Вопрос 3. Формирование организационной политики безопасности
Вопрос 3. Формирование организационной политики безопасности
Прежде чем предлагать какие-либо решения по системе информационной безопасности, предстоит разработать политику безопасности. Организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения организационной политики безопасности – это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.
Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается Заказчиком.
Прежде всего необходимо составить детализированное описание общей цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив). Факторы безопасности, в свою очередь, могут распределяться на правовые, технологические, технические и организационные.
Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями "базовая", "средняя", "высокая". Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего.
Перечень требований к системе информационной безопасности, эскизный проект, план защиты (далее – техническая документация, ТД) содержит набор требований безопасности информационной среды объекта, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.
В общем виде разработка ТД включает:
– уточнение функций защиты;
– выбор архитектурных принципов построения СИБ;
– разработку логической структуры СИБ (четкое описание интерфейсов);
– уточнение требований функций обеспечения гарантоспособности СИБ;
– разработку методики и программы испытаний на соответствие сформулированным требованиям.
На этапе оценки достигаемой защищенности производится оценка меры гарантии безопасности информационной среды. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта. Базовые положения данной методики предполагают, что степень гарантии следует из эффективности усилий при проведении оценки безопасности. Увеличение усилий оценки предполагает:
– значительное число элементов информационной среды объекта, участвующих в процессе оценивания;
– расширение типов проектов и описаний деталей выполнения при проектировании системы обеспечения безопасности;
– строгость, заключающуюся в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.
Заключение
В целом рассмотренная выше методика позволяет оценить или переоценить уровень текущего состояния защищенности информационных активов компании, а также выработать рекомендации по обеспечению (повышению) информационной безопасности компании. В том числе снизить потенциальные потери компании путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности компании. Также рассмотренная методика позволяет предложить планы защиты конфиденциальной информации компании, передаваемой по открытым каналам связи, защиты информации компании от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
2.3.1. Формирование привычек
2.3.1. Формирование привычек Все, что стоит сделать хорошо, сначала стоит сделать плохо. Дик Карпински Когда вы выполняете какую-то задачу многократно, то с каждым разом делать это становится все проще. Бег трусцой, настольный теннис или игра на фортепиано – это мои
Глава 1. Уроки инновационной политики и коммерциализации, связанные с биотехнологической революцией
Глава 1. Уроки инновационной политики и коммерциализации, связанные с биотехнологической революцией Джеральд ГоллвасДжеральд Голлвас имеет богатый опыт по внедрению биомедицинских технологий еще с середины 60-х годов, когда он занялся бизнесом, связанным с созданием и
3.1 Формирование промышленных текстильных центров на базе кустарных
3.1 Формирование промышленных текстильных центров на базе кустарных В XX веке ручное ткачество — один из древнейших видов декоративного искусства — развивалось, на наш взгляд, в двух направлениях. С одной стороны продолжало существовать ремизное ткачество, и на его базе
Конструктор и политики
Конструктор и политики История развития военной техники в СССР (России) содержит много печальных примеров некомпетентных решений, принятых высшим руководством страны в строительстве Вооруженных Сил, нанесших вред обороноспособности страны. Особенно много их отмечено
2.5. Обработка и протоколирование информации, формирование управляющих сигналов тревоги ОПС
2.5. Обработка и протоколирование информации, формирование управляющих сигналов тревоги ОПС Для обработки и протоколирования информации и формирования управляющих сигналов тревоги может использоваться различная приемно-контрольная аппаратура – центральные станции,
Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание
Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем
Вопрос 2. Основные руководящие документы, регламентирующие вопросы информационной безопасности
Вопрос 2. Основные руководящие документы, регламентирующие вопросы информационной безопасности Рассматривая Концепцию национальной безопасности России, утвержденную Указом Президента РФ от 17.12.97 № 1300 (в ред. от 10.01.2000), которая отражает названную «Окинавскую хартию
Вопрос 3. Современные угрозы информационной безопасности в России
Вопрос 3. Современные угрозы информационной безопасности в России Согласно Закону о безопасности под угрозой безопасности понимается совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства. Концепция
Вопрос 1. Особенности информационной безопасности банков
Вопрос 1. Особенности информационной безопасности банков Со времени своего появления банки неизменно вызывали преступный интерес. И этот интерес был связан не только с хранением в кредитных организациях денежных средств, но и с тем, что в банках сосредотачивалась важная
Вопрос 2. Анализ состояния банковских автоматизированных систем с точки зрения безопасности
Вопрос 2. Анализ состояния банковских автоматизированных систем с точки зрения безопасности Под безопасностью АСОИБ будем понимать ее свойство, выражающееся в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных
Вопрос 1. Обобщенная модель процессов информационной безопасности
Вопрос 1. Обобщенная модель процессов информационной безопасности Общими моделями систем и процессов защиты информации названы такие, которые позволяют определять (оценивать) общие характеристики указанных систем и процессов в отличие от моделей локальных и частных,
Вопрос 1. Назначение математических моделей обеспечения безопасности информации в АСУ
Вопрос 1. Назначение математических моделей обеспечения безопасности информации в АСУ Функционирование АСУ, обеспечивающее реализацию технологии автоматизированного управления сложными процессами в распределенной системе, должно основываться на плановом начале с
Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации
Вопрос 2. Сравнительный анализ и основные определения математических моделей обеспечения безопасности информации Существующие технологии формального описания процессов обеспечения безопасности информации основываются на понятиях теории конечных автоматов, теории
Вопрос 1. Состояние вопросов обеспечения информационной безопасности
Вопрос 1. Состояние вопросов обеспечения информационной безопасности В настоящее время вопросы ИБ в вузах стали принимать все более актуальное значение. Следует вспомнить, что проблема компьютерных правонарушений зародилась именно в вузах (например, вирус Морриса). По
5.6.1. ФОРМИРОВАНИЕ РЫНОЧНЫХ ОТНОШЕНИЙ В РОССИЙСКОЙ ЭЛЕКТРОЭНЕРГЕТИКЕ
5.6.1. ФОРМИРОВАНИЕ РЫНОЧНЫХ ОТНОШЕНИЙ В РОССИЙСКОЙ ЭЛЕКТРОЭНЕРГЕТИКЕ Организационная структура отрасли в ходе акционирования и решения по ее совершенствованию. Начавшийся в 1991 г. переход России к рыночной экономике обусловил необходимость структурных реформ в
ФОРМИРОВАНИЕ ОБЛИКА
ФОРМИРОВАНИЕ ОБЛИКА В начале февраля 1938 г. начальник 1 -го Главного Управления НКОП (по совместительству Главный конструктор завода № 39) С.В.Ильюшин направил на имя И.В.Сталина, В.М.Молотова, К.Е.Ворошилова, М.М.Кагановича и Начальника ВВС КА А.Д.Локтионова докладную записку