Наумов Пр 3. Политика безопасности организации англ organizational security
Скачать 21.68 Kb.
|
1)Политика безопасности Политика безопасности организации (англ. organizational security policies) — совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации. 2) Политика безопасности должна включать в себя следующие компоненты: -Произвольное управление доступом -Использование объектов -Метки безопасности -Принудительный доступ. 3)Политика безопасности – это набор правил, которые применяются ко всем функциям компьютеров и других коммуникационных ресурсов, принадлежащих организации. На практике правила создаются службой безопасности предприятия, администратором безопасности или компаниями, которые предоставляют услуги по защите данных. Все правила, указанные в политике безопасности, должны применяться к сотрудникам, компьютерам и другим вычислительно-коммуникационным ресурсам, которые принадлежат организации. 4)В качестве примера можно привести две стратегии ответных действий на нарушение безопасности: 1. “защититься и продолжить”, когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению; 2. “выследить и осудить”, когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания. 5)Политика безопасности затрагивает всех пользователей компьютеров в организации. Поэтому важно решить вопросы наделения всех категорий пользователей соответствующими правами, привилегиями и обязанностями. Для этого определяется круг лиц, имеющих доступ к подсистемам и сервисам АС. Для каждой категории пользователей описываются правильные и неправильные способы использования ресурсов – что запрещено и разрешено. Здесь специфицируются уровни и регламентация доступа различных групп пользователей. Следует указать, какое из правил умолчания на использование ресурсов принято в организации, а именно: 1) что явно не запрещено, то разрешено или 2) что явно не разрешено, то запрещено. 6)Доступ основан на правилах секретного документооборота принятых в государственныъ и правительственныъ учереждениях многих стран. Всем объектам и субъектам в системе назначаются метки конфиденциальности. Контроль доступа осуществляется в основе двух правил: -Субъект имеет доступ на чтение, только тех объектов чей уровень конфиденциальности не выше его. -Субъект имеет право на запись, только те объекты чей уровень конфиденциальности не выше его. 7)Только авторизованный пользователь допускается к функционалу исстемы и к хранимым в ней данными. Права доступа распр по следующим признакам: -Роль пользователя -Домен безопасности субъекта -Право доступа к объекту -Организационная принадлежность субъекта. 8)Административная ответственность руководителя Административная ответственность руководителя компании охватывает широкий спектр вопросов: охрана труда, пожарная безопасность, выплата заработной платы, взаимоотношения с подчиненными, работа с персональными данными и многое другое. Руководителя привлекут к административной ответственности, если подтвердят, что он действительно совершил нарушение. Главная причина такого нарушения — невыполнение или ненадлежащее выполнение руководителем его служебных обязанностей. Большинство правонарушений руководителя связаны с организационно-распорядительной или административно-хозяйственной деятельностью. Важно иметь в виду, что наказание могут возложить одновременно на руководителя, как должностное лицо, и на компанию, как лицо юридическое. 9)Политика информационной безопасности - совокупность правил, определяющих и ограничивающих виды деятельности объектов и участников, системы информационной безопасности. Политика безопасности С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы: + решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы; формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей; обеспечение базы для соблюдения законов и правил; формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом. 10)Анализ рисков - это процесс определения угроз, уязвимостей и возможного ущерба безопасности корпоративной информационной системы. Цель анализа рисков заключается в том, чтобы выявить существующие риски и оценить их ве личину (дать им количественную оценку). Риск определяется вероятностью при чинения ущерба и величиной ущерба, наносимого ресурсам КИС, в случае осу ществления угрозы безопасности. Анализ рисков включает в себя мероприятия по обследованию безопасности КИС, целью которого является определение того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. |