59 
- установка режима конфиденциальности на объекте; 
- ограничение доступа к информации; 
- правовое обеспечение процесса защиты информации; 
- четкое разделение конфиденциальной информации как основного 
объекта защиты. 
Среди рассматриваемых компонентов системы организационные 
мероприятия по защите информации можно перечислить в следующем 
порядке: 
- знакомство с работниками, изучение их, обучение правилам работы с 
конфиденциальной информацией, ознакомление с ответственностью за 
нарушение правил защиты информации и др.; организация надежной защиты 
зданий и территорий, пересекаемых сетями связи; 
организация хранения и использования носителей конфиденциальной 
информации и документов (в том числе порядок учета, выдачи, исполнения и 
возврата); 
создание штатной структуры по защите важной информации или 
назначение лица, ответственного за защиту информации на конкретных этапах 
обработки и передачи; 
создание особого порядка взаимодействия с внешними организациями и 
партнерами; 
организация конфиденциального разбирательства. 
Необходимо четко понимать, какие вопросы стоят перед ним при 
формировании системы безопасности. Такие компоненты, ограничивающие 
доступ к информации, являются одним из важных элементов комплексной 
системы защиты информации. В его основе лежит информация, необходимая 
каждому сотруднику коллектива для выполнения своих обязанностей. В 
этом случае доступ ко всем материалам, вне зависимости от их важности, 
есть только у менеджера. Качественная разработка и строгое соблюдение 
этих регламентов является достаточной мерой усилий, направленных на 
минимизацию вероятности потери важной информации и определение 
объема украденных данных. Разработка правил предполагает ответы на 
следующие вопросы: 
- кому разрешен доступ к информации и на каких условиях; 
- кто из руководителей имеет право давать разрешение и какую 
информацию. 
- При детализации указанных правил предусматривается выделение 
следующих основных позиций: 
- права, обязанности и ответственность руководителей и сотрудников по 
доступу к конкретной информации, ее хранению, обработке и сетевым 
каналам передачи; 
- порядок доступа к конфиденциальной информации представителя 
заказчика; 
Порядок доступа к этой информации представителей государственных 
органов; распределение носителей информации в другие точки и обмен ею 

60 
между 
организационными 
подразделениями.Из 
вышеизложенных 
соображений можно сделать вывод, что права доступа разных лиц на разных 
этапах обработки и передачи информации должны быть четко ограничены. 
Организационная 
деятельность, 
направленная 
на 
обеспечение 
информационной безопасности в различных условиях, имеет свои 
особенности для каждого предприятия. Обеспечение информационной 
безопасности осуществляется лицами, обладающими соответствующими 
знаниями и навыками, на основе продуманных реальных программных 
действий по защите информации. 
Кратко коснемся некоторых элементов системы защиты информации 
(СЗИ). Инженерно-технический элемент системы защиты информации 
предназначен для пассивного и активного противодействия техническим 
средствам поиска, формирования охраны зданий, оборудования и границ 
территории с помощью комплекса технических средств. Хотя технические 
гарантии и безопасность обходятся дорого для защиты информационных 
систем, этот элемент важен. Товар включает в себя: 
- средства физической (инженерной) защиты от доступа посторонних 
лиц на территорию, в здание и сеть связи; 
- ЭУ, средства связи, модемы, факсы и другие средства, участвующие в 
передаче сообщений по сетям связи, а также средства защиты технических 
каналов, которые могут вызвать утечку информации при работе служебных 
устройств; средства защиты здания от визуальных методов технического 
поиска; средства контроля, отчетности, сигнализации, предоставления 
информации, сравнения неисправностей технических средств и изменения 
параметров сети связи; 
- средства поиска технических поисковых устройств и принадлежностей 
(скрытых подслушивающих устройств, передающих устройств и т.п.); 
технический контроль означает недопущение изъятия сотрудниками 
специальных предметов, дискет, различных магнитных носителей 
информации и т.п. 
Программно-аппаратный элемент АГТ предназначен для защиты 
ценной информации, обрабатываемой и хранимой в компьютерах, серверах 
и рабочих станциях локальной сети, а также в различных информационных 
системах. Это включает в себя: 
- автономные программы, контролирующие защиту информации и 
уровень ее защиты; 
программы защиты информации, работающие совместно с набором 
(комплексом) программ обработки информации; 
программы 
защиты информации, работающие в комплексе 
технических (аппаратных) устройств (прерывание воздействия при 
нарушении доступа к системе, удаление данных при входе в базу данных без 
разрешения и т.п.). 
Любая работающая информационная технология в модели COBIT при 
анализе проходит ряд этапов жизненного цикла. 

61 
Планирование и организация работы. На этом этапе определяются 
стратегия и тактика развития информационных технологий для достижения 
основных целей бизнеса, затем рассматриваются вопросы реализации: 
построение 
архитектуры 
системы, 
решение 
технологических 
и 
организационных задач, обеспечение финансирования и т. д. Всего на данном 
этапе определено 11 основных задач. 
Приобретение и ввод в эксплуатацию. На этом этапе выбранные решения 
должны быть задокументированы и спланированы. На этом этапе предстоит 
решить шесть основных задач. 
Доставка и поддержка. Выделяют 13 основных задач этого этапа, которые 
направлены на обеспечение работы информационных технологий. 
Мониторинг. Необходимо отслеживать процессы информационных 
технологий и контролировать соответствие их параметров заявленным 
требованиям. На данном этапе необходимо решить четыре основные задачи. 
Всего в стандарте COBIT выделено 34 задачи более высокого уровня 
обработки информации. 
Помимо традиционных свойств информации (конфиденциальность, 
целостность и доступность) в модели дополнительно используются еще 
четыре свойства - оперативность, результативность, соответствие 
официальным требованиям и надежность. Эти признаки не являются 
независимыми, так как частично связаны с первыми тремя. Но их включение 
объясняется учетом удобства интерпретации результатов. 
Автономные серверы: 
- серверы вне сети общего назначения; 
-другие автономные серверы. 
-сетевые серверы: 
- сетевые файловые серверы; 
- серверы сетевых баз данных; 
- сетевые серверы общего назначения; 
-другие сетевые серверы. 
Не подключенные к сети рабочие станции: 
- мобильный, не имеет постоянного места; 
-стационарные рабочие станции с широкими возможностями; 
-стационарные 
рабочие места для людей с ограниченными 
возможностями (терминал Х-класса); 
- прочие стационарные рабочие места. 
Под ассоциацией ISACA понимается процесс сбора информации 
в информационной системе под аудитом информационной безопасности, 
который позволяет определить наличие целей компании в части безопасности, 
целостности данных и доступности ресурсов компании, необходимых 
параметров и эффективности. достигаются информационные технологии. 

62 
Рисунок 11.1. Модель управления информационными технологиями. 
Согласно руководящим органам ISACA, основной целью ассоциации 
является 
исследование, 
разработка, 
публикация 
и 
продвижение 
стандартизированного набора документов по управлению информационными 
технологиями для повседневного использования администраторами 
информационных систем и аудиторами. В интересах профессиональных 
аудиторов, менеджеров информационных систем, администраторов и всех 
заинтересованных лиц ассоциация разрабатывает концепцию управления 
информационными технологиями в соответствии с требованиями 

63 
информационной безопасности. На основе этой концепции описываются 
элементы информационных технологий, а также даются рекомендации по 
обеспечению системы управления и режима информационной безопасности. 
Концепция описана в документе под названием COBIT 3-е издание - Цели 
управления информационными и связанными с ними технологиями, который 

Download 0.91 Mb.

Do'stlaringiz bilan baham: