Контрольная работа № 2

Вариант № 7

1. Политика информационной безопасности

1. Назначение и цель политики ИБ.

2. Содержание, структура, этапы разработки политики ИБ

1. Назначение и цель политики ИБ

Под политикой безопасности организации понимают совокупность документиро­ванных управленческих решений, направленных на защиту информации и ассоции­рованных с ней ресурсов. Политика безопасности является тем средством, с помо­щью которой реализуется деятельность в компьютерной информационной системе организации. Вообще политики безопасности определяются используемой компь­ютерной средой и отражают специфические потребности организации.

Обычно корпоративная информационная система представляет собой сложный комплекс разнородного, иногда плохо согласующегося между собой аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. Все эти компоненты обычно обладают соб­ственными средствами защиты, которые нужно согласовать между собой. Поэтому очень важна эффективная политика безопасности в качестве согласованной плат­формы по обеспечению безопасности корпоративной системы. По мере роста ком­пьютерной системы и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в системе слабых мест, поскольку все усилия по защите информации могут быть обесценены лишь одной оплошностью.

---

Можно построить такую политику безопасности, которая будет устанавливать, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, ко­торые четко предписывают, как должны выполняться конкретные задачи безопас­ности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. Например, ме­неджер по персоналу может иметь доступ к частной информации любого сотруд­ника, в то время как специалист по отчетности может иметь доступ только к фи­нансовым данным этих сотрудников. А рядовой сотрудник будет иметь доступ только к своей собственной персональной информации.

Политика безопасности определяет позицию организации по рациональному ис­пользованию компьютеров и сети, а также процедуры по предотвращению и реаги­рованию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик от бизнес-политик до специфич­ных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.

Основные понятия политики безопасности

Политика безопасности определяет стратегию управления в области информаци­онной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.

Политика безопасности строится на основе анализа рисков, которые признают­ся реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация кото­рой должна обеспечить информационную безопасность. Под эту программу выде­ляются ресурсы, назначаются ответственные, определяется порядок контроля вы­полнения программы и т.п.

Для того чтобы ознакомиться с основными понятиями политик безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, при­надлежащую некоей организации, и связанную с ней политику безопасности [6, 63].

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом бо­лее конкретных документов специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматри­ваться, чтобы гарантировать, что она учитывает текущие потребности организации.

---

Этот документ составляют таким образом, чтобы политика была относительно не­зависимой от конкретных технологий. В таком случае этот документ политики не потребуется изменять слишком часто.

Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.

Описание проблемы. Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важ­ность защиты сетевой среды, описать их роль в обеспечении безопасности, а так­же распределить конкретные обязанности по защите информации, циркулирую­щей в сети.

Область применения. В сферу действия данной политики попадают все аппарат­ные, программные и информационные ресурсы, входящие в локальную сеть предприя­тия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации. Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

• 
  обеспечение уровня безопасности, соответствующего нормативным докумен­там;
  
• 
  следование экономической целесообразности в выборе защитных мер (рас­ходы на защиту не должны превосходить предполагаемый ущерб от наруше­ния информационной безопасности);
  
• 
  обеспечение безопасности в каждой функциональной области локальной сети;
  
• 
  обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
  
• 
  обеспечение анализа регистрационной информации;
  
• 
  предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;
  
• 
  выработка планов восстановления после аварий и иных критических ситуа­ций для всех функциональных областей с целью обеспечения непрерывности работы сети;
  
• 
  обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.
  

---

Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.

Руководители подразделенийотвечают за доведение положений политики безо­пасности до пользователей и за контакты с ними.

Администраторы локальной сетиобеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для проведе­ния в жизнь политики безопасности.

Администраторы сервисовотвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователиобязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты бе­зопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Более подробные сведения о ролях и обязанностях должностных лиц и пользо­вателей сети приведены ниже.

Санкции. Нарушение политики безопасности может подвергнуть локальную сетьи циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руковод­ством для принятия дисциплинарных мер вплоть до увольнения.

Дополнительная информация. Конкретным группам исполнителей могут по­требоваться для ознакомления какие-то дополнительные документы, в частности документы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик бе­зопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базо­вой политике специализированные политики безопасности. Организации меньше­го размера нуждаются только в некотором подмножестве специализированных по­литик. Многие из этих документов поддержки могут быть довольно краткими - объемом в одну - две страницы.

С практической точки зрения политики безопасности можно разделить на три уровня: верхний, средний и нижний [6, 9].

Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.

---

Такие решения могут включать в себя следующие элементы:

• 
  формулировка целей, которые преследует организация в области информа­ционной безопасности, определение общих направлений в достижении этих целей;
  
• 
  формирование или пересмотр комплексной программы обеспечения инфор­мационной безопасности, определение ответственных лиц за продвижение программы;
  
• 
  обеспечение материальной базы для соблюдения законов и правил;
  
• 
  формулировка управленческих решений по вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
  

Политика безопасности верхнего уровня формулирует цели организации в об­ласти информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важ­ных баз данных, на первом плане должна стоятьцелостностьданных. Для организа­ции, занимающейся продажами, важна актуальность информации о предоставляе­мых услугах и ценах, а также еедоступностьмаксимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться оконфиден­циальностиинформации, то есть о ее защите от несанкционированного доступа.

На верхний уровень выносится управление ресурсами безопасности и коорди­нация использования этих ресурсов, выделение специального персонала для защи­ты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если поли­тика регламентирует некоторые аспекты использования сотрудниками своих до­машних компьютеров. Возможна и такая ситуация, когда в сферу влияния вклю­чаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выра­ботке программы безопасности и по проведению ее в жизнь, то есть политика мо­жет служить основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать суще­ствующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить исполни­тельскую дисциплину персонала с помощью системы поощрений и наказаний.

---

Смотрите также файлы

• Практическая работа 2 по дисциплине База данных Часть2 Факультет ксис специальность поит студент группы 951051.docx

• Утопия красного партизана луговкина Анна Алексеевна 03. 04. 2006 мбоу НижнеЕсауловская сш 10 класс.docx

• Мировоззрение это обобщенная и целостная картина мира, представление об окружающей действительности.docx

• Лекция 26. Патологии беременности.pdf

• План работы летнего спортивнотуристского лагеря Эдельвейс.docx