Главная страница
Навигация по странице:

  • Забезпечення безперебійної роботи організації

  • 4.5. 5 Документи по політиці інформаційної безпеки

    		•

    Методичні вказівки до виконання курсового проекту з дисципліни проектування захищених


    Скачать 0.54 Mb.
    НазваниеМетодичні вказівки до виконання курсового проекту з дисципліни проектування захищених
    АнкорM_V_KP_ZKCM_u.doc
    Дата04.08.2018
    Размер0.54 Mb.
    Формат файлаdoc
    Имя файлаM_V_KP_ZKCM_u.doc
    ТипМетодичні вказівки
    #22454
    страница11 из 14
    1   ...   6   7   8   9   10   11   12   13   14

    4.5 Обґрунтування та вибір методів та засобів захисту ІТС


    Комплекс методів та засобів із забезпечення режиму інформаційної безпеки повинен розглядатися на трьох рівнях:

    • адміністративному (система підтримки керівництвом організації робіт із забезпечення інформаційної безпеки);

    • організаційному (конкретні організаційні заходи із забезпечення режиму інформаційної безпеки);

    • технічному (реалізація механізмів захисту апаратно-програмними засобами).

    4.5.1 Адміністративний рівень забезпечення безпеки


    Повинні бути розроблені:

    • система підтримки керівництвом організації заходів із забезпечення інформаційної безпеки;

    • процедура доведення до відома співробітників основних положень концепції інформаційної безпеки, вимог із навчання персоналу правил інформаційної безпеки;

    • система контролю за реалізацією прийнятих рішень та відповідальні посадові особи.

    4.5.2 Організаційний рівень забезпечення інформаційної безпеки


    На організаційному рівні повинні бути розглянуті:

    • організаційна структура служби, відповідальної за забезпечення режиму інформаційної безпеки, розподіл обов'язків;

    • комплекс профілактичних мір (попередження появи вірусів, попередження ненавмисних дій, що ведуть до порушення інформаційної безпеки);

    • організація доступу співробітників сторонніх організацій до ресурсів ІТС;

    • організація доступу користувачів і персоналу до конкретних ресурсів ІТС;

    • політика стосовно окремих аспектів: вилучений доступ в АС, використання відкритих ресурсів (наприклад Інтернету), використання несертифікованого програмного забезпечення й т.ін.).

    4.5.3 Технічний рівень забезпечення інформаційної безпеки


    Розглядаються програмно-технічні засоби, що реалізують задані вимоги.

    Якщо вимоги формулювалися в термінах функцій (сервісів) безпеки, розглядаються механізми безпеки й відповідні їм варіанти програмних й апаратних реалізацій.

    Якщо вимоги формулювалися по підсистемах ІТС, розглядається варіанти програмно-апаратної реалізації цих підсистем.

    При розгляді різних варіантів рекомендується враховувати наступні аспекти:

    • керування доступом до інформації й сервісів, включаючи вимоги до поділу обов'язків і ресурсів;

    • реєстрація значних подій у журналі для цілей повсякденного контролю або спеціальних розслідувань;

    • перевірка й забезпечення цілісності критично важливих даних на всіх стадіях їхньої обробки;

    • захист конфіденційних даних від НСД, у тому числі використання засобів шифрування;

    • резервне копіювання критично важливих даних;

    • відновлення роботи ІТС після відмов, особливо для систем з підвищеними вимогами до доступності;

    • захист від внесення несанкціонованих доповнень і змін;

    • забезпечення засобів контролю, наприклад, за допомогою використання програми для вибіркового контролю й альтернативні варіанти програмного забезпечення для повторення критично важливих обчислень.

    4.5.4 Забезпечення безперебійної роботи організації


    У процесі планування безперебійної роботи організації розглядаються наступні питання:

    • виявлення критично важливих процесів у роботі ІТС;

    • визначення можливого впливу аварій різних типів на роботу ІТС;

    • визначення й узгодження всіх обов'язків і планів дій у надзвичайних ситуаціях;

    • планування підготовки персоналу до роботи в надзвичайних ситуаціях.

    План забезпечення безперебійної роботи організації повинен включати:

    • процедури реагування на надзвичайні ситуації, що описують міри, які слід прийняти відразу після великого інциденту, що піддає небезпеки роботу організації й/або порушення інформаційної безпеки;

    • процедури переходу на аварійний режим, що описують міри, які слід прийняти для тимчасового перекладу основних робіт і сервісів в інші місця;

    • процедури поновлення роботи організації, що описують міри, які слід прийняти для поновлення нормальної виробничої діяльності організації;

    • графік випробувань, що визначає, як і коли буде проведене тестування плану.

    Плани забезпечення безперебійної роботи організації необхідно обновляти при виникненні істотних змін. Такими змінами є:

    • установка нового обладнання або модернізація функціонуючих систем;

    • установка нових систем сигналізації або пожежогасіння;

    • організаційні зміни;

    • зміни у виробничих процесах;

    • зміни в програмному забезпеченні;

    • зміни в процедурах обслуговування ІТС.

    Необхідно призначити відповідального для відстеження змін і корекції планів. Інформацію про оновлення планів необхідно доводити до відома співробітників.

    4.5.5 Документи по політиці інформаційної безпеки


    Політика ІБ утримується в наступних документах:

    • концепція політики ІБ;

    • аналіз ризиків;

    • визначення вимог до засобів захисту й вибір основних рішень по забезпеченню режиму ІБ;

    • посадові інструкції персоналу й користувачів ІТС (розробляється на етапі "Робоча документація, що ставиться до забезпечення режиму ІБ");

    • забезпечення безперебійної роботи організації.
    1   ...   6   7   8   9   10   11   12   13   14

    написать администратору сайта