Политика безопасности организации.

Утробин Никита Валерьевич

Проверил:

Профессор, д.т.н.

Климов Игорь Зенонович

 

Ижевск 2012

 

Содержание

Введение……………………………………………………………………………..………3

1.Политика безопасности организации……………………………….….…….…...…...4

1.1 Базовая политика безопасности……………………………………..…………….......4

1.2Специализированные политики безопасности…………………….………….………5

1.2.1Политика допустимого использования…………………………………..……….5

1.2.2Политика удаленного доступа…………………………………………….……....6

1.3Процедуры безопасности………………………………………….…………………..7

2.Выработка стратегии защиты информации………………………………….….……8

3. Выработка политики безопасности…………………………………..……………….10

4.Уровни политики безопасности……………………………………………….…….....12

Верхний уровень…………………………………………………………….………....12

Средний уровень………………………………………………………….……………13

Нижний уровень……………………………………………………………….……….14

5.Политика безопасности гипотетической организации. ………………….…………16

6.Основные требования…………………………………………………………...……….17

Заключение………………………………………………………………………………….19

Список использованной литературы…………………………………………………….20

 

 

 

Введение

На сегодняшний день существует огромное количество организаций, занимающихся различными видами деятельности, производства. Они конкурируют между собой за право называться лучшей, качественной, а что немало важно серьезной, защищенной организацией. В наше время, а именно время информационных технологий,руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен сделать руководитель организации - это выработать политику безопасности, определяющую общее направление работ. Которая будет применима к персоналу, работающему с информационными системами, а так же к персоналу, производящему физическую и интеллектуальную охрану.

Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов.

Давно известно, что существуют

Ключевые механизмы безопасности:

· идентификация и аутентификация;

· управление доступом;

· протоколирование и аудит;

· криптография;

Но знание ключевых механизмов не обеспечит организации полноценную защиту, необходимо четко сформулировать политику безопасности организации, а именно:

· Структуру, т.е. ее составные части.

· Уровни, разделение полномочий и принятие решений.

· Стратегию, четкая формулировка задач.

И только благодаря своевременному формированию политики безопасности самой организации, как в целом, так и по компонентно, организация может быть уверена в безопасности, а главное целостности своих данных.

 

 

Политика безопасности организации.

Информационная безопасность — это состояние защищённости информационной среды. Сама же защита информации представляет собой деятельность для предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

В то время, информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

На данный момент для большинства организаций политика безопасности абсолютно необходима. В первую очередь она определяет отношение организации к обеспечению безопасности и необходимые действия организации по защите своих ресурсов и данных. На основе политики безопасности устанавливаются необходимые средства и процедуры для обеспечения безопасности, а также определяются роли и ответственность сотрудников организации в обеспечении безопасности.

Политика безопасности организации включает:

• Базовую политику безопасности;

• Специализированные политики безопасности;

• Процедуру безопасности.

 

Рис.1.Схема политики безопасности в организации

 

Процедуры безопасности

Для любой организации процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Поскольку политики безопасности только описывают, что должно быть защищено и каковы основные правила защиты, то процедуры безопасности определяют, как защитить ресурсы и каковы механизмы исполнения политики, другими словами как реализовать политику безопасности.

Процедуры безопасности:

· Определяют действия, которые необходимо предпринять при реагировании на конкретные события;

· Обеспечивают быстрое реагирование в критической ситуации;

· Помогают устранить проблему отказа в работе, если, например, во время кризиса работник неожиданно покидает рабочее место или оказывается недоступен.

Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении. Существуют несколько важных процедур безопасности, которые необходимы почти каждой организации.

Первая из них - это процедура реагирования на события. Она является необходимым средством безопасности для большинства организаций. Организация особенно уязвима, когда обнаруживается вторжение в ее сеть или когда она сталкивается со стихийным бедствием. Процедуру реагирования на события иногда называют процедурой обработки событий или процедурой реагирования на инциденты. Практически невозможно указать отклики на все события нарушений безопасности, но нужно стремиться охватить основные типы нарушений, которые могут произойти. Например: сканирование портов сети, атака типа «отказ в обслуживании», компрометация хоста, НСД и др.
Данная процедура определяет:
• обязанности членов команды реагирования;
• какую информацию регистрировать и прослеживать;
• как обрабатывать исследование отклонений от нормы и атаки вторжения;
• кого и когда уведомлять;
• кто может выпускать в свет информацию и какова процедура выпуска информации;
• как должен выполняться последующий анализ и кто будет в этом участвовать.

Вторая – это Процедура управления конфигурацией. Обычно определяется на корпоративном уровне или уровне подразделения. Эта процедура должна определить процесс документирования и запроса изменений конфигурации на всех уровнях принятия решений. В принципе должна существовать центральная группа, которая рассматривает все запросы на изменения конфигурации и принимает необходимые решения.
Процедура управления конфигурацией определяет:
• кто имеет полномочия выполнить изменения конфигурации аппаратного и программного обеспечения;
• как тестируется и инсталлируется новое аппаратное и программное обеспечение;
• как документируются изменения в аппаратном и программном обеспечении;
• кто должен быть проинформирован, когда случаются изменения в аппаратном и программном обеспечении.

Процесс управления конфигурацией важен, так как

· документирует сделанные изменения и обеспечивает возможность аудита;

· документирует возможности системы;

· дает способ координировать изменения так, чтобы одно изменение не помешало другому.

Описание аспекта.

Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям разделять программы и данные, что увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Это и преследует две главные цели - продемонстрировать сотрудникам важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как и самой сети.

Область применения.

В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на сотрудников и поставщиков.

Позиция организации.

Целью организации АБВ является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

· Обеспечение уровня безопасности, соответствующего нормативным документам.

· Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности).

· Обеспечение безопасности в каждой функциональной области локальной сети.

· Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.

· Обеспечение анализа регистрационной информации.

· Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.

· Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.

· Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Законопослушность.

Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения со стороны персонала будут рассматриваться руководством для принятия мер вплоть до увольнения.

6.Основные требования, предъявляемые к комплексной системе защиты информации в организации.

Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

— она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;

— она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;

— она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;

— она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;

— она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации;

— она должна быть компонентно, логически, технологически и экономически обоснованной;

— она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;

— она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;

— она должна быть непрерывной;

— она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации — непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:

 

— безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;

— никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;

— никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.

 

Данные требования и пути совершенствования являются основными, вне зависимости от типа организации и её вида деятельности. Особенно хотелось бы обратить внимание на последнюю фразу, о том, что никакую систему нельзя считать абсолютно надежной. У руководителя организации никогда не должна быть полная уверенность, что его система защищена, ведь всегда найдется такой человек, который сможет взломать/разрушить эту систему. Не стоить забывать и про подотчетность нижестоящим органам вышестоящим, организация должна работать как одна единственная система.

 

 

Заключение

В работе была рассмотрена структура политики безопасности в организации. Было выявлено, что основными ее компонентами являются базовая политика безопасности, специализированная политика безопасности и процедура безопасности. Также в работе была представлена стратегия политики и ее внедрение в организацию. Далее были рассмотрены уровни политики безопасности.

Тенденция развития безопасности, в частности информации, развивается с огромной скоростью. Но к сожалению для нее характерно наличие злоумышленника, желающего получить/уничтожить вашу информацию. Для обычных пользователей, кража данных, конечно, не приятный факт, но не является настолько губительным, как для организаций, особенно государственных. Вне зависимости, какой тип организации, будь он государственный, частный, или же коммерческий для нее необходимо наличие политики безопасности. По курсовой работе видно, что политика безопасности имеет четко определенную структуру и разделена по уровням. Политика безопасности для любой организации, имеет немаловажный фактор, а может быть и основной, ведь при потере конфиденциальных данных организация может потерять огромную прибыль, а то и вовсе обанкротиться.

 

Список использованной литературы

1) Международный стандарт ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью.”

2) Гладких А.А..Базовые принципы информационной безопасности вычислительных сетей: Учебное пособие – У.: УлГТУ, 2009. - 168 с.

3) Галатенко В.А.. Основы информационной безопасности - М.: Интернет-университет информационных технологий - ИНТУИТ.ру, 2004. - 280 стр.

4) Стандарты и спецификации в области информационной безопасности: http://www.uchi-it.ru/2/3/5.html

5) План-проспект политики безопасности: http://itzashita.ru/designing/plan-prospekt-politiki-bezopasnosti-chast-1-osnovnye-ponyatiya-i-opredeleniya.html

Утробин Никита Валерьевич

Проверил:

Профессор, д.т.н.

Климов Игорь Зенонович

 

Ижевск 2012

 

Содержание

Введение……………………………………………………………………………..………3

1.Политика безопасности организации……………………………….….…….…...…...4

1.1 Базовая политика безопасности……………………………………..…………….......4

1.2Специализированные политики безопасности…………………….………….………5

1.2.1Политика допустимого использования…………………………………..……….5

1.2.2Политика удаленного доступа…………………………………………….……....6

1.3Процедуры безопасности………………………………………….…………………..7

2.Выработка стратегии защиты информации………………………………….….……8

3. Выработка политики безопасности…………………………………..……………….10

4.Уровни политики безопасности……………………………………………….…….....12

Верхний уровень…………………………………………………………….………....12

Средний уровень………………………………………………………….……………13

Нижний уровень……………………………………………………………….……….14

5.Политика безопасности гипотетической организации. ………………….…………16

6.Основные требования…………………………………………………………...……….17

Заключение………………………………………………………………………………….19

Список использованной литературы…………………………………………………….20

 

 

 

Введение

На сегодняшний день существует огромное количество организаций, занимающихся различными видами деятельности, производства. Они конкурируют между собой за право называться лучшей, качественной, а что немало важно серьезной, защищенной организацией. В наше время, а именно время информационных технологий,руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен сделать руководитель организации - это выработать политику безопасности, определяющую общее направление работ. Которая будет применима к персоналу, работающему с информационными системами, а так же к персоналу, производящему физическую и интеллектуальную охрану.

Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов.

Давно известно, что существуют

Ключевые механизмы безопасности:

· идентификация и аутентификация;

· управление доступом;

· протоколирование и аудит;

· криптография;

Но знание ключевых механизмов не обеспечит организации полноценную защиту, необходимо четко сформулировать политику безопасности организации, а именно:

· Структуру, т.е. ее составные части.

· Уровни, разделение полномочий и принятие решений.

· Стратегию, четкая формулировка задач.

И только благодаря своевременному формированию политики безопасности самой организации, как в целом, так и по компонентно, организация может быть уверена в безопасности, а главное целостности своих данных.

 

 

Политика безопасности организации.

Информационная безопасность — это состояние защищённости информационной среды. Сама же защита информации представляет собой деятельность для предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

В то время, информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

На данный момент для большинства организаций политика безопасности абсолютно необходима. В первую очередь она определяет отношение организации к обеспечению безопасности и необходимые действия организации по защите своих ресурсов и данных. На основе политики безопасности устанавливаются необходимые средства и процедуры для обеспечения безопасности, а также определяются роли и ответственность сотрудников организации в обеспечении безопасности.

Политика безопасности организации включает:

• Базовую политику безопасности;

• Специализированные политики безопасности;

• Процедуру безопасности.

 

Рис.1.Схема политики безопасности в организации