Административный уровень иб: политики безопасности и управление рисками. Основа административного уровня

Страницы работы

26 страниц (Word-файл)

Фрагмент текста работы

АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ИБ: ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ РИСКАМИ

1

кандидат технических наук, доцент

ЦЕЛИ И ЗАДАЧИ АДМИНИСТРАТИВНОГО УРОВНЯ ИБ

2

  • Главная цель мер административного уровня:
  • сформировать программу работ по защите информации (обеспечению безопасности информации),
  • обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
  • Основа административного уровня - политика безопасности (ПБ), отражающая стратегию организации в области защиты своих информационных активов.
  • Под политикой безопасности на административном уровне понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

ЦЕЛИ И ЗАДАЧИ АДМИНИСТРАТИВНОГО УРОВНЯ ИБ

3

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Составление карты информационной системы обеспечивает учет актуальных данных, позволяя варьировать как уровень детализации, так и видимые грани объектов. Карта информационной системы - это описание ее структуры (компонентов системы и их взаимосвязей) с некоторым уровнем детализации. Выбор правильного уровня детализации и отражаемых граней – одна из основных задач.

4

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ. ВЕРХНИЙ УРОВЕНЬ

  • Выделяются три уровня политики безопасности.
  • Верхний уровень:
  • решения общего характера, затрагивающие организацию в целом;
  • цели формулируются в терминах целостности, доступности и конфиденциальности;
  • четко очерченная сфера влияния (например, ресурсы КИС)
  • является основой подотчетности персонала

5

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ ВЕРХНИЙ УРОВЕНЬ

  • На верхний уровень выносится минимум вопросов
  • Критерии вынесения:
  • возможность обеспечить значительную экономию средств
  • определяющие общий порядок работ в масштабах предприятия.
  • Затрагиваются три аспекта исполнительской дисциплины:
  • соблюдение существующего законодательства
  • контроль действия лиц, ответственных за выработку программы безопасности.
  • обеспечение исполнительности персонала (система поощрений и наказаний).
  • Типовая структура документов верхнего уровня определяется стандартом ISO 17799

17

СТАНДАРТ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ISO / IEC 17799

  • 1 часть. Практические правила по управлению информационной
  • безопасностью. Предназначен для руководителей и сотрудников,
  • отвечающих за планирование, реализацию и поддержание системы
  • информационной безопасности.
  • Основные группы мероприятий по обеспечению ИБ:
  • политика безопасности;
  • общеорганизационные аспекты защиты;
  • классификация активов и управление ими;
  • безопасность персонала;
  • физической безопасности и безопасность окружающей среды;
  • администрирование систем и сетей;
  • управление доступом к системам и сетям;
  • разработка и сопровождение информационных систем;
  • управление бесперебойной работы организации;
  • контроль соответствия требованиям.

6

ПОЛИТИКА БЕЗОПАСНОСТИ.

См. Word-файл «Структура политики по ИСО 17799»

8

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ. СРЕДНИЙ УРОВЕНЬ.

  • Средний уровень:
  • вопросы по отдельным аспектам ИБ, важные для различных эксплуатируемых в организации систем. Например:
  • отношение к передовым (но, возможно, недостаточно проверенным) технологиям;
  • доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз
  • использование домашних компьютеров
  • применение пользователями неофициального программного обеспечения
  • И т.д.

9

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ СРЕДНИЙ УРОВЕНЬ

Описание аспекта (например: ПО, которое не было одобрено и/или закуплено на уровне организации) Область применения: где, когда, как, по отношению к кому и чему применяется данная ПБ (Например, касается ли политика, связанная с использованием неофициального ПО, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами ) Позиция организации по данному аспекту (полный запрет, процедура приемки и т.п.). Роли и обязанности (кто дает разрешение, кто контролирует и т.п. ). Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них. Точки контакта. Куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

10

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ НИЖНИЙ УРОВЕНЬ

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Включает два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. Примеры вопросов, на которые следует дать ответ в политике безопасности нижнего уровня: кто имеет право доступа к объектам, поддерживаемым сервисом? при каких условиях можно читать и модифицировать данные? как организован удаленный доступ к сервису?

11

ПРОГРАММА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ

  • Верхний (центральный) уровень: Возглавляет лицо, отвечающее

Похожие материалы

Информация о работе