Уровни информационной безопасности

Целью защиты информации является обеспечение её доступности, целостности и конфиденциальности. Для достижения данной цели используется ряд мер:

1. законодательные меры обеспечения информационной безопасности;
2. административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
3. процедурные меры (меры безопасности, ориентированные на людей);
4. программно-технические меры.

В дальнейшей части главы мы поясним подробнее, что понимается под каждой из выделенных мер. Здесь же отметим, что, в принципе, их можно рассматривать и как результат варьирования уровня детализации объекта «информационная безопасность» (по этой причине мы будем употреблять словосочетания «законодательный уровень», «процедурный уровень» и т.п.).

Законы и нормативные акты ориентированы на всех субъектов информационных отношений независимо от их организационной принадлежности (это могут быть как юридические, так и физические лица) в пределах страны (международные конвенции имеют даже более широкую область действия), административные меры — на всех субъектов в пределах организации, процедурные — на отдельных людей (или небольшие категории субъектов), программно-технические — на оборудование и программное обеспечение.

При такой трактовке в переходе с уровня на уровень можно усмотреть применение наследования: каждый следующий уровень не отменяет, а дополняет предыдущий.

Законодательный уровень

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

• законодательного;
• административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
• процедурного (меры безопасности, ориентированные на людей);
• программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Нормативные документы в области информационной безопасности В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

• Международные договоры РФ;
• Конституция РФ (статьи 23, 24, 29, 41,42);
• Законы федерального уровня (включая федеральные конституционные законы, кодексы) (статья 139 ГК РФ, статьи 138, 183, 272—274 УК РФ, ФЗ «О государственной тайне», «Об информации, информационных технологиях и о защите информации» и тому подобные);
• Указы Президента РФ;
• Постановления правительства РФ;
• Нормативные правовые акты федеральных министерств и ведомств;
• Нормативные правовые акты субъектов РФ, органов местного самоуправления.

Административный уровень

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

ИС организации и связанные с ней интересы субъектов — это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее.