|
8.4.1. Организационные методы обеспечения информационной безопасности
Применение организационных методов обеспечения информационной безопасности составляет одну из важнейших сторон обеспечения информационной безопасности любой организации.
С точки зрения информационной безопасности существует два общих принципа, используемых при управлении кадрами: разделение обязанностей и минимизация привилегий, смысл которых состоит в уменьшении ущерба от случайных или умышленных некорректных действий пользователей.
Принцип разделения обязанностей состоит в таком распределении ролей и ответственности, чтобы один человек не смог нарушить критически важный для организации процесс.
Принцип минимизации привилегий предписывает выделять пользователям только те права доступа к информации, которые необходимы им для выполнения служебных обязанностей.
Информационная безопасность (в том числе и компьютерных систем) самым непосредственным образом зависит от окружения, в котором она работает. Важное значение здесь приобретает применение мер физической защиты, в состав которых входят:
• физическое управление доступом;
• противопожарные меры;
• защита поддерживающей инфраструктуры;
• защита от перехвата данных;
• защита мобильных систем.
Задача мер физического управления доступом состоит в контроле и ограничении входа и выхода сотрудников и посетителей как на общую территорию организации, так и в ее отдельные режимные помещения, например те, где расположены серверы, коммуникационная аппаратура, хранилища машинных носителей и т. п.
Противопожарные меры и меры по защите поддерживающей инфраструктуры призваны свести к минимуму ущерб, вызванный огнем или авариями электропитания, водопровода, отопления и т. п.
Защита от перехвата данных подразумевает применение экранирования помещения, использование различных зашумляющих устройств и т. п.
Конкретному пользователю информационных систем - работнику организации - важно знать:
• во-первых, как организована работа по осуществлению резервного копирования информации, чтобы иметь возможность восстановить программы и данные после возможных нарушений информационной безопасности или после аварий. Восстановлением программ должны заниматься специализированные службы. Регулярность резервного копирования должна определяться должностной инструкцией. Пренебрегать резервным копированием информации крайне опасно по причине возможной утраты всей информации, накопленной за длительное время;
• во-вторых, как организована на предприятии поддержка пользователей специализированными службами, чтобы пользователь мог получить более детальную информацию по работе конкретных программ и систем;
• в-третьих, как организовано восстановление работоспособности системы, функционирование которой нарушено непреднамеренными действиями пользователя. Эта задача должна решаться специализированными службами, поскольку самостоятельная установка программ на компьютер или обновление текущих версий может повлечь нарушение работоспособности системы в целом или нарушение работы ее механизмов информационной безопасности.
Общее планирование восстановительных работ, как и реализация всех составляющих организационных мер обеспечения информационной безопасности, - задача специализированной службы. Однако каждый работник организации должен быть готов к проведению работ по восстановлению информации после аварии или умышленного нарушения целостности данных. В этой связи он должен в общих чертах представлять себе весь план восстановительных работ организации и детально знать свое место в этих работах.
|
|