Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Политика безопасности верхних уровней – правового и административного
Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима БИ. Чтобы достичь данной цели, следует учитывать специфику конкретной организации. К политике безопасности верхнего уровня можно отнести решения, затрагивающие организацию в целом. Они носят общий характер и, как правило, исходят от руководства организации. Список подобных решений включает в себя следующие элементы: · формирование или пересмотр комплексной программы обеспечения БИ, определение ответственных за продвижение программы; · формулировка целей, которые преследует организация в области БИ, определение общих направлений в достижении этих целей; · обеспечение базы для соблюдения законов и правил; · формулировка решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом. Цели организации в области БИ формулируются в терминах конфиденциальности, целостности и доступности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение случаев потерь, повреждений или искажений данных. Организация в первую очередь заботится о защите от НСД - конфиденциальности. На верхний уровень политики безопасности выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального личного состава для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим секретности. Политика безопасности верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации. Однако может быть и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы. В политике определяются обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь. В этом смысле политика является основой подотчетности персонала. Политика безопасности верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:
· организация должна соблюдать существующие законы; · следует контролировать действия лиц, ответственных за выработку программы безопасности; · необходимо обеспечить определенную степень послушания персонала, а для этого нужно выработать систему поощрений и наказаний. На верхний уровень политики безопасности выносится минимум вопросов. Подобное вынесение целесообразно, если оно сулит значительную экономию средств или когда иначе поступить просто невозможно. Условно верхний уровень подразделяется на два подуровня: правовой и административный. Правовое обеспечение БИ в РФ регулируется следующими законами: · Конституция Российской Федерации от 12.12.93 г; · Закон РФ «Об информации, информатизации и защите информации» от 20.02.95; · Закон РФ «О государственной тайне» от 21.07.93. · Концепция информационной безопасности РФ от 9.9.2000 г. Административные мероприятия по ЗИ в АС заключаются в разработке и реализации административных мер при подготовке и эксплуатации системы. Административные меры, не смотря на постоянное совершенствование технических мер, составляют значительную часть (40 %) системы защиты. Они используются тогда, когда АС не может непосредственно контролировать использование информации. В целях повышения эффективности защиты иногда технические меры продублировать административными. Административные меры по защите систем в процессе их функционирования подготовки к нему охватывают решения и процедуры, принимаемые руководством организации – потребителем системы. Хотя некоторые из них могут определяться внешними факторами, например, законами или правительственными постановлениями, большинство проблем решается внутри организации в конкретных условиях. Административный уровень предусматривает поддержание правовой базы БИ и разработку (введение в действие) таких документов, как: · Положение о сохранности информации ограниченного распространения. Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, учреждениям и организациям;
· Перечень сведений, составляющих служебную, коммерческую, банковскую или другую тайну. Перечень определяет сведения, отнесенные к этим категориям, уровень и сроки обеспечения ограничений по доступу к защищаемой информации; · Приказы и распоряжения по установлению режима БИ: - о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации; - о вводе в эксплуатацию объектов информатизации; - о назначении выделенных помещений; - о допуске сотрудников к работе с информацией ограниченного распространения; - о назначении лиц ответственных за обеспечение сохранности информации ограниченного распространения в АС. · Инструкции и функциональные обязанности личному составу: - по организации охранно-пропускного режима; - по организации делопроизводства; - по организации работы с информацией на магнитных носителях; - о защите информации ограниченного распространения в АС; - по организации модификаций аппаратно-программных конфигураций ЭВМ; - другие нормативные документы. Административные меры по ЗИ в АС должны охватывать этапы проектирования, разработки, изготовления, испытаний, подготовки к эксплуатации и эксплуатационные системы.
|
||||||
Последнее изменение этой страницы: 2017-02-10; просмотров: 267; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.219.208.117 (0.006 с.) |