Основные требования, предъявляемые к комплексной системе защиты информации в организации
Уровни политики безопасности · Верхний · Средний · Нижний Верхний уровень политики безопасности Верхний уровень политики безопасности определяет решения, которые затрагивают организацию в целом. Эти решения носят весьма общий характер и исходят, в основном, от руководства организации. Например формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей; Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить определенную степень законопослушности персонала, а для этого нужно выработать систему поощрений и наказаний. Средний уровень политики безопасности Средний уровень политики безопасности определяет решение вопросов, которые не являются основными и касаются отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией. В пример к таким вопросам - отношение к доступу в Internet, использование домашних компьютеров, использование съемных носителей и т.д. Нижний уровень политики безопасности Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной. При исследовании данной политики следует ответить на ряд вопросов : · Кто имеет право доступа к объектам, поддерживаемым сервисом? · При каких условиях можно читать и модифицировать данные? · Как организован удаленный доступ к сервису? Обязанности различных категорий персонала: 1.Руководители подразделений отвечают за доведение положений политики безопасности до пользователей. Они обязаны: · Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные; · Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты; · 2.Администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для претворния в жизнь политики безопасности. Они обязаны: · Обеспечить защиту оборудования корпоративной сети, в том числе интерфейсов с другими сетями; · Оперативно и эффективно реагировать на события, представляющих угрозу; · Информировать администраторов сервисов о попытках нарушения защиты; 3.Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности. Они обязаны: · Управлять правами доступа пользователей к обслуживаемым объектам; · Оперативно и эффективно реагировать на события, таящие угрозу; · Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания; · Регулярно выполнять резервное копирование информации, обрабатываемой сервисом; 4.Пользователи обязаны работать с корпоративной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях. Они обязаны: · Знать и соблюдать законы и установленные правила, принятые в организации, политику и процедуры безопасности; · Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации; · Использовать механизм защиты файлов и должным образом задавать права доступа; · Выбирать пароли в соответствии с процедурами политики безопасности, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам; · Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях; · Не использовать уязвимости в защите сервисов и корпоративной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям; · Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей; Основные требования, предъявляемые к комплексной системе защиты информации в организации. Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования: — она должна быть привязана к целям и задачам защиты информации на конкретном предприятии; — она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование; — она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты; — она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата; — она должна быть «вмонтированной» в технологические схемы сбора, хранения, обработки, передачи и использования информации; — она должна быть компонентно, логически, технологически и экономически обоснованной; — она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами; — она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями; — она должна быть непрерывной; — она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты. Таким образом, обеспечение безопасности информации — непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:
— безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты; — никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты; — никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.
Данные требования и пути совершенствования являются основными, вне зависимости от типа организации и её вида деятельности. Особенно хотелось бы обратить внимание на последнюю фразу, о том, что никакую систему нельзя считать абсолютно надежной. У руководителя организации никогда не должна быть полная уверенность, что его система защищена, ведь всегда найдется такой человек, который сможет взломать/разрушить эту систему. Не стоить забывать и про подотчетность нижестоящим органам вышестоящим, организация должна работать как одна единственная система.
Популярное: Модели организации как закрытой, открытой, частично открытой системы: Закрытая система имеет жесткие фиксированные границы, ее действия относительно независимы... Почему стероиды повышают давление?: Основных причин три... Как построить свою речь (словесное оформление):
При подготовке публичного выступления перед оратором возникает вопрос, как лучше словесно оформить свою... Как вы ведете себя при стрессе?: Вы можете самостоятельно управлять стрессом! Каждый из нас имеет право и возможность уменьшить его воздействие на нас... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (1654)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |