Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Административный уровень обеспечения информационной безопасностиСодержание книги
Поиск на нашем сайте
1.8.1. Цели, задачи и содержание административного уровня. Административный уровень является промежуточным между законодательно-правовым и программно-техническим уровнями формирования режима информационной безопасности. Законы и стандарты в области информационной безопасности являются лишь от- нравным нормативным базисом информационной безопасности. Основой практического построения комплексной системы безопасности является административный уровень, определяющий главные направления работ по защите информационных систем. Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем. Кроме этого, что немаловажно, именно на административном уровне определяются механизмы защиты, которые составляют третий уровень информационной безопасности — программно-технический. Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы. Содержанием административного уровня являются следующие мероприятия: 1) разработка политики безопасности; 2) проведение анализа угроз и расчета рисков; 3) выбор механизмов и средств обеспечения информационной безопасности. 1.8.2. Разработка политики информационной безопасности Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности организации, предприятия или учебного заведения. С учетом этого рассмотрим следующее определение политика безопасности. Политика безопасности — это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Кроме этого, политика безопасности включает в себя требования в адрес субъектов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов информационных отношений. Основные направления разработки политики безопасности: ■ определение объема и требуемого уровня защиты данных; ■ определение ролей субъектов информационных отношений. В «Оранжевой книге» политика безопасности трактуется как набор норы, правил и практических приемов, которые регулируют управление, защиту и распределение денной информации. Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности. Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений: ■ основные положения информационной безопасности организации; ■ область применения политики безопасности; ■ цели и задачи обеспечения информационной безопасности организации; ■ распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности. Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы. При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите. В состав автоматизированной информационной системы входят следующие компоненты: ■ аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры), кабели, линии связи и т. д.; ■ программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;. ■ данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.; ■ персонал — обслуживающий персонал и пользователи. Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д. Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью. С точки зрения обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям): ■ специалист по информационной безопасности; ■ владелец информации; ■ поставщики аппаратного и программного обеспечения; ■ Администратор сети ■ менеджер отдела; ■ операторы; ■ аудиторы. В зависимости от размеров организации, степени развитости ее информационной системы, некоторые из перечисленных ролей могут отсутствовать вообще, а не-, которые могут совмещаться одним и тем же физическим лицом. Специалист по информационной безопасности (начальник службы безопасности, администратор по безопасности) играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппаратные средства, программное обеспечение и т. д.). Владелец информации — лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случае именно владелец информации может определить ее ценность и конфиденциальность. Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые, несут ответственность за поддержание должного уровня. информационной безопасности в поставляемых им продуктах.. Администратор сети — лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности. Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача — своевременно я качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за юс выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются. Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и какой ущерб будет нанесен организации при ее раскрытии. Аудиторы — внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.
|
||||
Последнее изменение этой страницы: 2017-02-21; просмотров: 320; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.149.233.221 (0.006 с.) |