• направляющие и координирующие меры, способствующие повышению образованности общества в области ИБ СПД, помогающие в разработке и распространению средств обеспечения ИБ СПД.
К первой группе следует отнести закон "Об информации, информатизации и защите информации", "О праве на информацию", "О коммерческой тайне", "О персональных данных", "Об электронной цифровой подписи" и т.д.
К группе направляющих и координирующих законов и нормативных актов относится группа документов, регламентирующих процессы лицензирования и сертификации в области ИБ СПД. Главная роль здесь была отведена ФАПСИ и Гостехкомиссии России (сейчас ФСТЭК). Указом Президента России от 11 марта 2003 года № 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации» Федеральное агентство правительственной связи и информации при Президенте Российской Федерации упразднено, а его функции переданы ФСБ России, СВР России и Службе специальной связи и информации ФСО России.
Существующие законы реально преломляются и работают через нормативные документы, по соответствующим ведомствам. В этой связи очень важны Руководящие документы Гостехкомиссии России, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем от НСД к информации.
В современном мире открытых сетей нормативно-правовая база России должна быть согласована с международной практикой, т.е. российские стандарты и сертификационные нормативы должны быть приведены в соответствие с международным уровнем информационных технологий вообще и ИБ СПД в частности.
4.3.2. Управленческие меры
Основой управленческих мер, то есть мер, предпринимаемых руководством ведомства, организации (например, Министерством связи, оператором связи и т.д.) является политика безопасности, т.е. совокупность документированных управленческих решений, направленных на обеспечение ИБ СПД .
Политика безопасности определяет стратегию организации в области ИБ СПД, а также меру внимания и количество ресурсов, которое руководство считает целесообразным выделить на решение проблемы обеспечения ИБ СПД. Разработка политики безопасности требует учета специфики конкретных объектов защиты.
Примером содержания политики безопасности может служить Британский стандарт BS 7799:1995, описывающий основные положения политики безопасности. Стандарт рекомендует включать в документ характеризующий политику безопасности организации, следующие разделы:
• вводный, подтверждающий озабоченности высшего руководства, проблемами информационной безопасности;
• организационный, содержащий описание подразделений, ко миссий, групп и т.д., отвечающих за работу в области ИБ СПД;
• классификационный, описывающий имеющиеся в организации информационные ресурсы и необходимый уровень их защиты;
• штатный, характеризующий меры безопасности, применяемые к персоналу (организация обучения и переподготовки персонала, порядок реагирования на нарушения режима ИБ СПД и др.);
• раздел, освещающий вопросы физической защиты;
• раздел, описывающий правила разграничения доступа к защищаемой информации;
• раздел, характеризующий порядок разработки и сопровождения;
• управляющий раздел, описывающий подходы к управлении средствами защиты, контролю за присвоением политики безопасности, восстановлению нарушенного процесса функционирования;
• юридический раздел, подтверждающий соответствия политик* безопасности действующему законодательству.
Политика безопасности строится на основе анализа рисков. Под риском понимается произведение вероятности (возможности) активизации угрозы ИБ на величину, характеризующую возможный ущерб пользователю или оператору связи. Когда риски проанализированы, и стратегия защиты определена, составляется программа, реализация которой должна обеспечить ИБ СПД.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.