XIV Міжнародна наукова інтернет-конференція ADVANCED TECHNOLOGIES OF SCIENCE AND EDUCATION (19-21.04.2018)

Русский English




Научные конференции Наукові конференції

Цяпута Н.О. ПОЛІТИКА БЕЗПЕКИ

Цяпута Наталія Олексіївна

викладач комп'ютерних дисциплін

Відокремлений структурний підрозділ

Уманський агротехнічний коледж

Національного університету садівництва

ПОЛІТИКА БЕЗПЕКИ

В епоху інформаційної революції розвиток держави визначає насамперед рівень її досягнень у сфері обробки інформації. Україна вибрала стратегічний шлях свого розвитку, що полягає в інтеграції в Європейське співтовариство. Однією з особливостей цього співтовариства є побудова інформаційного суспільства, яке широко використовує досягнення нових інформаційних технологій і зокрема глобальної комп'ютерної мережі Internet

Політика безпеки в цілому - це сукупність програмних, апаратних, організаційних, адміністративних, юридичних, фізичних методів, засобів, правив і інструкцій, що чітко регламентують всі аспекти діяльності компанії, включаючи інформаційну систему, і що забезпечують їх безпеку. Політика безпеки є одним з найважливіших, життєво важливих документів компанії. На жаль, ще зустрічаються окремі керівники, які вважають, що їм нічого захищати. Не повторюватимемо прописні істини: досвід більшості експертів по інформаційній безпеці говорить, що в будь-якій компанії завжди знайдеться електронний ресурс, що вимагає того або іншого рівня захисту. Нагадаємо лише, що розробка плану дій на випадок непередбачених обставин є невід'ємною частиною будь-якої політики безпеки. І, як показує практика, (пригадаємо теракти 11 вересня в США), ті підприємства, у яких був розроблений і протестований подібний план, зазнали значно менші збитки, чим компанії, що не мали подібного плану, завданням якого є забезпечення безперервності ведення бізнесу.

Окрім свого прямого призначення, розробка політики безпеки дає і несподіваний, на перший погляд, побічний ефект: в результаті аналізу інформаційних потоків, інвентаризації інформаційних ресурсів і ранжирування оброблюваної інформації по ступеню цінності керівництво організації отримує цілісну картину одного з найскладніших об'єктів управління - інформаційної системи, що позитивно впливає на якість управління бізнесу в цілому, і, як наслідок, покращує його прибутковість і ефективність.

Перш за все, звернемо увагу на вимогу стандарту перерахувати всі об'єкти інформаційної інфраструктури, що підлягають захисту. Це не просто зробити навіть в середніх компаніях, не говорячи вже про великих. Часто, це завдання вирішується із залученням зовнішньої аудиторської фірми, що спеціалізується на питаннях інформаційної безпеки. Відповідність законодавству - надзвичайно важливий пункт будь-якої політики безпеки. Розвинені країни світової спільноти мають специфічні закони, що регламентують застосування інформаційних технологій на своїх територіях. Прикладами можуть служити Франція, в якій до останнього часу заборонялося застосування програмного забезпечення зарубіжного виробництва в державних організаціях; скасовані весною 2001 року експортні обмеження США на довжину ключів в засобах криптографічного захисту; Росія, з її жорстким державним контролем за використанням шифрувальних засобів, власними стандартами безпеки (РД ГТК), наявністю відомчих стандартів безпеки (наприклад, в Міністерстві атомної промисловості). Тому при розробці політики безпеки надзвичайно важливо врахувати специфіку законодавства країни, де здійснює діяльність компанія. Для цього необхідно привертати юристів, що Добре володіють питаннями має рацію в області інформаційних технологій, телекомунікацій і інформаційної безпеки.

 Часто, компанії забувають чітко пропрацювати моменти, пов'язані з настанням тієї або іншої відповідальності у разі порушення політики безпеки. У зв'язку з цим, зловмисники можуть залишитися безкарними навіть у разі їх виявлення і виявлення і доказу умисності їх зловмисних дій. Залежно від наслідків, що наступили, і юридичного статусу порушника, до нього можуть бути застосовані дисциплінарні, адміністративні або кримінальні заходи дії. Визначення відповідальності за забезпечення інформаційної безпеки - це те, про що необхідно завжди пам'ятати і це те, що повинне проходити єдиним стрижнем через всю політику безпеки. Визначення відповідальності - це наріжний камінь політики безпеки і це те, що про що так часто забувають при її розробці. По практиці, що склалася, за всі аспекти діяльності компанії персональну відповідальність несе керівник. Очевидно, проте, що він не може особисто забезпечувати інформаційну безпеку, тому без конкретизації, без точного визначення хто саме і за що саме несе відповідальність в компанії, ніяка, навіть сама здійснена система захисту працювати відповідним чином не буде. Тому необхідне детальне опрацьовування питань, пов'язаних з розподілом обов'язків і розмежуванням відповідальності.

Інформаційна система будь-якої компанії не вічна. «Все тече, і все змінюється» - це повній мірі застосовно і тут. Украй рідко, тільки у невеликих компаній можна зустріти статичну незмінну інформаційну систему. Зазвичай же інформаційна система є круговоротом постійних змін і нововведень, які необхідно враховувати і відстежувати в політиці безпеки. Саме тому так важливо дотримання вимоги періодичного аналізу і оновлення політики безпеки.

Література:

•1. Гавриш В.А. Практическое пособие по защите коммерческой тайны. - Симферополь: Таврида, 1994. - 112 с.

•2. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн. - М.: Энергоатомиздат, 1994.

•3. Герасименко В.А., Малюк А.А. Основы защиты информации. - М.: МГИФИ, 1997. - 538 с.

•4. Домарев В.В. Защита информации и безопасность компыотерных систем. - К.: Издательство ДиаСофт, 1999. - 480 с.


Залиште коментар!

Дозволено використання тегів:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>