* для многофилиальных организаций - создание взаимных резервных копий различных подразделений на территории друг друга. В случае аварии данные восстанавливаются, и территория одного подразделения может использоваться как резервный офис для другого;
* для организаций с большим бюджетом - создание резервного офиса. Как правило, достаточно, чтобы данный офис дублировал базовые функции основного офиса и мог обеспечить работоспособность организации только в аварийном режиме. Для этого необходимы один сервер, 2-3 комнаты и выход к внешним информационным системам. Для банков это SWIFT, REUTERS, локальные расчетные системы. В случае аварии резервный офис должен обеспечить работоспособность организации не более чем в течение одной недели. За это время должен решиться вопрос или с восстановлением основного офиса, или арендой нового;
* для организаций с ограниченным бюджетом рекомендуется ежедневное резервное копирование информационной системы и хранение копий на другой территории. Это может быть либо дружественная структура, либо специализированная компания, предоставляющая услуги по хранению архивов.
Организация информационной безопасности
Организация информационной безопасности начинается с политики информационной безопасности - внутреннего документа, содержащего в себе основные принципы информационной безопасности организации, используемые защитные механизмы и правила их эксплуатации.
Основой политики информационной безопасности в коммерческом банке является общая политика безопасности организации. Часто информационная безопасность рассматриваются как часть общей системы безопасности. Постоянное сравнение базовых принципов защиты организации и механизмов защиты информационной системы может привести к значительному росту ее надежности и эффективности.
С другой стороны, система информационной безопасности тесно связана с техническими проблемами, решение которых может потребовать значительных сроков и ресурсов, что может привести к экономической нецелесообразности использования рассматриваемых механизмов. Наиболее эффективной схемой создания политики информационной безопасности является последовательная разработка ее составляющих с привлечением специалистов различных областей. Возможный порядок работ приведен на рис. 13.
Результатом данных работ становится рабочая система информационной безопасности, регламентируемая документом "Политика информационной безопасности" (табл. 11).
Такой документ позволит сотрудникам, ответственным за обеспечение информационной безопасности, контролировать систему в целом на основании общих правил, что существенно сократит расходы и потери в случае различных нарушений.
"Рис. 13. Схема организации информационной безопасности"
Примерная структура политики информационной безопасности
┌────────────────────┬───────────────────────────────────────────────┬─────────────────────────────┐
│ Глава документа │ Содержание │ Ответственные сотрудники │
├────────────────────┼───────────────────────────────────────────────┼─────────────────────────────┤
│ 1 │ 2 │ 3 │
├────────────────────┼───────────────────────────────────────────────┼─────────────────────────────┤
│Общее положение │Определяется статус документа │Руководитель высшего звена.│
│ │ │Представители службы│
│ │ │безопасности │
├────────────────────┼───────────────────────────────────────────────┼─────────────────────────────┤
│Классификация данных│Определяются группы объектов информационной│Технологи банка │
│по степени│системы, их владельцы и степень доступа к ним.│ │
│открытости. │Пример: аналитические счета банка,│ │
│Определение │синтетические счета, справочники │ │
│владельцев │ │ │
│информационных │ │ │
│ресурсов │ │ │
├────────────────────┼───────────────────────────────────────────────┼─────────────────────────────┤
│Правила доступа и│Определяются основные правила доступа к данным.│Технологи банка,│
│группы пользователей│Пример: доступ к данным на чтение -│администратор системы │
│ │руководитель должен видеть всю информацию, к│ │
│ │которой имеют доступ все его подчиненные │ │
├────────────────────┼───────────────────────────────────────────────┼─────────────────────────────┤
│Правила эксплуатации│В этой главе описываются правила по технике│Руководители подразделений,│
│ │информационной безопасности для пользователей│сотрудник │
│ │(правила хранения носителей информации,│информационно-технических │
│ │структура паролей, доступ к аппаратным│служб, сотрудник отдела│
│ │составляющим системы) │безопасности │
├────────────────────┼───────────────────────────────────────────────┼─────────────────────────────┤
│Правила хранения│Данная глава определяет: │Руководитель │
│информационных │- какой программный продукт обеспечивает│информационно-технических │
│объектов в системе │хранение и обработку различных объектов; │подразделений, разработчики│
│ │- на каких процессорах (серверах или│системы, внутренний аудит │
│ │пользовательских станциях) выполняются│ │
│ │различные задачи; │ │
│ │- как осуществляется резервное копирование│ │
│ │системы │ │
├────────────────────┼───────────────────────────────────────────────┼─────────────────────────────┤
│Правила разработки│Данная глава включает в себя: │Руководители проектов,│
│информационной │- перечень технических и программных средств,│внутренний аудит,│
│системы │допустимых к использованию в системе; │представители службы│
│ │- утвержденные алгоритмы криптографии и│безопасности │
│ │электронной подписи; │ │
│ │- порядок ведения проектной документации │ │
├────────────────────┼───────────────────────────────────────────────┼─────────────────────────────┤
│Порядок внесения│В данной главе описывается самый уязвимый этап│Руководители проектов,│
│изменений, │в жизни информационной системы, связанный с│внутренний аудит,│
│обновления и замены│установкой и внедрением новых технологических│представители службы│
│рабочей версии│цепочек или программно-аппаратных решений │безопасности, руководители│
│информационной │ │подразделений │
│системы │ │ │
├────────────────────┼───────────────────────────────────────────────┼─────────────────────────────┤