КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Политика информационной безопасности как основа организационных мероприятий. Основные требования к разработке организационных мероприятий
Политика информационной безопасности – совокупность требований и правил обеспечения информационной безопасности, разработанных в целях противодействия нарушителю по реализации угроз с учетом ценности защищаемой информации и стоимости системы обеспечения информационной безопасности.
Политика информационной безопасности организации – общее положение о намерениях и целях разработки программы обеспечения информационной безопасности организации (ГОСТ Р ИСО ТО 13569-2007).
На основе ПИБ строится управление, защита и распределение критичной информации в информационной системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.
В результате разработки КСЗИ определяется перечень организационных мероприятий защиты информации, которые представляют собой действия, выполняемые сотрудниками служб безопасности, органов ОБИ, обслуживающим персоналом и пользователями, в интересах обеспечения безопасности информации. Все организационные мероприятия защиты можно разделить на два класса:
1) защитные мероприятия, непосредственно направленные на обеспечение безопасности информации;
2) эксплуатационные мероприятия, связанные с организацией эксплуатации сложных систем.
Подавляющее большинство защитных, организационных мероприятий связано с обслуживанием технических, программных и криптографических средств защиты.
Под эксплуатационными организационными мероприятиями понимается комплекс мероприятий, связанных с необходимостью технической эксплуатации системы защиты информации, как подсистемы сложной человеко-машинной системы.
Требования к разработке организационных мероприятий:
· системность (необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов при всех видах информационной деятельности и информационного проявления, во всех структурных элементах, при всех режимах функционирования, на всех этапах жизненного цикла, с учетом взаимодействия объекта защиты с внешней средой);
· комплексность (согласование разнородных средств при построении целостной системы защиты);
· непрерывность защиты;
· разумная достаточность;
· гибкость управления и применения;
· открытость алгоритмов и механизмов защиты (Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору), однако распространить тоже не надо);
· простота применения защитных мер и средств (интуитивно понятны и просты в использовании);
· все организационные меры должны быть обоснованны (на базе исследования системы);
· выполнение всех организационных мер должно контролироваться.
| Этапы | Основное содержание | документы | |
| название | описание | ||
| Определение политики ИБ | Документы, определяющие политику ИБ | Концепция политики безопасности | |
| Установление границ, в которых предполагается поддерживать режим ИБ | Документы, в которых определены границы системы (объекта) | Модель АС с позиции ИБ | |
| Угрозы, уязвимые места, воздействия | Проведение оценки рисков | Документы, в которых описаны угрозы безопасности, уязвимые места, возможные результаты, негативного воздействия | Анализ рисков |
| Формирование подхода к организации управления | Выбор контрмер и управление рисками | Контрмеры, структурированные по уровням: административному, процедурному, программно-техническому | Управление рисками |
| Выбор средств для контроля режима ИБ | Выбор средств контроля и управления, обеспечивающих режим ИБ | Комплексная система, обеспечивающая информационную безопасность на всех этапах жизненного цикла | Комплексная система обеспечения ИБ |
| Аудит системы управления ИБ | Сертификация системы управления ИБ на соответствующие стандарты безопасности | Подготовка ведомости соответствия целесообразности использования контрмер | Аудит системы обеспечения ИБ |
Дата добавления: 2015-04-18; просмотров: 152; Мы поможем в написании вашей работы!; Нарушение авторских прав |