Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
19
Добавлен:
31.03.2015
Размер:
316.42 Кб
Скачать

1

АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ИБ: ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ РИСКАМИ

Пестунова Тамара Михайловна

кандидат технических наук, доцент ptm@ngs.ru

2

ЦЕЛИ И ЗАДАЧИ АДМИНИСТРАТИВНОГО УРОВНЯ ИБ

Главная цель мер административного уровня:

сформировать программу работ по защите информации (обеспечению безопасности информации),

обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основа административного уровня - политика безопасности (ПБ), отражающая стратегию организации в области защиты своих информационных активов.

Под политикой безопасности на административном уровне понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

3

ЦЕЛИ И ЗАДАЧИ АДМИНИСТРАТИВНОГО УРОВНЯ ИБ

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации.

Составление карты информационной системы обеспечивает учет актуальных данных, позволяя варьировать как уровень детализации, так и видимые грани объектов.

Карта информационной системы - это описание ее структуры (компонентов системы и их взаимосвязей) с некоторым уровнем детализации.

Выбор правильного уровня детализации и отражаемых граней

– одна из основных задач.

4

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ.

ВЕРХНИЙ УРОВЕНЬ

Выделяются три уровня политики безопасности.

Верхний уровень:

решения общего характера, затрагивающие организацию в целом;

цели формулируются в терминах целостности, доступности и конфиденциальности;

четко очерченная сфера влияния (например, ресурсы КИС)

является основой подотчетности персонала

5

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ ВЕРХНИЙ УРОВЕНЬ

На верхний уровень выносится минимум вопросов Критерии вынесения:

возможность обеспечить значительную экономию средств

определяющие общий порядок работ в масштабах предприятия.

Затрагиваются три аспекта исполнительской дисциплины:

соблюдение существующего законодательства

контроль действия лиц, ответственных за выработку программы безопасности.

обеспечение исполнительности персонала (система поощрений и наказаний).

Типовая структура документов верхнего уровня определяется стандартом ISO 17799

17

СТАНДАРТ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ISO / IEC 17799

1 часть. Практические правила по управлению информационной безопасностью. Предназначен для руководителей и сотрудников,

отвечающих за планирование, реализацию и поддержание системы

информационной безопасности.

Основные группы мероприятий по обеспечению ИБ:

политика безопасности;

общеорганизационные аспекты защиты;

классификация активов и управление ими;

безопасность персонала;

физической безопасности и безопасность окружающей среды;

администрирование систем и сетей;

управление доступом к системам и сетям;

разработка и сопровождение информационных систем;

управление бесперебойной работой организации;

контроль соответствия требованиям.

6

ПОЛИТИКА БЕЗОПАСНОСТИ.

См. Word-файл «Структура политики по ИСО 17799»

8

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ.

СРЕДНИЙ УРОВЕНЬ.

Средний уровень:

вопросы по отдельным аспектам ИБ, важные для различных эксплуатируемых в организации систем. Например:

отношение к передовым (но, возможно, недостаточно проверенным) технологиям;

доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз

использование домашних компьютеров

применение пользователями неофициального программного обеспечения

И т.д.

9

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ СРЕДНИЙ УРОВЕНЬ

Описание аспекта (например: ПО, которое не было одобрено и/или закуплено на уровне организации)

Область применения: где, когда, как, по отношению к кому и чему применяется данная ПБ (Например, касается ли политика, связанная с использованием неофициального ПО, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами )

Позиция организации по данному аспекту (полный запрет, процедура приемки и т.п.).

Роли и обязанности (кто дает разрешение, кто контролирует и т.п. ). Законопослушность. Политика должна содержать общее описание

запрещенных действий и наказаний за них.

Точки контакта. Куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

10

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ НИЖНИЙ УРОВЕНЬ

Политика безопасности нижнего уровня относится к конкретным информационным сервисам.

Включает два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации.

Примеры вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

кто имеет право доступа к объектам, поддерживаемым сервисом?

при каких условиях можно читать и модифицировать данные?

как организован удаленный доступ к сервису?

Соседние файлы в папке Наши лекции Компы Криптография