Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, её носители и процессы обработки.
Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.
Обеспечение информационной безопасности — это непрерывный процесс, основное содержание которого составляет управление рисками через управление людьми, ресурсами, средствами защиты и т.п. Люди - обслуживающий персонал и конечные пользователи АС, — являются неотъемлемой частью автоматизированной (то есть «человеко-машинной») системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только её функциональность (эффективность решения задач), но и её безопасность.
Уровень информационной безопасности организации существенно зависит от деятельности следующих категорий сотрудников и должностных лиц организации (см. Рис. 2.8.1):
o сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с применением средств автоматизации;
o программистов, осуществляющих разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации;
o сотрудников подразделения внедрения и сопровождения ПО, обеспечивающих нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ (задач);
o сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и обслуживание технических средств обработки и передачи информации и системного программного обеспечения;
o системных администраторов штатных средств защиты (ОС, СУБД и т.п.);
o сотрудников подразделения защиты информации, оценивающих состояние безопасности ИТ, определяющих требования к системе защиты, разрабатывающих организационно-распорядительные документы по вопросам обеспечения безопасности ИТ (аналитиков), внедряющих иадминистрирующих специализированные дополнительные средства защиты (администраторов безопасности);
o руководителей организации, определяющих цели и задачи функционирования АС, направления её развития, принимающих стратегические решения по вопросам безопасности и утверждающих основные документы, регламентирующие порядок безопасной обработки и использования защищаемой информации сотрудниками организации.
Кроме того, на безопасность ИТ организации могут оказывать влияние посторонние лица и сторонние организации, предпринимающие попытки вмешательства в процесс нормального функционирования АС или несанкционированного доступа к информации как локально, так и удалённо.
Субъекты, влияющие на состояние безопасности ИТ
Влияние на безопасность информационных технологий со стороны руководства организации
Руководство принимает стратегические решения по вопросам обеспечения безопасности ИТ и утверждает основные документы, регламентирующие порядок функционирования и развития АС, обеспечивающий безопасную обработку и использование защищаемой информации
Руководство определяет критичность процессов, ресурсов и степень их защиты, а также координирует деятельность по управлению и распределению обязанностей по обеспечению безопасности ИТ между службами безопасности и автоматизации.
Без понимания руководством важности решения проблемы безопасности ИТ и поддержки комплекса мер обеспечения безопасности ИТ - эффективную систему обеспечения безопасности создать нельзя.
Руководство должно признать комплекс мер по обеспечению безопасности ИТ частью производственного процесса.
Как сказано в стандарте ISO 27002 (BS 7799) высшее руководство должно поставить чёткую цель и показать свою поддержку и заинтересованность в вопросах безопасности ИТ, распространение политики безопасности ИТ среди сотрудников организации. В организации должны проводиться регулярные совещания руководства по вопросам корректировки политики безопасности ИТ и координации действий персонала.
Чтобы добиться понимания и осознания важности проблем безопасности ИТ необходимо осуществлять постоянное воздействие на руководителей, показывая актуальность данной проблемы — учить (информировать, образовывать) на чужих и собственных примерах (инцидентах). В этих целях можно использовать различные меры и способы, например такие как:
o извлечение максимальной пользы из любых случившихся инцидентов с акцентом на важность решений вопросов по обеспечению безопасности ИТ;
o организация собственных показательных мероприятий (например, демонстрация слабости парольной защиты). Проведение подобных мероприятий требует предварительного согласования с руководством, документального оформления и осторожности при реализации.
o демонстрация реальных документов других организаций по вопросам обеспечения безопасности ИТ.
