Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Понятие «Политика информационной безопасности организации».⇐ ПредыдущаяСтр 11 из 11
Политика безопасности (security policies) — совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной инф-и. Основные положения ПБ предприятия должны быть зафиксированы в документе, который подписывается руководителем предприятия. С практической точки зрения ПБ рассматривают на трех уровнях детализации: Верхний уровень - решения, затрагивающие организацию в целом, носят весьма общий характер и, как правило, исходят от руководства организации: 1. Решение сформировать или пересмотреть комплексную программу обеспечения ИБ; назначение ответственных за выполнение программы. 2. Формулировка целей в области ИБ; определение общих направлений в достижении этих целей. Цели организации в области ИБ формулируются в терминах целостности, доступности и конфиденциальности. 3. Выделение специального персонала для обеспечения ИБ. 4. Определение обязанностей должностных лиц по выработке и реализации программ безопасности; вопросы выработки системы поощрений (и наказаний) за обеспечение (нарушение) ИБ. Средний уровень - вопросы, касающиеся отдельных аспектов ИБ, но важные для разных видов систем обработки данных: нужно ли обеспечить доступ в Интернет с рабочих мест сотрудников?; можно ли разрешать сотрудникам переносить данные с домашних компов на рабочие, и наоборот?; можно ли допускать использование неофициального ПО? В документах, характеризующих ПБ среднего уровня, для каждого такого вопроса (аспекта) должны быть освещены следующие темы: 1.описание аспекта (напр, что понимается под неофиц-ым ПО); 2.область применения – объясняет, где, когда, как, по отношению к кому и к чему применяется данная ПБ. Позиция организации по данному вопрос: 1. роли и обязанности – информация о должностных лицах, ответственных за реализацию ПБ; 2. законопослушность – общее описание запрещенных действий, и наказаний за них; 3. точки контакта – информация о том, куда следует обращаться за разъяснениями, помощью и дополнительной инф-ей. Нижний уровень – вопросы, которые касаются отдельных информ-ых сервисов, отдельных систем и подсистем обработки данных, используемых в организации. Напр, могут определяться общие правила доступа к инф-ии, обрабатываемой системой расчета заработной платы; либо общие правила осуществления резервного копирования, и т. д.
Вопросы ПБ нижнего уровня являются более конкретными и специфичными, более тесно связаны с технической реализацией, чем вопросы верхних двух уровней. Они являются настолько важными для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. (Далее по ГОСТ Р ИСО/МЭК 27002-2012 Инф-ая технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента ИБ. Пункт 5. Политика безопасности) Цель: Обеспечить упр-е и поддержку руководством ИБ в соответствии с требованиями бизнеса и соответ. законами и нормами. Руководство должно установить четкое направление политики в соответствии с целями бизнеса и поддерживать обеспечение ИБ посредством разработки и поддержки политики ИБ в рамках организации. Необходимо наличие контактного лица, занимающегося вопросами ИБ внутри фирмы, ккоторому могут обращаться сотрудники. Документирование политики ИБ: Политика ИБ должна быть утверждена руководством, издана и доведена до сведения всех сотрудников организации и соответствующих сторонних организаций. В политике д.б. положения: a) определения ИБ, ее общих целей и сферы действия b) намерения руководства, поддерживающие цели и принципы ИБ в соответствии со стратегией и целями бизнеса; c) подход к установлению мер и средств контроля и упр-я и целей их применения, включая структуру оценки риска и менеджмента риска; d) краткое разъяснения наиболее существенных для организации ПБ, принципов, стандартов и требований соответствия e) опр-е общих и конкретных обязанностей сотрудников в рамках менеджмента ИБ, включая информир-е об инцидентах безоп-ти; f) ссылки на документы, дополняющие политику ИБ Политика ИБ должна быть доведена до сведения пользователей в рамках всей организации в актуальной, доступной и понятной форме.
Политика ИБ должна пересматриваться либо через опр-ые интервалы времени, либо, если произошли значительные изменения. Политика ИБ должна иметь владельца, который утвержден руководством в качестве ответств-го за разработку, пересмотр и оценку ПБ.
АСУ КВО. III. Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления КВО 7. Решение основных задач государственной политики в области обеспечения безопасности автоматизированных систем управления КВО должно осуществляться по следующим направлениям: а) совершенствование нормативно-правовой базы; б) государственное регулирование; в) промышленная и научно-техническая политика; г) фундаментальная и прикладная наука, технологии и средства обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры; д) повышение квалификации кадров в области обеспечения безопасности автоматизированных систем управления КВО. 8. Основные задачи, касающиеся совершенствования нормативно-правовой базы в области обеспечения безопасности автоматизированных систем управления КВО: а) определение и разграничение полномочий федерального органа исполнительной власти в области обеспечения безопасности, иных федеральных органов исполнительной власти, осуществляющих деятельность в области обеспечения безопасности, органов государственного надзора и контроля, управления деятельностью критически важных объектов и иных элементов критической информационной инфраструктуры; б) законодательное определение и закрепление прав и обязанностей собственников автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры и эксплуатирующих их организаций. в области обеспечения безопасности автоматизированных систем управления КВО; в) определение порядка: разработки, ввода в действие, эксплуатации и модернизации автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры; получения федеральным органом исполнительной власти в области обеспечения безопасности информации об автоматизированных системах управления КВО и иных элементах критической информационной инфраструктуры; использования сил и средств обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру; использования сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре; действий должностных лиц, персонала и владельцев автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры при обнаружении попыток или фактов нарушения штатного функционирования этих объектов в случае компьютерных инцидентов; г) создание правовых оснований и определение порядка применения мер принудительного изменения информационного обмена с объектами информатизации, являющимися источниками компьютерных атак, вплоть до его полного прекращения; д) нормативно-правовое обеспечение функционирования единой государственной системы обнаружения компьютерных атак на критическую информационную инфраструктуру и мониторинга уровня ее реальной защищенности;
е) введение ответственности за нарушение порядка разработки, ввода в действие, эксплуатации и модернизации автоматизированных систем управления КВО и иных элементов критической информационной инфраструктуры; ж) усиление ответственности за создание и (или) применение средств компьютерных атак; з) оптимизация законодательства Российской Федерации в части лицензирования деятельности, связанной с разработкой, производством, эксплуатацией и техническим обслуживанием автоматизированных систем управления критически важными объектами. 9. Основные задачи государственного регулирования в области обеспечения безопасности автоматизированных систем управления КВО: а) развитие механизмов государственного управления и контроля, а также усиление координации в области обеспечения безопасности критической информационной инфраструктуры; б) выделение (привлечение) необходимых объемов и источников финансовых ресурсов (бюджетных и внебюджетных) на реализацию программ и планов мероприятий в области обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры в целом;в) создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру и оценки защищенности ее элементов; г) обеспечение устойчивого функционирования национального сегмента единой мировой информационно-телекоммуникационной сети в условиях массированного деструктивного информационного воздействия с территорий, находящихся вне юрисдикции Российской Федерации; д) создание условий, стимулирующих развитие на территории Российской Федерации производства телекоммуникационного оборудования, устойчивого к компьютерным атакам; е) создание и поддержание в постоянной готовности сил и средств ликвидации последствий компьютерных инцидентов в критической информационной инфраструктуре; ж) развитие международного сотрудничества, включая совершенствование международной кооперации в области обеспечения информационной безопасности; з) стимулирование, в том числе материальное, проведения частными организациями и лицами исследований в области обнаружения уязвимостей программного обеспечения и оборудования, применяемого в автоматизированных системах управления КВО и на иных объектах критической информационной инфраструктуры, с представлением результатов федеральному органу исполнительной власти в области обеспечения безопасности.
10. Основные задачи по совершенствованию промышленной и научно-технической политики в области, обеспечения безопасности автоматизированных систем управления КВО: а) проведение комплекса мероприятий по развитию систем, средств и методов технической оценки уровня реальной защищенности автоматизированных систем управления КВО и критической информационной инфраструктуры в целом; б) создание единых реестров программных и аппаратных средств, используемых в автоматизированных системах управления КВО, создание баз данных, касающихся надежности функционирования автоматизированных систем управления КВО, состояния их защищенности, состояния технического оборудования, оценки эффективности действующих и внедряемых на критически важных объектах мер безопасности; в) проведение комплекса организационно-технических мероприятий по исключению прохождения информационного обмена автоматизированных систем управления КВО по территориям иностранных государств, а при технической невозможности такого исключения - создание и применение защитных мер, обеспечивающих отсутствие любых негативных воздействий на процессы, контролируемые автоматизированными системами управления КВО, в случае нарушения штатного функционирования этого канала связи; г) разработка комплекса мер по созданию и внедрению телекоммуникационного оборудования, устойчивого к компьютерным атакам; д) создание хранилища эталонного программного обеспечения, используемого в автоматизированных системах управления КВО и на других объектах критической информационной инфраструктуры; е) развитие (с учетом мобилизационной готовности) научно- производственной базы, обеспечивающей выпуск систем (средств) обеспечения безопасности автоматизированных систем управления КВО и иных объектов критической информационной инфраструктуры; ж) разработка и внедрение импортозамещающих технологий, материалов, комплектующих и других видов продукции, используемых в автоматизированных системах управления КВО.
|
||||||||
Последнее изменение этой страницы: 2021-04-04; просмотров: 454; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.15.237.255 (0.013 с.) |