Характеристики защищенности сетей передачи данных и меры по их обеспечению, страница 3

•  направляющие и координирующие меры, способствующие по­вышению образованности общества в области ИБ СПД, помогающие в разработке и распространению средств обеспечения ИБ СПД.

К первой группе следует отнести закон "Об информации, информа­тизации и защите информации", "О праве на информацию", "О коммерческой тайне", "О персональных данных", "Об электронной цифровой подписи" и т.д.

К группе направляющих и координирующих законов и норматив­ных актов относится группа документов, регламентирующих процессы лицензирования и сертификации в области ИБ СПД. Главная роль здесь была отведена ФАПСИ и Гостехкомиссии России (сейчас ФСТЭК). Указом Президента России от 11 марта 2003 года № 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации» Федеральное агентство правительственной связи и информации при Президенте Российской Федерации упразднено, а его функции переданы ФСБ России, СВР России и Службе специальной связи и информации ФСО России.

 Существующие законы реально преломляются и работают через нормативные документы, по соответствующим ведомствам. В этой свя­зи очень важны Руководящие документы Гостехкомиссии России, опре­деляющие требования к классам защищенности средств вычислитель­ной техники и автоматизированных систем от НСД к информации.

В современном мире открытых сетей нормативно-правовая база России должна быть согласована с международной практикой, т.е. рос­сийские стандарты и сертификационные нормативы должны быть при­ведены в соответствие с международным уровнем информационных технологий вообще и ИБ СПД в частности.

4.3.2.        Управленческие меры

Основой управленческих мер, то есть мер, предпринимаемых руко­водством ведомства, организации (например, Министерством связи, оператором связи и т.д.) является политика безопасности, т.е. совокуп­ность документированных управленческих решений, направленных на обеспечение ИБ СПД .

Политика безопасности определяет стратегию организации в области ИБ СПД, а также меру внимания и количество ресурсов, которое руководство считает целесообразным выделить на решение проблемы обеспечения ИБ СПД. Разработка политики безопасности требует учета специфики конкретных объектов защиты.

Примером содержания политики безопасности может служить Бри­танский стандарт BS 7799:1995, описывающий основные положения политики безопасности. Стандарт рекомендует включать в документ характеризующий политику безопасности организации, следующие раз­делы:

•  вводный, подтверждающий озабоченности высшего руково­дства, проблемами информационной безопасности;

•  организационный, содержащий описание подразделений, ко миссий, групп и т.д., отвечающих за работу в области ИБ СПД;

•  классификационный, описывающий имеющиеся в организации информационные ресурсы и необходимый уровень их защиты;

•  штатный, характеризующий меры безопасности, применяемые к персоналу (организация обучения и переподготовки персонала, порядок реагирования на нарушения режима ИБ СПД и др.);

•  раздел, освещающий вопросы физической защиты;

•  раздел, описывающий правила разграничения доступа к защищаемой информации;

•  раздел, характеризующий порядок разработки и сопровожде­ния;

•  управляющий раздел, описывающий подходы к управлении средствами защиты, контролю за присвоением политики безопасности, восстановлению нарушенного процесса функционирования;

•  юридический раздел, подтверждающий соответствия политик* безопасности действующему законодательству.

Политика безопасности строится на основе анализа рисков. Под риском понимается произведение вероятности (возможности) активиза­ции угрозы ИБ на величину, характеризующую возможный ущерб поль­зователю или оператору связи. Когда риски проанализированы, и стра­тегия защиты определена, составляется программа, реализация которой должна обеспечить ИБ СПД.