- •Кафедра « Экономики, информатики и математики»
- •Методические материалы и рекомендации Тема 1. Исходные термины и определения. Позиционирование курса
- •Тема 2. Управление. Система управления. Моделирование деятельности организации
- •2.1 Принятие решений и информация
- •2.2 Информационное обеспечение менеджмента
- •2.3 Содержание и требования предъявляемые к информации
- •Тема 3. Инструментальные средства построения ис.
- •3.1 Виды информационных технологий
- •3.2 Информация в бизнесе
- •3.3 Количество и качество информации
- •3.4 Инструментальные средства построения ис
- •3.4.1 Информационные системы
- •3.4.2. Интегрированные пакеты
- •3.4.3. Математические пакеты
- •3.4.4. Программные системы для поиска оптимальных решений
- •Тема 4. Реализации информационных систем управления
- •4.1 Реализации информационной системы управления класса "структурное подразделение организации" (отдел). Предварительный анализ
- •4.2. Определение целей ис
- •4.3 Критерии оценки эффективности автоматизированных систем организации
- •Отличительные особенности каталога региональных информационных ресурсов по мп
- •4.4 Понятие о проектах и управлении ими
- •4.4.1 Организационные аспекты управления проектами
- •4.4.2 Процессы управления проектами
- •4.4.3 Взаимодействия процессов
- •Процессы инициализации
- •Процессы планирования
- •Процессы выполнения
- •Процессы управления
- •Процессы завершения
- •Тема 5. Средства обеспечения информационных систем.
- •5.1 Разработка политики безопасности предприятия
- •5.2 Составные части сети предприятия
- •5.3 Политика в отношении информации
- •5.4 Технологии безопасности данных
- •5.5 Безопасность eCommerce
- •5.6 Рекомендации по защите информации
- •5.7 Административная группа управления защитой
- •1. Сотрудник группы безопасности
- •2. Администратор безопасности системы
- •3. Администратор безопасности данных
- •5.8 Определение информации, подлежащей защите
- •Порядок отнесения информации к государственной тайне
- •Сведения, составляющие коммерческую тайну
- •5.9 Политика безопасности для работы в Интернете
- •Основные типы политики
- •Что там должно быть
- •Получение разрешения
- •Претворение политики в жизнь
- •Тема 6. Технология внедрения. Консалтинг и управление проектами при внедрении информационных систем.
- •5.1 Системы моделирования
- •5.2 Комплексное внедрение системы управления проектами
- •5.2.1 Корпоративный стандарт управления проектами
- •5.2.2 Создание Офиса Управления проектами
- •5.2.3 Внедрение технологий для управления проектами
- •5.2.4.Аналитическая отчетность в системе управления проектами
- •5.2.5 Настройка системы управления проектами под бизнес-процессы компании
- •Шаги по настройке системы управления проектами
- •5.2.6 Интеграцию бизнес-процессов управления предприятием
- •5.2.7 Разработка дополнительных программных продуктов для эффективного управления проектами.
- •5.3. Подход к реализации проектного управления в различных отраслях деятельности Компаний
- •5.4. Управление кадрами
- •Список рекомендуемой литературы
- •Экзаменационные вопросы по курсу
Основные типы политики
Термин Политика компьютерной безопасности имеет различное содержание для различных людей. Это может быть директива одного из руководителей организации по организации программы компьютерной безопасности., устанавливающая ее цели и назначающая ответственных за ее выполнение. Или это может быть решение начальника отдела в отношении безопасности электронной почты или факсов. Или это могут быть правила обеспечения безопасности для конкретной системы (это такие типы политик, про которые эксперты в компьютерной безопасности говорят, что они реализуются программно-аппаратными средствами и организационными мерами). В этом документе под политикой компьютерной безопасности будем понимать документ, в котором описаны решения в отношении безопасности. Под это определение подпадают все типы политики, описанные ниже.
При принятии решений администраторы сталкиваются с проблемой совершения выбора на основе учета принципов деятельности организации, соотношения важности целей, и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.
Необходимым элементом политики является принятие решения в отношении данного вопроса. Оно задаст направление деятельности организации. Для того чтобы политика была успешной, важно, чтобы было обоснованно выбрано одно направление из нескольких возможных.
Что там должно быть
Как описано в "NIST Computer Security Handbook", обычно политика должна включать в себя следующие части:.
Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики - это может помочь добиться соблюдения политики. В отношении политики безопасности в Интернете организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с Интернетом (напрямую или опосредованно) или собственно соединения Интернет. Эта политика также может определять, учитываются ли другие аспекты работы в Интернете, не имеющие отношения к безопасности, такие как персональное использование соединений с Интернетом.
Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться Интернетом и при каких условиях.
Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.
Роли и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в Интернете, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.
Соблюдение политики. Для некоторых видов политик Интернета может оказаться уместным описание, с некоторой степенью детальности, нарушений , которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.
Консультанты по вопросам безопасности и справочная информация. Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности. Они должны уметь разъяснять правила работы в Интернете или правила работы на конкретной системе.