/p>
Питання реалізації та забезпечення ІБ прямо входять в сферу відповідальності керівника ІТ-департаменту (якщо компанія велика) або ІТ-відділу або ІТ-служби. Економія на інформаційній безпеці може виражатися в різних формах, крайніми з яких є: прийняття тільки найзагальніших організаційних заходів забезпечення безпеки інформації в ІС, використання тільки простих додаткових засобів захисту інформації (СЗІ). У першому випадку, як правило, розробляються численні інструкції, накази та положення, покликані в критичну хвилину перекласти відповідальність з людей, які видають ці документи, на конкретних виконавців. Природно, що вимоги таких документів (за відсутності відповідної технічної підтримки) ускладнюють повсякденну діяльність співробітників організації і, як показує досвід, не виконуються. У другому випадку купуються і встановлюються додаткові засоби захисту. Застосування СЗІ без відповідної організаційної підтримки та планового навчання також неефективно у зв'язку з тим, що без встановлених жорстких правил обробки інформації в ІС і доступу до даних використання будь-яких СЗІ тільки підсилює існуючий безлад. Як показує досвід практичної роботи, для ефективного захисту автоматизованої системи організації необхідно вирішити ряд організаційних завдань: створити спеціальний підрозділ, що забезпечує розробку правил експлуатації корпоративної інформаційної системи, що визначає повноваження користувачів по доступу до ресурсів цієї системи та здійснює адміністративну підтримку засобів захисту (правильну настройку, контроль та оперативне реагування на що надходять сигнали про порушення встановлених правил доступу, аналіз журналів реєстрації подій безпеки і т. п.); розробити технологію забезпечення інформаційної безпеки, що передбачає порядок взаємодії підрозділів організації з питань безпеки при експлуатації автоматизованої системи та модернізації її програмних і апаратних засобів; впровадити технологію захисту інформації та КІС шляхом розробки та затвердження необхідних нормативно-методичних та організаційно-розпорядчих документів (концепцій, положень, інструкцій і т. п.), а також організувати навчання всіх співробітників, які є адміністраторами та користувачами КІС. При створенні підрозділу інформаційної безпеки треба враховувати, що для експлуатації простих засобів захисту потрібен мінімальний штат співробітників, що здійснюють підтримку функціонування СЗІ. У той же час розробка і впровадження технології забезпечення інформаційної безпеки вимагає значно більшого часу, великих трудовитрат і залучення кваліфікованих фахівців, потреба в яких після її впровадження в експлуатацію відпадає. Крім того, розробка і впровадження такої технології повинні проводитися в стислі терміни, щоб не відстати від розвитку самої корпоративної інформаційної системи організації. Застосування додаткових засобів захисту інформації зачіпає інтереси багатьох структурних підрозділів організації - не стільки тих, в яких працюють кінцеві користувачі інформаційної системи, скільки підрозділів, відповідальних за розробку, впровадження та супровід прикладних задач, за обслуговування та експлуатацію засобів обчислювальної техніки. Для мінімізації витрат на розробку та ефективне впровадження технології забезпечення інформаційної безпеки доцільно залучати сторонніх фахівців, що мають досвід у проведенні подібного роду робіт. При цьому, у кожному разі, відповідальність за розробку, впровадження та ефективність роботи захисних систем несе вище керівництво компанії.
Розробляється технологія інформаційної безпеки повинна забезпечувати: диференційований підхід до захисту різних АРМ і підсистем (рівень захищеності повинен визначатися з позицій розумної достатності з урахуванням важливості оброблюваної інформації і вирішуваних завдань); максимальну уніфікацію засобів захисту інформації з однаковими вимогами до безпеки; реалізацію дозвільної системи доступу до ресурсів ІС; мінімізацію, формалізацію (в ідеалі - автоматизацію) реальної здійсненності рутинних операцій та узгодженість дій різних підрозділів щодо реалізації вимог розроблених положень та інструкцій, не створюючи великих незручностей при вирішенні співробітниками своїх основних завдань; облік динаміки розвитку автоматизованої системи, регламентацію не тільки стаціонарного процесу експлуатації захищених підсистем, але і процесів їх модернізації, пов'язаних з численними змінами апаратно-програмної конфігурації АРМ; мінімізацію необхідного числа фахівців відділу, що займаються захистом інформації. Треба абсолютно чітко розуміти, що дотримання необхідних вимог щодо захисту інформації, що перешкоджають здійсненню несанкціонованих змін у системі, неминуче призводить до ускладнення процедури правомочною модифікації ІС. У цьому полягає одна з найбільш гостро виявляються суперечностей між забезпеченням безпеки та розвитком і вдосконаленням автоматизованої системи. Технологія забезпечення інформаційної безпеки повинна бути досить гнучко...