|
Сегодня на каждом предприятии циркулирует большое количество информационных объектов с ограниченным доступом, утечка которых за пределы предприятия может привести к убыткам. Одним из главных правил политики информационной безопасности на учреждении является разграничение доступа ко всем информационным объектов. Разграничение доступа по своей сути опирается на присвоение атрибутов безопасности к каждому информационному объекту, тем самым уточняя круг лиц имеющих доступ к этому информационному объекту.
Однако такая система, с использованием атрибутов безопасности, и разграничением доступа имеет существенный недостаток вызывающий ухудшение общего состояния защиты информации. Такая ситуация является следствием того, что присвоение атрибутов безопасности, на современном этапе развития информационных технологий, и технологий защиты информации, осуществляется человеком. То есть человек, как посторонний субъект (по отношению к автоматизированной системе защиты информации) выставляет на каждом (или почти каждому) информационном объекта атрибут безопасности. И какая бы ни была качественная автоматизированная система защиты информации, если она опирается на разграничение доступа по атрибутам безопасности (то есть почти каждая система автоматизированного защиты информации), то она не сможет защитить от случая установки неверных атрибутов безопасности.
В общем случае конфиденциальность обеспечивается тремя главным направлениям: криптографическое, организационно-правовое, техническое. Все три направления объединяются как составляющие единой политики безопасности. Под политикой безопасности понимаем набор правил, по которым информации предоставляется тот или иной атрибут безопасности (т.е. информации предоставляется атрибут доступа), и разграничиваются права доступа сотрудниками, группами сотрудников (рабочими группами), должностями и т.д.
Фактически такой подход позволяет минимизировать вероятность попадания информации к тому, кто не имел права доступа, или у кого не было потребности в доступе.
Политика информационной безопасности строится вокруг механизма разграничения информации по атрибутам безопасности. Каждый атрибут безопасности соответствует правам доступа тех или иных сотрудников или той или иной группе.
Однако атрибуты безопасности это лишь базисные составляющие мероприятия по обеспечению конфиденциальности. Все подобные меры можно классифицировать (условно) на внешние и внутренние, каждая из которых разделяется на организационные, правовые и технические.
Некоторые источники выделяют еще одну составляющую – страховую. Однако в наших условиях такой метод защиты является не всегда действенным. Кроме того, очень трудно определить реальную стоимость конфиденциальной информации, убытки, которые будут нанесены в результате разглашения и сама процедура страхования является несовершенной.
Более подробно о каждом классе мероприятий:
Правовые:
- Принятие положений и других нормативно правовых актов, направленных на обеспечение конфиденциальности;
- Контроль по всем договорам и внесение соответствующих изменений направленных на обеспечение конфиденциальности;
Организационные:
- Создание специальных информационных подразделений;
- Разработка разрешительной системы доступа к информации;
- Создание конфиденциального делопроизводства;
- Создание и постоянное совершенствование системы контроля;
Технические:
- Выявление программными и аппаратными средствами возможных источников утечки информации;
- Проведение регулярных оперативных мероприятий по поиску каналов утечки информации.
Читайте еще
|
