Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Разработка организационно-распорядительных документов по обеспечению информационной безопасности
Одним из направлений в области услуг по информационной безопасности является разработка организационно-распорядительных документов различного уровня. Документы верхнего уровня – концепция информационной безопасности и политика ИБ определяют общие взгляды и идеологию компании в области защиты информации. Регламентирующие документы – это различные политики и регламенты, в частности политика резервного копирования, регламент доступа пользователей к сети Интернет и т. д., а также различные инструкции и положения. Наряду с этим наша компания оказывает весь спектр услуг по созданию документов по техническому и рабочему проектированию. Система управления информационной безопасностью организации строится из двух основных компонентов – регулярной оценки рисков и четкой регламентации принципов, процессов и отдельных процедур, направленных на обеспечение безопасности информационных систем. В этой связи одним из приоритетных направлений является предоставление услуг по разработке пакета нормативных и организационно-распорядительных документов, описывающих совокупность политик информационной безопасности организации. Такими документами являются: концепция информационной безопасности; политики информационной безопасности, включая инструкции, регламенты и другие нормативные документы; план развития системы информационной безопасности. КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Концепция информационной безопасности создается в качестве основы для дальнейшего построения и развития СУИБ. Концепция определяет политику организации в области защиты информации в целом и создается на основе существующих нормативно-правовых актов, регламентирующих вопросы защиты информации. Концепция может включать в себя следующие разделы: · цели и задачи защиты информации; · основные принципы построения системы информационной безопасности; · обобщенное описание объектов защиты; модель угроз и модель нарушителя; · принципы контроля эффективности системы ИБ. Политики информационной безопасности Политики информационной безопасности представляют собой свод нормативных документов, содержащих требования к обеспечению ИБ и распределение обязанностей и ответственности. Кроме этого, политиками ИБ регламентируются процедуры проектирования, внедрения и поддержки средств и систем защиты организации.
Комплект политик информационной безопасности включает в себя следующие документы: · требования по обеспечению ИБ; · положение об обеспечении ИБ; · описание процессов СУИБ; · политика управления доступом; · политика использования паролей; · политика определения уровня конфиденциальности информации; · политика передачи информации третьим лицам и организациям; · политика использования Интернета; · политика использования электронной почты; · политика резервного копирования; · политика и порядок внесения изменений в систему; операционные инструкции и регламенты в контексте процессов СУИБ; · положения о функциональных обязанностях по обеспечению ИБ, возложенных на персонал организации; · план по обеспечению непрерывности работы и восстановлению систем. Эти документы, в совокупности с организационно-распорядительными документами (приказами и распоряжениями по организации), полностью описывают СУИБ и четко определяют разделение обязанностей и ответственности персонала за обеспечение ИБ. План развития системы информационной безопасности Данный документ представляет собой перечень основных текущих и перспективных мероприятий по совершенствованию (или созданию) системы защиты информации. В его состав входят следующие разделы: · перечень основных задач и приоритетов; · порядок внедрения дополнительных подсистем информационной безопасности или модернизации существующих; · состав технических средств и порядок их внедрения; · состав организационных мероприятий по повышению уровня защищенности информационных ресурсов. Преимущества: четкое распределение ответственности за информационную безопасность; инструкции и рекомендации на случай возникновения инцидентов безопасности; осведомленность сотрудников о своих обязанностях по обеспечению ИБ; обеспечение непрерывности бизнес-процессов. Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.
Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности. Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и так и смешанно-программно-аппаратными средствами. В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на следующей схеме (рис. 5.1).
Рис. 5.1. Угрозы конфиденциальной информации
Такими действиями являются: ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности; модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений; разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба. В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что, в свою очередь, приводит к нарушению как режима, управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб – моральный или материальный, а защита и противодействие угрозе призваны снизить ее величину хотя бы частично. С учетом сказанного угрозы могут быть классифицированы следующим образом: По величине нанесенного ущерба: предельный, после которого фирма может стать банкротом; значительный, но не приводящий к банкротству; незначительный, который фирма за какое-то время может компенсировать и др. по вероятности возникновения: весьма вероятная угроза; вероятная угроза; маловероятная угроза; по причинам появления: стихийные бедствия; преднамеренные действия; по характеру нанесенного ущерба: материальный; моральный; по характеру воздействия: активные; пассивные; по отношению к объекту: внутренние; внешние. Источниками внешних угроз являются: недобросовестные конкуренты;преступные группировки и формирования;отдельные лица и организации административно-управленческого аппарата. Источниками внутренних угроз могут быть: администрация предприятия; персонал; технические средства обеспечения производственной и трудовой деятельности. Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так: · 82 % угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии; · 17 % угроз совершается извне – внешние угрозы; · 1 % угроз совершается случайными лицами.
|
||||||
Последнее изменение этой страницы: 2017-02-21; просмотров: 1004; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.119.111.9 (0.008 с.) |