Политика безопасности среднего уровня гипотетической организации.

Дабы разобрать политику безопасности, характерную гипотетическим организациям, можно рассмотреть гипотетическую локальную сеть организации АБВ, которой владеет данная организация, и ассоциированную с ней политику безопасности среднего уровня.

Описание аспекта.

Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям разделять программы и данные, что увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Это и преследует две главные цели - продемонстрировать сотрудникам важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как и самой сети.

Область применения.

В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на сотрудников и поставщиков.

Позиция организации.

Целью организации АБВ является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

· Обеспечение уровня безопасности, соответствующего нормативным документам.

· Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности).

· Обеспечение безопасности в каждой функциональной области локальной сети.

· Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.

· Обеспечение анализа регистрационной информации.

· Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.

· Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.

· Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей.

Перечисленные группы людей отвечают за реализацию сформулированных ранее целей.

Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Законопослушность.

Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения со стороны персонала будут рассматриваться руководством для принятия мер вплоть до увольнения.

6.Основные требования, предъявляемые к комплексной системе защиты информации в организации.

Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

— она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;

— она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;

— она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;

— она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;

— она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;

— она должна быть компонентно, логически, технологически и экономически обоснованной;

— она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;

— она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;

— она должна быть непрерывной;

— она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации — непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:

 

— безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;

— никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;

— никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.

 

Данные требования и пути совершенствования являются основными, вне зависимости от типа организации и её вида деятельности. Особенно хотелось бы обратить внимание на последнюю фразу, о том, что никакую систему нельзя считать абсолютно надежной. У руководителя организации никогда не должна быть полная уверенность, что его система защищена, ведь всегда найдется такой человек, который сможет взломать/разрушить эту систему. Не стоить забывать и про подотчетность нижестоящим органам вышестоящим, организация должна работать как одна единственная система.

 

 

Заключение

В работе была рассмотрена структура политики безопасности в организации. Было выявлено, что основными ее компонентами являются базовая политика безопасности, специализированная политика безопасности и процедура безопасности. Также в работе была представлена стратегия политики и ее внедрение в организацию. Далее были рассмотрены уровни политики безопасности.

Тенденция развития безопасности, в частности информации, развивается с огромной скоростью. Но к сожалению для нее характерно наличие злоумышленника, желающего получить/уничтожить вашу информацию. Для обычных пользователей, кража данных, конечно, не приятный факт, но не является настолько губительным, как для организаций, особенно государственных. Вне зависимости, какой тип организации, будь он государственный, частный, или же коммерческий для нее необходимо наличие политики безопасности. По курсовой работе видно, что политика безопасности имеет четко определенную структуру и разделена по уровням. Политика безопасности для любой организации, имеет немаловажный фактор, а может быть и основной, ведь при потере конфиденциальных данных организация может потерять огромную прибыль, а то и вовсе обанкротиться.

 

Список использованной литературы

1) Международный стандарт ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью.”

2) Гладких А.А..Базовые принципы информационной безопасности вычислительных сетей: Учебное пособие – У.: УлГТУ, 2009. - 168 с.

3) Галатенко В.А.. Основы информационной безопасности - М.: Интернет-университет информационных технологий - ИНТУИТ.ру, 2004. - 280 стр.

4) Стандарты и спецификации в области информационной безопасности: http://www.uchi-it.ru/2/3/5.html

5) План-проспект политики безопасности: http://itzashita.ru/designing/plan-prospekt-politiki-bezopasnosti-chast-1-osnovnye-ponyatiya-i-opredeleniya.html