Главная страница

Наумов Пр 3. Политика безопасности организации англ organizational security


Скачать 21.68 Kb.
НазваниеПолитика безопасности организации англ organizational security
Дата12.10.2021
Размер21.68 Kb.
Формат файлаodt
Имя файлаНаумов Пр 3.odt
ТипДокументы
#245911

1)Политика безопасности

Политика безопасности организации (англ. organizational security policies) — совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

2) Политика безопасности должна включать в себя следующие компоненты:

-Произвольное управление доступом

-Использование объектов

-Метки безопасности

-Принудительный доступ.
3)Политика безопасности – это набор правил, которые применяются ко всем функциям компьютеров и других коммуникационных ресурсов, принадлежащих организации. На практике правила создаются службой безопасности предприятия, администратором безопасности или компаниями, которые предоставляют услуги по защите данных.

Все правила, указанные в политике безопасности, должны применяться к сотрудникам, компьютерам и другим вычислительно-коммуникационным ресурсам, которые принадлежат организации.
4)В качестве примера можно привести две стратегии ответных действий на нарушение безопасности: 1. “защититься и продолжить”, когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению;
2. “выследить и осудить”, когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания.

5)Политика безопасности затрагивает всех пользователей компьютеров в организации. Поэтому важно решить вопросы наделения всех категорий пользователей соответствующими правами, привилегиями и обязанностями. Для этого определяется круг лиц, имеющих доступ к подсистемам и сервисам АС. Для каждой категории пользователей описываются правильные и неправильные способы использования ресурсов – что запрещено и разрешено. Здесь специфицируются уровни и регламентация доступа различных групп пользователей. Следует указать, какое из правил умолчания на использование ресурсов принято в организации, а именно: 1) что явно не запрещено, то разрешено или 2) что явно не разрешено, то запрещено.

6)Доступ основан на правилах секретного документооборота принятых в государственныъ и правительственныъ учереждениях многих стран. Всем объектам и субъектам в системе назначаются метки конфиденциальности. Контроль доступа осуществляется в основе двух правил:

-Субъект имеет доступ на чтение, только тех объектов чей уровень конфиденциальности не выше его.

-Субъект имеет право на запись, только те объекты чей уровень конфиденциальности не выше его.
7)Только авторизованный пользователь допускается к функционалу исстемы и к хранимым в ней данными.

Права доступа распр по следующим признакам:

-Роль пользователя

-Домен безопасности субъекта

-Право доступа к объекту

-Организационная принадлежность субъекта.
8)Административная ответственность руководителя Административная ответственность руководителя компании охватывает широкий спектр вопросов: охрана труда, пожарная безопасность, выплата заработной платы, взаимоотношения с подчиненными, работа с персональными данными и многое другое.  Руководителя привлекут к административной ответственности, если подтвердят, что он действительно совершил нарушение. Главная причина такого нарушения — невыполнение или ненадлежащее выполнение руководителем его служебных обязанностей. Большинство правонарушений руководителя связаны с организационно-распорядительной или административно-хозяйственной деятельностью.  Важно иметь в виду, что наказание могут возложить одновременно на руководителя, как должностное лицо, и на компанию, как лицо юридическое. 
9)Политика информационной безопасности - совокупность правил, определяющих и ограничивающих виды деятельности объектов и участников, системы информационной безопасности.
Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

    +

  • решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

  • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

  • обеспечение базы для соблюдения законов и правил;

  • формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

10)Анализ рисков - это процесс определения угроз, уязвимостей и возможного ущерба безопасности корпоративной информационной системы. Цель анализа рисков заключается в том, чтобы выявить существующие риски и оценить их ве личину (дать им количественную оценку). Риск определяется вероятностью при чинения ущерба и величиной ущерба, наносимого ресурсам КИС, в случае осу ществления угрозы безопасности. Анализ рисков включает в себя мероприятия по обследованию безопасности КИС, целью которого является определение того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками.


написать администратору сайта