Книга: Организация комплексной системы защиты информации

9.1. Значение нормативно-методического обеспечения

В целях обеспечения комплексного подхода к формированию законодательства по проблемам защиты информации и информатизации в России в апреле 1992 г. была утверждена «Программа подготовки законодательного и нормативного обеспечения работ в области информатизации и защиты информации». В соответствии с этой Программой была намечена разработка базового Закона РФ в области информатизации «Об информации, информатизации и ЗИ» (кстати, который сегодня уже не актуален), а также еще ряда специальных законов.

Реализация Программы должна была позволить создать правовые основы процесса информатизации в России, нормативно закрепить права граждан, организаций и государства на информацию и системы автоматизации с учетом правил охраны государственной и коммерческих тайн, порядка правовой, организационной и технической защиты информации и информационного ресурса в целом, основ защиты и правовых гарантий прав потребителя информации, защитить права собственника и автора и решить многие другие проблемы.

Нормативно-методическое обеспечение КСЗИ представляет собой комплекс положений законодательных актов, нормативов, методик, правил, регламентирующих создание и функционирование КСЗИ, взаимодействие подразделений и лиц, входящих в структуру системы, а также статус органов, обеспечивающих функционирование КСЗИ.

К содержанию нормативно-методических документов по ЗИ предъявляются требования. ИС должна быть защищена путем внедрения продуманных правил безопасности. СЗИ должна использовать набор правил для того, чтобы определить, может ли данный субъект получить доступ к данному объекту. Для предприятия целесообразно внедрение правил обеспечения безопасности и получение полномочий, с помощью которых можно было бы эффективно реализовать доступ к конфиденциальной информации. Пользователи, не обладающие соответствующими полномочиями, не должны получать доступ к конфиденциальной информации. Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для некоторых пользователей или пользовательских групп, например, исходя из служебных обязанностей. Информационная система должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи). Нормативные документы, определяющие порядок защиты, должны удовлетворять следующим требованиям:

— соответствовать структуре, целям и задачам предприятия;

— описывать общую программу обеспечения безопасности, включая вопросы эксплуатации и усовершенствования;

— перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;

— определять ответственных за внедрение и эксплуатацию всех средств защиты;

— определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.

Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле. Целесообразно обратить внимание на следующие вопросы:

— принадлежность информации; об информации обязан заботиться тот, кому она принадлежит;

— определение важности информации; пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней;

— значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще?

Если право на сохранение тайны будет признано в вашей организации, то может ли она выработать такие правила, которые обеспечивали бы права пользователей на защиту информации?

Оглавление книги