ід застосовувати тільки для висловлювання впевненості і гарантій ризику. Не слід, вживати ці слова в якості описового прикметника предмета, так як вони не передають ніякої корисної інформації.
Метою реалізації інформаційної безпеки будь-якого об'єкта є побудова Системи забезпечення інформаційної безпеки даного об'єкту (СОІБ). Для побудови та ефективної експлуатації СОІБ необхідно: виявити вимоги захисту інформації, специфічні для даного об'єкта захисту; врахувати вимоги національного та міжнародного Законодавства; використовувати напрацьовані практики (стандарти, методології) побудови подібних СОІБ; визначити підрозділи, відповідальні за реалізацію і підтримку СОІБ; розподілити між підрозділами області відповідальності у здійсненні вимог СОІБ. На базі управління ризиками інформаційної безпеки визначити загальні положення, технічні та організаційні вимоги, складові політику інформаційної безпеки об'єкта захисту; реалізувати вимоги політики інформаційної безпеки, впровадивши відповідні програмно-технічні засоби і способи захисту інформації; реалізувати Систему менеджменту (управління) інформаційної безпеки (СМІБ); використовуючи СМІБ організувати регулярний контроль ефективності СОІБ і при необхідності, перегляд і коригування СОІБ і СМІБ. Як видно, з останнього етапу робіт, процес реалізації СОІБ безперервний і циклічно (після кожного перегляду) повертається до першого етапу, повторюючи послідовно всі інші. Так СОІБ, коригується для ефективного виконання своїх завдань захисту інформації та відповідності новим вимогам постійно оновлюється інформаційної системи.
Нормативні документи в галузі інформаційної безпеки
У Російської Федерації до нормативно-правовим актам у галузі інформаційної безпеки відносяться: акти федерального законодавства, міжнародні договори РФ; конституція РФ; закони федерального рівня (включаючи федеральні конституційні закони, кодекси); укази Президента РФ; постанови уряду РФ; нормативні правові акти федеральних міністерств і відомств; нормативні правові акти суб'єктів РФ, органів місцевого самоврядування. Міжнародні стандарти інформаційної безпеки - державні (національні) стандарти РФ; рекомендації по стандартизації; методичні вказівки.
Органи, що забезпечують інформаційну безпека
У Залежно від програми діяльності в області захисту інформації (у рамках державних органів влади або комерційних організацій), сама діяльність організовується спеціальними державними органами (підрозділами), або відділами (службами) підприємства.
Державні органи РФ, контролюючі діяльність у галузі захисту інформації:
-комітет державної думи з безпеки;
- рада безпеки Росії;
- федеральна служба з технічного та експортного контролю (ФСТЕК);
- федеральна служба безпеки Росії (ФСБ Росії);
-міністерство внутрішніх справ Російської Федерації (МВС Росії); федеральна служба нагляду у сфері інформаційних технологій і масових комунікацій (Роскомнадзор). Служби, організують захист інформації на рівні підприємства: служба економічної безпеки; служба безпеки персоналу (Режимний відділ); відділ кадрів; служба інформаційної безпеки. Політика безпеки (Інформації в організації) - сукупність документованих правил, процедур, практичних прийомів або керівних принципів у галузі безпеки інформації, якими керується організація у своїй діяльності. Політика безпеки інформаційно-телекомунікаційних технологій - правила, директиви, що склалася практика, що визначають, як в межах організації, її інформаційно-телекомунікаційних технологій керувати, захищати і розподіляти активи, в тому числі критичну інформацію. Для побудови політики інформаційної безпеки, обов'язково потрібно розглядати такі напрями захисту інформаційної системи:
- Захист об'єктів інформаційної системи;
- Захист процесів, процедур і програм обробки інформації;
- Захист каналів зв'язку;
- Придушення побічних електромагнітних випромінювань;
- Управління системою захисту.
За кожному з перерахованих вище напрямків, політика інформаційної безпеки повинна описувати наступні етапи створення засобів захисту інформації:
- Визначення інформаційних і технічних ресурсів, що підлягають захисту;
- Виявлення повного безлічі потенційно можливих загроз і каналів витоку інформації;
- Проведення оцінки вразливості і ризиків інформації при наявному безлічі загроз і каналів витоку;
- Визначення вимог до системи захисту;
- Здійснення вибору засобів захисту інформації та їх характеристик;
- Впровадження і організація використання обраних заходів, способів і засобів захисту;
- Здійснення контролю цілісності і керування системою захисту.
Політика інформаційної безпеки оформляється у вигляді документованих вимог на інформаційну систему. Документи зазвичай поділяють за рівнями опису (Дет...
