Выделяется несколько уровней информационной безопасности: законодательный, административный, процедурный, программно-технический. О каждом расскажем подробнее.
Законодательный
Включает в себя совокупность мер, которые направлены на формирование и поддержку в обществе отрицательного отношения к киберпреступникам и нарушителям ИБ. Большее количество граждан не совершают киберпреступных действий по причине осуждения и наказания за подобные действия, а не потому, что нет такой технической возможности.
Государство реализует механизм, который обеспечивает согласование процедуры создания законопроектов с развитием сферы ИТ. Крайне важный процесс – актуальность действующих законов уровню развития ИТ.
В законодательстве РФ, по мнению ИБ-экспертов, не достает положительной направленности. Кибербезопасность – сравнительно новая отрасль, поэтому в этом направлении государство должно, в первую очередь, давать разъяснения, помогать, учить, а не выставлять запреты и наказывать. Государственная власть должна взять на себя роль координатора.
Законодательный уровень также включает в себя подготовку отечественных норм и стандартов в соответствие с международными регламентами в сфере ИТ и ИБ.
Административный
Обеспечением административного уровня кибербезопасности занимается руководство конкретной компании и ее профильные департаменты. Главный документ в этой сфере – политика безопасности, состоящая из решений по управлению, необходимых для защиты данных, техсредств, которые с ней ассоциированы. С помощью подобной документации происходит установление стратегии в сфере кибербезопасности, количества техсредств, программных продуктов, финансирования, которые необходимо выделять в этом направлении единовременно и систематически.
Построение политики безопасности ведется на базе проведенного анализа рисков, признанными специалистами актуальными для ИС конкретной компании. Проанализировав риски и разработав стратегию защиты, разрабатывается программа, позволяющая организовать систему информбезопасности в компании.
При разработке политики безопасности нельзя использовать стандартизированные подходы – для каждой компании она должна быть уникальной. Например, категорически нельзя переносить базу системы информационной безопасности с госструктур на коммерческие объекты, и наоборот.
Процедурный
Сюда входят все меры безопасности, которые реализуются ИБ-специалистами, руководством, простыми сотрудниками. Принято выделять несколько категорий процедурных мер:
- обеспечение физической защиты техсредств, программ, документации;
- управление персоналом;
- поддержка работоспособности;
- реагирование на негативные события в режиме безопасности;
- стратегия восстановительных работ.
Для каждой категории руководство компании или ответственные сотрудники обязаны разработать регламенты, которые будут определять действия работников. Обязательна отработка разработанных регламентов на практике.
Программно-технический уровень
В соответствии с актуальными трендами, в рамках ИС необходимо обеспечение доступности нескольких основных механизмов безопасности:
- криптография;
- экранирование;
- обеспечение максимальной доступности;
- протоколирование, аудит;
- управление доступом;
- идентификация, проверка подлинности пользователей.