В процессе эксплуатации ИТКС необходимо обеспечить надежность и эффективность функционирования системы обеспечения информационной безопасности.
Поэтому, на данном этапе должны выполняться следующие мероприятия:
а) анализ ИТКС и технологии обработки информации с учетом изменений обстановки;
б) переработка и обновление разработанной на предыдущих этапах документации планирование проведения мероприятий по защите информации в соответствии с выводами из анализа;
б) обучение и переподготовка персонала и пользователей ИТКС;
в) соблюдение режима ограничения и разграничения доступа к информации, контроль выполнения установленных правил работы в ИТКС;
д) оценка эффективности функционирования и совершенствование системы, обновление и доработка имеющихся программных и аппаратных средств защиты, замена их на более совершенные.
При выполнении данных мероприятий необходимо особое внимание уделять таким вопросам, как переподготовка и повышение квалификации кадров, выбор процессов и технологий, а также проведение постоянного мониторинга обстановки в области информационной безопасности. Такое положение дел обуславливается тем, что технология обработки информации постоянно меняется, изменяются программные и аппаратные средства, приходит и уходит персонал. В связи с этим необходимо периодически пересматривать разработанные организационно-распорядительные документы, проводить обследование ИТКС или ее подсистем, обучать новый персонал, обновлять средства защиты.
Способность ИТКС противостоять возможным воздействиям на ее информационные ресурсы напрямую зависит от полноты и качества выполнения всех вышеуказанных мероприятий по построению системы обеспечения информационной безопасности. Такая система позволит уменьшить, а во многих случаях и полностью предотвратить, возможный ущерб от атак на компоненты и ресурсы ИТКС, существенно снизить риск неожиданного вторжения, повысить способность поддерживать непрерывность нормального процесса жизнедеятельности и подготовить ИТКС к решению меняющихся задач, т. е. достичь необходимого и достаточного уровня защищенности системы.
Необходимый уровень защиты информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с действующим законодательством. Однако, в каждом конкретном случае перечень мер защиты, принимаемых для достижения установленного уровня, определяется дифференцировано по результатам обследования ИТКС, с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов. Согласно оценкам специалистов, затраты на средства защиты информации в ИТКС, обрабатывающих конфиденциальную информацию или содержащую коммерческую тайну, должны составлять до 10% от стоимости самой системы, для систем, обрабатывающих сведения, составляющие государственную тайну, – от 15 до 35%. Наиболее затратную и трудоемкую часть работы составляют мероприятия по организации технической защиты информации. Причем, как показывает практика, большую часть статьи расходов по защите информации составляют затраты на программно-техническую составляющую системы обеспечения информационной безопасности.
Вместе с тем, планируя мероприятия по защите информации необходимо исходить не только из вопросов рентабельности, следует также провести анализ возможных социальных последствий воздействий на информацию, циркулирующую в данной системе. ИТКС, или один из ее сегментов может принимать участие в обеспечении функционирования объекта, на котором имеется экологически опасное или социально значимое производство или технологический процесс, нарушение штатного режима работы которого, может привести к чрезвычайной ситуации определенного уровня и масштаба, а также осуществлять управление чувствительными (важными) для государства процессами, нарушение функционирования которыми приводит к значительным негативным последствиям для страны в экономической внутриполитической, социальной, информационной и других сферах. Все это говорит о том, что такие ИТКС следует рассматривать как ключевые системы информационной инфраструктуры. В зависимости от оценки возможных последствий воздействий на них, а также исходя из назначения системы, принадлежности ее к тем или иным важным сегментам информационной и телекоммуникационной инфраструктуры России необходимо проводить градацию ключевых систем информационной инфраструктуры по степени важности.
Литература
1.Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ.
2.Концепция национальной безопасности Российской Федерации, утверждена Указом Президента от 17 декабря 1997 г. N 1300.
3.Доктрина информационной безопасности Российской Федерации, утверждена Указом Президента Российской Федерации 9 сентября 2000 г. № Пр-1895.
4.Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утверждено постановлением Совета Министров – Правительства Российской Федерации от 15 сентября 1993 г. № 912-51.
5.Положение о Федеральной службе по техническому и экспортному контролю, утверждено Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
6.ГОСТ Р 51275 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
7.ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном положении. Общие требования».
8.Гостехкомиссия России. Руководящий документ «Безопасность информационных технологий».
9.Гостехкомиссия России. Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
10.Гостехкомиссия России. Сборник руководящих документов по защите от несанкционированного доступа.