Информационная безопасность




Рецептура


По большому счету, для управления любой сложной системой необходимо создать жесткий, но простой регламент обслуживания системы и обеспечить контроль за тем, чтобы настройки системы изменялись в соответствии с этим регламентом.

Применительно к обеспечению безопасности информационной системы (ИС) это можно представить следующим образом.

  1. Иметь в наличии документ, в котором должно быть четко описано, кто и на каком основании должен иметь доступ к ресурсам информационной системы.
  2. Иметь единую точку взаимодействия сотрудников организации с информационной системой, через которую они смогут формулировать свои пожелания на предоставление доступа к тем или иным ресурсам ИС.
  3. Иметь инструменты контроля правильности настроек ИС.

Разработками такого рода в последнее время занимается несколько крупных корпораций. Свои решения предлагают Oracle и IBM. Отрадно, что в ряду гигантов IT-индустрии есть и отечественный разработчик, компания "Информзащита", котороая имеет свою систему комплексного управления безопасностью (КУБ).

Особенность предлагаемых решений в том, что в них соединяются не работающие по отдельности технический и организационный подходы к управлению безопасностью.

При внедрении таких систем предполагается, что организация уже имеет сформулированную политику безопасности. Эта политика вместе с информацией об ИС служит в дальнейшем фундаментом системы управления.

Для описания информационной системы обычно необходимо знать следующее.

  • Перечень информационных ресурсов. Под ресурсом могут пониматься конкретные серверы и папки на них, эксплуатируемые приложения, оборудование и даже сегменты сети.
  • Ответственный за безопасность этих ресурсов. Это могут быть владельцы ресурсов, главы подразделений, кураторы со стороны службы безопасности и другие.
  • Ответственный за администрирование этих ресурсов.
  • Как ресурсы информационной системы взаимосвязаны между собой. Порой для нормальной работы приложения необходим комплекс настроек - от настроек самого приложения до коммутационного оборудования.


    Содержание  Назад  Вперед