Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Наумов Пр 3. Политика безопасности организации англ organizational security


Скачать 21.68 Kb.
НазваниеПолитика безопасности организации англ organizational security
Дата12.10.2021
Размер21.68 Kb.
Формат файлаodt
Имя файлаНаумов Пр 3.odt
ТипДокументы
#245911

1)Политика безопасности

Политика безопасности организации (англ. organizational security policies) — совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

2) Политика безопасности должна включать в себя следующие компоненты:

-Произвольное управление доступом

-Использование объектов

-Метки безопасности

-Принудительный доступ.
3)Политика безопасности – это набор правил, которые применяются ко всем функциям компьютеров и других коммуникационных ресурсов, принадлежащих организации. На практике правила создаются службой безопасности предприятия, администратором безопасности или компаниями, которые предоставляют услуги по защите данных.

Все правила, указанные в политике безопасности, должны применяться к сотрудникам, компьютерам и другим вычислительно-коммуникационным ресурсам, которые принадлежат организации.
4)В качестве примера можно привести две стратегии ответных действий на нарушение безопасности: 1. “защититься и продолжить”, когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению;
2. “выследить и осудить”, когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания.

5)Политика безопасности затрагивает всех пользователей компьютеров в организации. Поэтому важно решить вопросы наделения всех категорий пользователей соответствующими правами, привилегиями и обязанностями. Для этого определяется круг лиц, имеющих доступ к подсистемам и сервисам АС. Для каждой категории пользователей описываются правильные и неправильные способы использования ресурсов – что запрещено и разрешено. Здесь специфицируются уровни и регламентация доступа различных групп пользователей. Следует указать, какое из правил умолчания на использование ресурсов принято в организации, а именно: 1) что явно не запрещено, то разрешено или 2) что явно не разрешено, то запрещено.

6)Доступ основан на правилах секретного документооборота принятых в государственныъ и правительственныъ учереждениях многих стран. Всем объектам и субъектам в системе назначаются метки конфиденциальности. Контроль доступа осуществляется в основе двух правил:

-Субъект имеет доступ на чтение, только тех объектов чей уровень конфиденциальности не выше его.

-Субъект имеет право на запись, только те объекты чей уровень конфиденциальности не выше его.
7)Только авторизованный пользователь допускается к функционалу исстемы и к хранимым в ней данными.

Права доступа распр по следующим признакам:

-Роль пользователя

-Домен безопасности субъекта

-Право доступа к объекту

-Организационная принадлежность субъекта.
8)Административная ответственность руководителя Административная ответственность руководителя компании охватывает широкий спектр вопросов: охрана труда, пожарная безопасность, выплата заработной платы, взаимоотношения с подчиненными, работа с персональными данными и многое другое.  Руководителя привлекут к административной ответственности, если подтвердят, что он действительно совершил нарушение. Главная причина такого нарушения — невыполнение или ненадлежащее выполнение руководителем его служебных обязанностей. Большинство правонарушений руководителя связаны с организационно-распорядительной или административно-хозяйственной деятельностью.  Важно иметь в виду, что наказание могут возложить одновременно на руководителя, как должностное лицо, и на компанию, как лицо юридическое. 
9)Политика информационной безопасности - совокупность правил, определяющих и ограничивающих виды деятельности объектов и участников, системы информационной безопасности.
Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

    +

  • решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

  • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

  • обеспечение базы для соблюдения законов и правил;

  • формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

10)Анализ рисков - это процесс определения угроз, уязвимостей и возможного ущерба безопасности корпоративной информационной системы. Цель анализа рисков заключается в том, чтобы выявить существующие риски и оценить их ве личину (дать им количественную оценку). Риск определяется вероятностью при чинения ущерба и величиной ущерба, наносимого ресурсам КИС, в случае осу ществления угрозы безопасности. Анализ рисков включает в себя мероприятия по обследованию безопасности КИС, целью которого является определение того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками.

написать администратору сайта