Автор работы: Пользователь скрыл имя, 12 Мая 2013 в 23:37, контрольная работа
Управление персоналом в контексте информационной безопасности является в России весьма неразработанным направлением деятельности как в государственных, так и в корпоративных структурах. Во-первых, для каждой должности должны существовать квалификационные требования по информационной безопасности. Во-вторых, в должностные инструкции следует в обязательном порядке включать разделы, касающиеся информационной безопасности. В-третьих, каждому работнику необходимо освоить меры безопасности как в теории, так и на практике (причем подобные тренировки желательно проводить не менее двух раз в год).
Процедурные технологии
обеспечения информационной безопасности
В отечественных организациях накоплен
богатый опыт составления и реализации
процедурных (организационных) мер безопасности,
т.е. мер, реализуемых людьми. Однако проблема
состоит в том, что это меры из докомпьютерногопрошлого, и они поэтому нуждаются в существенном
пересмотре.
На наш взгляд, целесообразно выделить
следующие группы процедурных мер, направленных
на обеспечение информационной безопасности:
управление персоналом;
физическая защита;
поддержание работоспособности;
реагирование на нарушения режима безопасности;
планирование восстановительных работ.
Управление персоналом в контексте информационной
безопасности является в России весьма
неразработанным направлением деятельности
как в государственных, так и в корпоративных
структурах. Во-первых, для каждой должности
должны существовать квалификационные
требования по информационной безопасности.
Во-вторых, в должностные инструкции следует
в обязательном порядке включать разделы,
касающиеся информационной безопасности.
В-третьих, каждому работнику необходимо
освоить меры безопасности как в теории,
так и на практике (причем подобные тренировки
желательно проводить не менее двух раз
в год).
Государству и корпорациям в равной степени
необходима собственная система информационной
(гражданской) обороны. Кроме того, нужно
спокойно, без нагнетания страстей разъяснять
населению не только преимущества, но
и опасности использования современных
информационных технологий. Причем акцент,
на наш взгляд, следует делать не на военную
или криминальную сторону вопроса, а на
чисто гражданские аспекты, связанные
с поддержанием нормального функционирования
аппаратного и программного обеспечения,
т.е. на проблемы доступности и целостности
данных. Разумеется, разделы, касающиеся
информационной безопасности, должны
стать частью школьных и тем более вузовских
курсов информатики.
Меры физической защиты информации известны
с давних времен, но сегодня они нуждаются
в доработке в связи с распрост-
312
i
ранением сетевых технологий и миниатюризацией
вычислительной техники. Прежде всего
следует защититься от утечки информации
по техническим каналам. Этим занимается
Гостехкомиссия России.
Поддержание работоспособности компьютерных
сетей — еще одно неразработанное направление,
издержки невнимания к которому стали
видны сравнительно недавно. В эпоху господства
больших ЭВМ удалось создать инфраструктуру,
способную обеспечить, по существу, любой
заданный уровень работоспособности (доступности)
на всем протяжении жизненного цикла информационной
системы. Эта инфраструктура включала
в себя как технические, так и процедурные
регуляторы (обучение персонала и пользователей,
проведение работ в соответствии с апробированными
регламентами и т.п.). При переходе к персональным
компьютерам и технологии «клиент—сервер»
инфраструктура обеспечения доступности
во многом оказалась утраченной, однако
важность данной проблемы не только не
уменьшилась, но, напротив, существенно
возросла. Перед государственными и коммерческими
организациями стоит задача соединения
упорядоченности и регламентированности,
присущих миру больших ЭВМ, с открытостью
и гибкостью современных систем.
Еще одна проблема общенационального
характера — реагирование на нарушения
информационной безопасности. Допустим,
пользователь или системный администратор
понял, что произошло нарушение. Что он
должен делать? Попытаться проследить
злоумышленника? Немедленно выключить
оборудование? Позвонить в милицию? Проконсультироваться
со специалистами ФАПСИ или Гостехкомиссии?
В настоящее время ни одно ведомство, в
ведении которого находятся вопросы информационной
безопасности, еще не предложило регламента
действий в подобной экстремальной ситуации
или своей консультационной помощи. Так
что совершенно очевидно, что необходимо
организовать национальный центр информационной
безопасности, в круг обязанностей которого
входили бы, в частности, отслеживание
состояния этой области знаний, информирование
пользователей всех уровней о появлении
новых угроз и мерах противодействия,
оперативная помощь организациям в случае
нарушения их информационной безопасности.
Нуждается в дальнейшем совершенствовании
и работа по планированию восстановительных
работ, т.е. все направления деятельности
государственных и коммерческих организаций,
связанные с восстановлением работоспособности
организационных структур после аварий.
Ведь ни одна организация от таких нарушений
не
313
застрахована. Здесь необходимо отработать
действия персонала во время и после аварий,
заранее позаботиться об организации
резервных производственных площадок,
предусмотреть процедуру переноса на
эти площадки основных информационных
ресурсов, а также процедуру возвращения
к нормальному режиму работы. Подобный
план нужен не только сверхважным военным
организациям, но и обычным коммерческим
компаниям, если они не хотят понести крупные
финансовые потери.
В целом решение задачи комплексного обеспечения
информационной безопасности на процедурном
и программно-техническом уровнях предполагает
выполнение следующих требований:
Информация о работе Процедурные технологии обеспечения информационной безопасности