Студопедия

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника



Политика информационной безопасности как основа организационных мероприятий. Основные требования к разработке организационных мероприятий




Политика информационной безопасности – совокупность требований и правил обеспечения информационной безопасности, разработанных в целях противодействия нарушителю по реализации угроз с учетом ценности защищаемой информации и стоимости системы обеспечения информационной безопасности.

Политика информационной безопасности организации – общее положение о намерениях и целях разработки программы обеспечения информационной безопасности организации (ГОСТ Р ИСО ТО 13569-2007).

На основе ПИБ строится управление, защита и распределение критичной информации в информационной системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.

В результате разработки КСЗИ определяется перечень организационных мероприятий защиты информации, которые представляют собой действия, выполняемые сотрудниками служб безопасности, органов ОБИ, обслуживающим персоналом и пользователями, в интересах обеспечения безопасности информации. Все организационные мероприятия защиты можно разделить на два класса:

1) защитные мероприятия, непосредственно направленные на обеспечение безопасности информации;

2) эксплуатационные мероприятия, связанные с организацией эксплуатации сложных систем.

Подавляющее большинство защитных, организационных мероприятий связано с обслуживанием технических, программных и криптографических средств защиты.

Под эксплуатационными организационными мероприятиями понимается комплекс мероприятий, связанных с необходимостью технической эксплуатации системы защиты информации, как подсистемы сложной человеко-машинной системы.

Требования к разработке организационных мероприятий:

· системность (необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов при всех видах информационной деятельности и информационного проявления, во всех структурных элементах, при всех режимах функционирования, на всех этапах жизненного цикла, с учетом взаимодействия объекта защиты с внешней средой);

· комплексность (согласование разнородных средств при построении целостной системы защиты);

· непрерывность защиты;

· разумная достаточность;

· гибкость управления и применения;

· открытость алгоритмов и механизмов защиты (Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору), однако распространить тоже не надо);

· простота применения защитных мер и средств (интуитивно понятны и просты в использовании);

· все организационные меры должны быть обоснованны (на базе исследования системы);

· выполнение всех организационных мер должно контролироваться.

 

Этапы Основное содержание документы
название описание
  Определение политики ИБ Документы, определяющие политику ИБ Концепция политики безопасности
  Установление границ, в которых предполагается поддерживать режим ИБ Документы, в которых определены границы системы (объекта) Модель АС с позиции ИБ  
Угрозы, уязвимые места, воздействия Проведение оценки рисков Документы, в которых описаны угрозы безопасности, уязвимые места, возможные результаты, негативного воздействия Анализ рисков  
Формирование подхода к организации управления Выбор контрмер и управление рисками Контрмеры, структурированные по уровням: административному, процедурному, программно-техническому Управление рисками
Выбор средств для контроля режима ИБ Выбор средств контроля и управления, обеспечивающих режим ИБ Комплексная система, обеспечивающая информационную безопасность на всех этапах жизненного цикла Комплексная система обеспечения ИБ
Аудит системы управления ИБ Сертификация системы управления ИБ на соответствующие стандарты безопасности Подготовка ведомости соответствия целесообразности использования контрмер Аудит системы обеспечения ИБ


Дата добавления: 2015-04-18; просмотров: 13; Нарушение авторских прав





lektsii.com - Лекции.Ком - 2014-2023 год. (0.011 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты