Главная страница
Навигация по странице:

  • Заключение 7

  • Специалист по информационной безопасности

  • Поставщики аппаратного и программного обеспечения

  • Операторы

  • Административный уровень обеспечения ИБ. административный уровень обеспечения ИБ. Административный уровень. Цели и задачи. 2 Разработка политики информационной безопасности 3


    Скачать 23.56 Kb.
    НазваниеАдминистративный уровень. Цели и задачи. 2 Разработка политики информационной безопасности 3
    АнкорАдминистративный уровень обеспечения ИБ
    Дата15.12.2021
    Размер23.56 Kb.
    Формат файлаdocx
    Имя файлаадминистративный уровень обеспечения ИБ.docx
    ТипЗакон
    #304889

    Оглавление


    Административный уровень. Цели и задачи. 2

    Разработка политики информационной безопасности 3

    Основные направления разработки политики безопасности: 3

    Заключение 7

    Источники 8


    Административный уровень. Цели и задачи.


    Административный уровень является промежуточным между законодательно-правовым и программно-техническим уровнями формирования режима информационной безопасности. Законы и стандарты в области информационной безопасности являются лишь отправным нормативным базисом информационной безопасности. Основой практического построения комплексной системы безопасности является административный уровень, определяющий главные направления работ по защите информационных систем.

    Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем.

    Кроме этого, что немаловажно, именно на административном уровне определяются механизмы защиты, которые составляют третий уровень информационной безопасности – программно-технический.

    Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.

    Административный уровень состоит из:

    1. Разработка политики безопасности.

    2. Проведение анализа угроз и расчета рисков.


    Разработка политики информационной безопасности


    Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности организации, предприятия или учебного заведения. С учетом этого рассмотрим следующее определение политики безопасности.

    Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Кроме этого, политика безопасности включает в себя требования в адрес субъектов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов информационных отношений.

    Основные направления разработки политики безопасности:


    • определение объема и требуемого уровня защиты данных;

    • определение ролей субъектов информационных отношений.

    В "Оранжевой книге" политика безопасности трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации.

    Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

    Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:

    • основные положения информационной безопасности организации;

    • область применения политики безопасности;

    • цели и задачи обеспечения информационной безопасности организации;

    • распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.

    Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.

    При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите.

    В состав автоматизированной информационной системы входят следующие компоненты:

    • аппаратные средства– компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства – дисководы, принтеры, контроллеры), кабели, линии связи и т. д.;

    • программное обеспечениеприобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;

    • данные– хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;

    • персонал– обслуживающий персонал и пользователи.

    Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т. д.

    Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью.

    С точки зрения обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям):

    • специалист по информационной безопасности;

    • владелец информации;

    • поставщики аппаратного и программного обеспечения;

    • менеджер отдела;

    • операторы;

    • аудиторы.

    В зависимости от размеров организации, степени развитости ее информационной системы, некоторые из перечисленных ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.

    Специалист по информационной безопасности (начальник службы безопасности, администратор по безопасности) играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппаратные средства, программное обеспечение и т. д.).

    Владелец информации– лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случае именно владелец информации может определить ее ценность и конфиденциальность.

    Поставщики аппаратного и программного обеспеченияобычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.

    Администратор сети– лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности.

    Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются.

    Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и какой ущерб будет нанесен организации при ее раскрытии.

    Аудиторы – внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.

    Заключение


    1. Административный уровень является промежуточным уровнем между законодательно-правовым и программно-техническим уровнями формирования режима информационной безопасности, задачей которого является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем.

    2. Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем.

    3. Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.

    4. Содержанием административного уровня являются следующие мероприятия:

    • разработка политики безопасности;

    • проведение анализа угроз и расчета рисков;

    • выбор механизмов и средств обеспечения информационной определение ролей субъектов информационных отношений.


    Источники


    1. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.

    2. Карпов Е. А., Котенко И. В., Котухов М. М., Марков А. С., Парр Г. А., Рунеев А. Ю. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем и информационно-вычислительных сетей / Под редакцией И. В.Котенко. – СПб.: ВУС, 2000.

    3. Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003.

    4. Галатенко В. А. Стандарты информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2004.


    написать администратору сайта