Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Концепция и политика безопасности как основные элементы ксзи.
Понятие политика ИБ используется применительно для организации соответствующих мероприятий в интересах конкретного ХС. Если понятие концепция где-то встречается, то только по отношению к целым государствам. При этом целью разработки политики ИБ является необходимость сформулировать задачи и обеспечить поддержку мероприятий в области ИБ со стороны руководства ХС. При разработке документа, в котором изложена политика ХС в области ИБ, его руководство должно поставить четкую цель и показать свою заинтересованность в вопросах ИБ предприятия и в распространении политики среди сотрудников. При этом указывается, что данный документ должен быть доступен всем сотрудникам, отвечающим за обеспечение режима ИБ и содержать следующие основные разделы: · определение ИБ; · причины, по которым ИБ имеет большое значение для организации; · цели и показатели ИБ, допускающие возможность измерения. Концепция информационной безопасности, в котором излагается система взглядов, целей и задач, основных принципов и способов достижения требуемого уровня защищенности информации. Политика должна описывать общий подход к ИБ. В качестве еще одного примера рассмотрим типовую политику безопасности компании Cisco, которая, как правило, состоит из семи разделов: · введение, в котором описывается необходимость появления данного документа (в ряде случаев отсутствует); · цель политики. Описываются цели создания данного документа (в частности, для парольной политики – «установление стандартов для создания «сильных» паролей, их защиты и регулярной смены»); · область применения. Описываются объекты или субъекты, которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»); · политика. Описываются сами требования (так, парольная политика Cisco содержит пять подразделов: «Создание паролей», «Изменение паролей», «Защита паролей», «Использование паролей при разработке приложений», «Использование паролей при удаленном доступе»); · ответственность. Описываются меры воздействия на нарушителей указанных в предыдущем разделе требований; · термины и определения;
· история изменений данной политики. Дает возможность отследить все внесенные в документ изменения (дата, автор, краткая сущность изменения). Такая структура позволяет лаконично (на 2–3 страницах) описать все основные моменты, связанные с предметом политики безопасности. При этом надо постоянно помнить, что концепция – это не описание способа реализации. В ней нельзя «привязываться» к конкретным техническим решениям, продуктам и производителям. Иначе изменение политической ситуации в компании, рыночной ситуации, партнеров и конкурентов приведет к необходимости изменения концепции ИБ, а этого происходить не должно. Концепция информационной безопасности позволяет: - определить тактические и стратегические задачи службы безопасности в информационной сфере; - разграничить обязанности и полномочия структурных подразделений предприятия; - правильно спланировать мероприятия по обеспечению информационной безопасности на предприятии. Для разработки Концепции, как правило, необходимо провести комплекс работ, включающий: - анализ существующей организационно-распорядительной документации и неформальных требований, отражающих текущую или желаемую политику безопасности; - определение целей и задач системы информационной безопасности; - разработку моделей угроз информационной безопасности и моделей нарушителя; - определение нормативно-правовой базы информационной безопасности; - определение требований к комплексу мер и средств обеспечения информационной безопасности; - разработку основных положений системы управления информационной безопасностью. В основе организационных мер защиты информации лежит политика безопасности, от эффективности которой в наибольшей степени зависит успешность мероприятий по обеспечению информационной безопасности. Любое предприятие следует или формальной, или неофициальной политике безопасности. В то же время все больше руководителей приходит к выводу о том, что для успешного ведения бизнеса необходима политика безопасности, изложенная в виде доступных для понимания документов, учитывающих специфику предприятия. Это могут быть следующие документы:
- правила работы пользователей в корпоративной сети; - политика обеспечения безопасности удаленного доступа к ресурсам корпоративной сети; - политика обеспечения безопасности при взаимодействии с сетью Интернет; - антивирусная политика, инструкция по защите от компьютерных вирусов; - политика выбора и использования паролей; - правила предоставления доступа к ресурсам корпоративной сети; - политика установки обновлений программного обеспечения; - политика и регламент резервного копирования и восстановления данных; - соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями.
11.Кадровое обеспечение КСЗИ: понятие, структура, подготовка. Кадровое обеспечение СОИБ является весьма важным, потому что конкретная реализация любого мероприятия, связанного с режимом ИБ ХС, его качество и результативность основывается на человеческом факторе. До недавнего времени решение проблемы кадрового обеспечения в области информационной безопасности в России находилось в ведении силовых ведомств, таких как Федеральная служба безопасности, Министерство обороны, Министерство внутренних дел и некоторые другие. Сам подход, основанный только на понятиях государственной, военной тайны при практическом отрицании понятия коммерческой тайны, имел существенные ограничения в выборе возможных решений проблемы обеспечения информационной безопасности. В разделе 2.3 был определен порядок и структура декомпозиции СОИБ, в которой предусмотрены 4 уровня иерархии. Применим данный подход к анализу кадрового обеспечения СОИБ. На основе системного подхода подсистему кадрового обеспечения будем рассматривать как сложную систему (рис.5.1). Таким образом, мы определили следующие три направления деятельности в организации и функционировании данной подсистемы: · подготовка кадров; · подбор персонала ХС для обеспечения ИБ; · формирование профессиональной этики специалиста в области ИБ. Таким образом, можно констатировать, что к настоящему времени в РФ сложилась система подготовки специалистов с высшим образованием в области ИБ. Однако нельзя не упомянуть о проблемах, связанных с реализацией образовательных программ. Как уже отмечалось, больше половины потерь, которые несут компании из-за инцидентов в области информационной безопасности, вызваны действиями персонала. В настоящих условиях кроме получения основного образования весьма актуальными остаются и другие формы подготовки, переподготовки или повышения квалификации кадров по вопросам обеспечения ИБ. Такие формы образовательной деятельности реализуются как учебными заведениями, так и учебными центрами и различными коммерческими организациями, и проводятся в форме: - семинаров; - краткосрочных учебных курсов продолжительностью до 1-2 месяцев; - среднесрочных учебных курсов продолжительностью от 6 месяцев до 1-2 лет. При этом широко используются как традиционные технологии очного обучения, так и с использованием дистанционных обучающих технологий. 12.Подбор кадров в подразделения КСЗИ: показатели оценки качества кадров КСЗИ, особенности организации кадровой работы, требования, предъявляемые к сотрудниками КСЗИ.
Кадровая работа в области обеспечения функционирования СОИБ ХС является важной составляющей деятельности по обеспечению безопасности ХС в целом. При отборе кандидатов для работы в СОИБ следует оценивать их по следующим основным группам качеств: · профессиональным; · образовательным; · организационным; · личным. Основным требованием при отборе кандидатов является тщательное изучение деловых, моральных и этических данных каждого из них на основе анализа сведений о трудовом прошлом кандидата. В процессе анализа можно пользоваться услугами органов внутренних дел. В соответствии с приказом МВД РФ 1994 г. № 319 органы внутренних дел должны оказывать платные услуги о наличии (отсутствии) судимости кандидата и предоставлять сведения о лицах, находящихся в розыске. При организации кадровой работы целесообразно придерживаться следующих рекомендаций: - проводить тестирование для кандидатов по специально подготовленным тестам; - при приеме на работу учитывать наличие заслуживающих доверия рекомендаций; - заключать с сотрудником организации договор о сохранении коммерческой тайны; - постоянно заботиться о формировании и поддержании оптимального социально-психологического климата в коллективе; - постоянно повышать квалификацию сотрудников; - ознакомлять сотрудников под роспись с правилами и процедурами работы с конфиденциальной информацией; - доводить до сведения сотрудников порядок действий во внештатных ситуациях: пожар, стихийное бедствие и др.; - разработать и внедрить систему материального и морального стимулирования сотрудников; - формировать у сотрудников чувство персональной ответственности за свои действия и понимание неотвратимости наказания за нарушения режима и правил информационной безопасности; - повышать правовую грамотность персонала. Перечень требований к сотруднику СОИБ ХС не должен разительно отличаться от перечня требований к другим сотрудникам. Существуют универсальные требования к сотрудникам ХС, к которым относятся: · дисциплинированность; · ответственность; · высокий профессионализм; · нацеленность на результат; · готовность следовать общественным нормам морали и нравственности; · толерантность. К сотрудникам могут предъявляться и иные требования, которые условно можно считать расширенными. Данные требования показывают позицию руководства ХС к качеству персонала. К таким требованиям можно отнести:
· понимание необходимости ведения здорового образа жизни; · способность к самосовершенствованию; · готовность к самостоятельному обучению; · готовность к установлению коммуникаций с людьми; · стремление к лидерству; · амбициозные устремления; · уровень владения навыками общения; · способность адекватно оценивать свое место и роль в обществе. Однако необходимо иметь в виду, что сотрудник, выполняющий должностные обязанности по обеспечению ИБ ХС, в связи с особенностями своей деятельности будет осведомлен в достаточно специфической и критически важной для ХС области. Это выражается во владении сотрудником информацией об информационной инфраструктуре ХС в целом, о методах, способах и особенностях организации режима ИБ ХС, а также о плановых, внеплановых и внезапных мероприятиях, проводимых для поддержания этого режима. Поэтому сотрудник должен соответствовать следующим специфическим требованиям: · быть готовым следовать этическим нормам в сфере информационной безопасности; · проявлять высокую требовательность к себе и другим сотрудникам в соблюдении режима ИБ, установленного в ХС; · быть готовым к сохранению служебной, коммерческой, технологической и др. тайны.
|
||||||||
Последнее изменение этой страницы: 2017-01-19; просмотров: 288; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 13.58.150.59 (0.018 с.) |