Типы оградительных сооружений в морском порту: По расположению оградительных сооружений в плане различают волноломы, обе оконечности...
Двойное оплодотворение у цветковых растений: Оплодотворение - это процесс слияния мужской и женской половых клеток с образованием зиготы...
Топ:
Особенности труда и отдыха в условиях низких температур: К работам при низких температурах на открытом воздухе и в не отапливаемых помещениях допускаются лица не моложе 18 лет, прошедшие...
Марксистская теория происхождения государства: По мнению Маркса и Энгельса, в основе развития общества, происходящих в нем изменений лежит...
Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов...
Интересное:
Подходы к решению темы фильма: Существует три основных типа исторического фильма, имеющих между собой много общего...
Лечение прогрессирующих форм рака: Одним из наиболее важных достижений экспериментальной химиотерапии опухолей, начатой в 60-х и реализованной в 70-х годах, является...
Распространение рака на другие отдаленные от желудка органы: Характерных симптомов рака желудка не существует. Выраженные симптомы появляются, когда опухоль...
Дисциплины:
2017-06-29 | 1059 |
5.00
из
|
Заказать работу |
|
|
Термин «политика безопасности» является не совсем точным переводом английского словосочетания «security policy». Здесь имеются в виду не отдельные правила или их наборы, а стратегия организации в области информационной безопасности.
Под политикой безопасности понимают совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности - набор законов, правил практического опыта, на основе которого строится управление, защита и распределение конфиденциальной информации в системе.
Политика безопасности реализуется при помощи организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также при помощи средств управления механизмами защиты.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.
Наиболее часто рассматривается политика безопасности связанная с понятием доступа.
Доступ — категория субъектно-объектной модели, описывающей процесс выполнения операций субъектов (активный компонент компьютерной системы) над объектами (пассивный компонент компьютерной системы). [2]
Существуют различные уровни защиты информации.
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации к обеспечению защиты информации. Главная цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
|
Политика безопасности административного уровня — это совокупность документированных решений, принимаемых руководством организации и на правленых на защиту информации и ассоциированных с ней ресурсов.
Выработку политики безопасности и ее содержания рассматривают на трех горизонтальных уровнях детализации:
· Верхний уровень — вопросы, относящиеся к организации в целом;
· Средний уровень — вопросы, касающиеся отдельных аспектов информационной безопасности;
· Нижний уровень — вопросы, относящиеся к конкретным сервисам;
Более подробно эти уровни рассмотрим ниже.
После формулирования политики безопасности составляется программа обеспечения информационной безопасности. Она так же структурируется по уровням:
· Верхний уровень (центральный) — охватывает всю организацию;
· Нижний уровень (служебный) — относится к отдельным услугам или группам однородных сервисов.
Разработка и реализация политики безопасности.
Разработка политики информационной безопасности в общем случае является итерационной процедурой, состоящей из выполнения следующих шагов:
Первый шаг — разработка гипотетически идеальной для организации политики, куда закладываются те требования, которые идеально подходят для данной организации — формулируется некий идеальный профиль защиты.
Второй шаг- выбор (или разработка) системы защиты, максимально обеспечивающей выполнение требований гипотетически идеальной политики информационной безопасности.
Третий шаг — определение требований политики информационной безопасности, которые не выполняются системой защиты.
Политика безопасности верхнего уровня, затрагивающая всю организацию в целом, включает в себя:
а) решение сформировать или изменить комплексную программу обеспечения информационной безопасности;
|
б) формулирование целей организации в области информационной безопасности, определение общих направлений в достижении данных целей;
в) обеспечение нормативной базы для соблюдения законов и правил;
г) формулирование административных решений по вопросам, затрагивающих организацию в целом.
На данном уровне решаются следующие вопросы:
а) управление ресурсами защиты и координация использования данных ресурсов;
б) выделение персонала для защиты конфиденциально важных систем;
в) определение взаимодействия с внешними организациями, обеспечивающими или контролирующими режим безопасности;
г) определение правил соблюдения законодательных и нормативных правил, контроля за действием сотрудников, выработка системы поощрений и наказаний.
К среднему уровню относят вопросы, относящиеся к отдельным аспектам информационной безопасности. Например, организация доступа сотрудников в сеть Интернет или установка и использование ПО.
Политика среднего уровня для каждого аспекта должна освещать: описание объекта; область применения; позицию организации по данному вопросу; роли и обязанности персонала; точки контакта различные подразделений.
Политика безопасности нижнего уровня относится к работе конкретных информационных сервисов. Она включает в себя два аспекта:
1) Цели
2) Правила достижения поставленных целей
Политика безопасности нижнего уровня должна быть выражена полно, четко и конкретно. Например, определять сотрудников, имеющих право на работу с конкретной информационной системой и данными.
Из целей выводятся правила безопасности, описывающие кто, что и при каких условиях может выполнять те или иные процедуры с информационными сервисами. Для разработки целей безопасности создается комитет по информационной безопасности.
Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17 799).
В настоящее время сформировалась так называемая лучшая практика (best practices) политик информационной безопасности. Это прежде всего практика разработки политик, процедур, стандартов и руководств безопасности таких признанных технологических лидеров, как IBM, Sun Microsystems, Microsoft, Symantec и пр.
|
|
Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...
Археология об основании Рима: Новые раскопки проясняют и такой острый дискуссионный вопрос, как дата самого возникновения Рима...
Индивидуальные и групповые автопоилки: для животных. Схемы и конструкции...
Автоматическое растормаживание колес: Тормозные устройства колес предназначены для уменьшения длины пробега и улучшения маневрирования ВС при...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!