконання тощо. Оскільки кожна організація має свою специфіку, безглуздо переносити практику державних режимних підприємств на комерційні структури, персональні комп'ютерні системи чи навчальні заклади. Доцільнішевикористовувати основні принципи розробки політики безпеки чи готові шаблони для основних різновидів організацій.

Законодавчий рівень.

Це найважливіший рівень забезпечення інформаційної безпеки. До нього входить комплекс заходів, спрямованих на створення та підтримку у суспільстві негативного ставлення до порушників та порушень у цій галузі. Необхідно створити механізм, який би дозволив узгоджувати розробку законів із постійним удосконаленням інформаційних технологій. Держава має виконувати координуючу та спрямовуючу роль у цьому питанні. українські стандарти інформаційних технологій та інформаційної безпеки повинні відповідати міжнародному рівню. Це полегшить взаємодію із зарубіжними компаніями та закордонними філіями вітчизняних компаній. Наразі ця проблема вирішується шляхом разових дозволів, найчастіше в обхід чинного законодавства.

Тільки взаємодія всіх рівнів забезпечення інформаційної безпеки зробить її максимально ефективною.