Средний уровень политики безопасности определяет решение вопросов, касаю­щихся отдельных аспектов информационной безопасности, но важных для различ­ных систем, эксплуатируемых организацией.

Примеры таких вопросов - отношение к доступу в Интернет (проблема сочета­ния свободы получения информации с защитой от внешних угроз), использование домашних компьютеров и т.д.

Политика безопасности среднего уровня должна определять для каждого аспек­та информационной безопасности следующие моменты:

• 
  описание аспекта - позиция организации может быть сформулирована в до­статочно общем виде как набор целей, которые преследует организацияв данном аспекте;
  
• 
  область применения - следует специфицировать, где, когда, как, по отноше­нию к кому и чему применяется данная политика безопасности;
  
• 
  роли и обязанности - документ должен содержать информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;
  
• 
  санкции - политика должна содержать общее описание запрещенных дей­ствий и наказаний за них;
  
• 
  точки контакта - должно быть известно, куда следует обращаться за разъяс­нениями, помощью и дополнительной информацией. Обычно «точкой кон­такта» служит должностное лицо.
  

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения, — поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

Приведем несколько примеров вопросов, на которые следует дать ответ при сле­довании политике безопасности нижнего уровня:

• 
  кто имеет право доступа к объектам, поддерживаемым сервисом;
  
• 
  при каких условиях можно читать и модифицировать данные;
  
• 
  как организован удаленный доступ к сервису.
  

Политика безопасности нижнего уровня может исходить из соображений цело­стности, доступности и конфиденциальности, но она не должна на них останавли­ваться. В общем случае цели должны связывать между собой объекты сервисаи осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мера­ми. Обычно наиболее формально задаются права доступа к объектам.

---

Приведем более детальное описание обязанностей каждой категории персонала.

Руководители подразделенийотвечают за доведение положений политики безо­пасности до пользователей. Они обязаны:

• 
  постоянно держать в поле зрения вопросы безопасности. Следить за тем, что­бы то же самое делали их подчиненные;
  
• 
  проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима бе­зопасности и выбирая эффективные средства защиты;
  
• 
  организовать обучение персонала мерам безопасности. Обратить особое вни­мание на вопросы, связанные с антивирусным контролем;
  
• 
  информировать администраторов локальной сети и администраторов серви­сов об изменении статуса каждого из подчиненных (переход на другую рабо­ту, увольнение и т.п.);
  
• 
  обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающе­го достаточной квалификацией для выполнения этой роли.
  

Администраторы локальной сетиобеспечивают непрерывное функционирова­ние сети и отвечают за реализацию технических мер, необходимых для проведе­ния в жизнь политики безопасности. Они обязаны:

• 
  обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;
  
• 
  оперативно и эффективно реагировать на события, таящие угрозу. Инфор­мировать администраторов сервисов о попытках нарушения защиты;
  
• 
  использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, относя­щуюся к сети в целом и к файловым серверам в особенности;
  
• 
  не злоупотреблять своими большими полномочиями. Пользователи имеют право на тайну;
  
• 
  разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в обна­ружении и ликвидации вредоносного кода;
  
• 
  регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;
  
• 
  выполнять все изменения сетевой аппаратно-программной конфигурации;
  
• 
  гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
  
• 
  периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.
  

---

Администраторы сервисовотвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопа­сности. Они обязаны:

• 
  управлять правами доступа пользователей к обслуживаемым объектам;
  
• 
  оперативно и эффективно реагировать на события, таящие угрозу. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении ин­формации для их наказания;
  
• 
  регулярно выполнять резервное копирование информации, обрабатываемой сервисом;
  
• 
  выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
  
• 
  ежедневно анализировать регистрационную информацию, относящуюся к сер­вису. Регулярно контролировать сервис на предмет вредоносного программ­ного обеспечения;
  
• 
  периодически производить проверку надежности защиты сервиса. Не допус­кать получения привилегий неавторизованными пользователями.
  

Пользователиобязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуа­циях. Они обязаны:

• 
  знать и соблюдать законы, правила, принятые в данной организации, полити­ку безопасности, процедуры безопасности. Использовать доступные защит­ные механизмы для обеспечения конфиденциальности и целостности своей информации;
  
• 
  использовать механизм защиты файлов и должным образом задавать права доступа;
  
• 
  выбирать качественные пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;
  
• 
  информировать администраторов или руководство о нарушениях безопасно­сти и иных подозрительных ситуациях;
  
• 
  не использовать слабости в защите сервисов и локальной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;
  
• 
  всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;
  
• 
  обеспечивать резервное копирование информации с жесткого диска своего компьютера;
  
• 
  знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предуп­реждения проникновения вредоносного кода, его обнаружения и уничтоже­ния;
  
• 
  знать и соблюдать правила поведения в экстренных ситуациях, последова­тельность действий при ликвидации последствий аварий.
  

---

Управленческие меры обеспечения информационной безопасности. Главной целью мер, предпринимаемых на управленческом уровне, является формирование программы работ в области информационной безопасности и обеспечение ее вы­полнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая по­литика безопасности, отражающая комплексный подход организации к защите сво­их ресурсов и информационных активов

2. Содержание, структура, этапы разработки политики ИБ

Представляет собой комплекс доков, который отражает все основные требования к обеспечению ЗИ и направления работы организации в этой области.

ПИБ:

-верхний

-средний

-нижний

Верхний служит для формулирования и демонстрации отношения руководства организации к вопросам ИБ и отражений общих целей организации к этой области. Документами этого уровня определяют, что будет раскрываться на нижних уровнях.

Средний –определяются отношения и требования организации к отдельным инф потокам и ИС, которые исп в различных сферах деятельности организации. Определяются отношения и требования к определенным инф и телекоммуникационным технологиям методом и подходом к обработке инфы и построения ИС. Разрабатываются отношения и требования к сотрудникам организации как к участникам процесса обработки инфы от которых напрямую зависит защищенность инф ресурсов, а так же определяются основные направления и методы воздейст на персонал с целью повышения ИБ организации

Основные правила которые необходимо соблюдать независимо от уровня:

1. 
   политики безопасности которые разраб на нижних уровнях должны подчиняться политикам верхних уровней
   
2. 
   текст политики безоп должен содержать четкие и однозначные формулировки, не допускающие двойного толкования
   
3. 
   текст ПБ должен быть доступен для понимания тех сотрудников которым он адресован
   

общий жизненный цикл ПБ вкл:

1. 
   проведение предварительного исследования состояния ИБ в организации
   
2. 
   разработка ПБ
   
3. 
   внедрение ПБ
   
4. 
   анализ соблюдения требований внедренной политики безопасности и формулирование требований по дальнейшему ее совершенствованию
   

Политика ИБ верхнего уровня являеться декларацией руководителей по необходимости вести целенаправленную работу по защите инф ресурсов.

---

Описывает:

1. 
   Решения об осуществлении данной деятельности
   
2. 
   Определяется перечень осн. Инф. ресурсов защита которых имеет наибольший приоритет для всей организации
   
3. 
   Общий подход к распределению ответственности за обеспечение ИБ внутри организации
   
4. 
   Указание на необходимость всего персонала соблюдать опред требования в области ЗИ, повышать свою квалификацию в данной области и осознавать меру ответственности за возможные нарушения
   
5. 
   Отношения руководства организации к фактам нарушения требований по ИБ, отношение руководства к лицам, соверш. нарушения, а так же какое наказание предусмотрено этим должностным лицам за те или иные нарушения
   

Политики безопасности среднего уровня ….. требования задачи и правила, которые присутствуют в политике верхнего уровня и отдельно описывают основные сферы деятельность организации в которых необходимо системное осуществление орг и технических мероприятий

Разделы политики среднего ур-ня:

1. 
   Сфера деятельности на которую распр данная политика
   
2. 
   Область применения политики безоп. Указывается перечень лиц, организаций к которым она применяется
   
3. 
   Конкретные правила, критерии, показатели которые предъявляются к ИС, процедурам обращения инфы, прогр и аппаратным ср-вам
   
4. 
   Как распределяются роли, обязанности должностных лиц при решении задач в области обеспечения ИБ
   

Политика безоп ср-него уровня делится на:

-политики, которые относятся к определенным сферам деятельности организации и определенным инф потокам

-политики которые относятся к вопросам использования ИТ, вне зависимости той сферы, где исп данные вопросы и методы

Политика безоп нижнего ур-ня вкл в себя доки которые явл инструкциями методиками и используются в повседневной деятельности. Доки для отдельных инф сист, процедур.

-регламент работы с определенными телекоммуникационными системами, БД

-должностные обязанности отдельных категорий сотрудников в отношении обесп ИБ, а так же требования, которые предъявл к персоналу

-регламенты предоставления доступа сотрудников к опред инф системам и ресурсам.

---

Смотрите также файлы

• Практическая работа 2 по дисциплине База данных Часть2 Факультет ксис специальность поит студент группы 951051.docx

• Утопия красного партизана луговкина Анна Алексеевна 03. 04. 2006 мбоу НижнеЕсауловская сш 10 класс.docx

• Мировоззрение это обобщенная и целостная картина мира, представление об окружающей действительности.docx

• Лекция 26. Патологии беременности.pdf

• План работы летнего спортивнотуристского лагеря Эдельвейс.docx