Навигация по каталогу статей
01.06 Политика информационной безопасности.
Опубликовал  GMan1990 GMan1990 Добавлено  15-03-2015 16:35 15-03-2015 16:35 2330  Прочтений 2330 Прочтений  2 Комментариев 2 Комментариев
printer

Раздел 1 Вопрос 6. Политика информационной безопасности.

Политика информационной безопасности — совокупность руководящих принципов, правил, процедур и практических приемов в области ИБ, которые регулируют управление, защиту и распределение ценной информации.(гост 15408)

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня является согласно ГОСТ Р ИСО/МЭК 17799—2005 Общая политика информационной безопасности или иначе Концепция информационной безопасности. Данный документ должен отражать приверженность руководства к обеспечению информационной безопасности, общие подходы и требования и являться основой для создания всей структуры документов.

(Например, если организации отвечает за поддержание критически важных баз данных, то на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных.

Для организации, занимающейся продажами или складским хозяйством, наиболее важным может оказаться актуальность информации (т. е. отражение текущих цен и состояния дел), а также доступность этой информации максимальному числу потенциальных клиентов.

Для предприятия, занимающегося разработкой военной техники, наибольшее значение может иметь обеспечение конфиденциальности информации.)

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации.

Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п.( К среднему уровню можно отнести вопросы:

– следует ли внедрять передовые, но недостаточно проверенные (в том числе точки зрения информационной безопасности) технологии?

– следует ли обеспечить доступ в Интернет с рабочих мест сотрудников?; следует ли разрешать сотрудникам переносить данные с домашних компьютеров на рабочие, и наоборот?; следует ли допускать использование неофициального программного обеспечения?.

В документах, характеризующих политику безопасности среднего уровня, для каждого такого вопроса (аспекта) должны быть освещены следующие темы:

· описание аспекта (например, для вопроса, касающегося применения неофициального программного обеспечения, необходимо определить, что именно понимается под неофициальным программным обеспечением (это может быть ПО, которое не было одобрено и/или закуплено на уровне организаций);

· область применения – объясняет, где, когда, как, по отношению к кому и к чему применяется данная политика безопасности (например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций–субподрядчиков).

Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня относится к конкретным информационным сервисам, отдельным системам или подсистемам обработки данных.

Например, могут определяться общие правила доступа к информации, обрабатываемой системой расчета заработной платы; либо общие правила осуществления резервного копирования, регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

и т. д.

Вопросы политики безопасности нижнего уровня являются более конкретными и специфичными, более тесно связаны с технической реализацией, чем вопросы верхних двух уровней. В то же время они являются настолько важными для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.

(из лекций: ПИБ оформляется в виде документ требований на ИС, документы разделяются по уровню детализации процесса защиты.

На верхнем уровне должны быть оформлены :

  • концепция обеспечения ИБ.
  • Правила допустимого использования ресурсов ИС,
  • правила обеспечения непрерывного процесса ГОСТ 17799-2005.

К следующему уровню относятся документы касающиеся отдельных аспектов ИБ- требование на создание СЗИ, организацию информационных и бизнес-процессов.

В политику ИБ нижнего уровня входят – профиль защиты, политика доступа(включает политику учетных записей))

 

После того, как сформулирована политика безопасности, можно приступать к составлению программы безопасности, т. е. выработке конкретных мер по реализации политики безопасности.

Обычно программа безопасности разделяется на 2 уровня:

· верхний, или центральный уровень, который охватывает всю организацию;

· нижний, или служебный, относящийся к отдельным услугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации.

Программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально поддерживаться и приниматься руководством, а так же иметь определенный штат и бюджет.

Основными целями и задачами программы верхнего уровня являются следующие:

– управление рисками, включая оценку рисков и выбор эффективных средств защиты

– координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;

– стратегическое планирование.

В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки обеспечения защиты информации. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств, контроль деятельности в области информационной безопасности.

Такой контроль имеет двустороннюю направленность.

Во-первых, необходимо гарантировать, что действия организации не противоречат законам.

При этом следует поддерживать контакты с внешними контролирующими организациями.

Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

 

Программа нижнего уровня

Цель программы нижнего уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы сервисов.

На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т. д. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Следует особо отметить, что вопросам обеспечения информационной безопасности должно уделяться внимание на всех этапах жизненного цикла информационного сервиса (информационной системы, программы обработки данных).

 

Разработка и внедрение документов, составляющих политику информационной безопасности, как и любой другой проект, имеющий общеорганизационное значение, в первую очередь должен быть санкционирован и поддержан руководством. Руководство должно отвечать за отслеживание выполнения работ, выделение необходимых ресурсов (людских, денежных и пр.), а также за утверждение разработанных документов.

Комментарии
1 #1 GMan1990
March 15 2015 21:42:47
ISO/IEC 17799 — стандарт информационной безопасности, опубликованный в 2005 году организациями ISO и IEC. Он озаглавлен Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности (англ. Information technology - Security techniques - Code of practice for information security management). Текущая версия стандарта является переработкой версии, опубликованной в 2000 году, которая являлась полной копией Британского стандарта BS 7799-1:1999.
1 #2 GMan1990
March 15 2015 21:48:02
Политика безопасности - это совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обеспечения безопасности информации.

Для того, чтобы сформировать и определить Вашу политику информационной безопасности, Вам понадобятся следующие исходные данные:
• Необходимо определить информацию которая подлежит защите и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией
• Определить топологии средств автоматизации (физической и логической)
• Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа
• Определить угрозы безопасности информации и создать модель нарушителя
• Обнаружить и описать известные угроз и уязвимости
• Расположить угрозы по убыванию уровня риска (провести анализ рисков)

Так же, необходимо описать общую характеристику и специализацию организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня риска).

Необходимо описать организационно-штатную структуру организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений). Так же составляется общее описание рабочего процесса, технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполняется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации.


Должны быть описаны так же следующие данные:
Используемые на предприятии средства вычислительной техники и программное обеспечение
• Сведения об используемых СВТ (описание аппаратных средств, коммуникационного оборудования удаленного доступа)
• Сведения об используемом общем ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение)
• Сведения об используемом специальном ПО (наименование и назначение, фирма разработчик, аппаратные требования, функциональные возможности, размещение)

Организация и структура информационных потоков и их взаимодействие
• Топология ЛВС
• Схема коммуникационных связей
• Структура и состав потоков данных (перечень входных информационных объектов и их источники, перечень выходных информационных объектов и их получатели, перечень внутренних информационных объектов)
• Организация хранения данных
Общая характеристика автоматизированных систем организации
• Расположение ЛВС
• Технические и программные средства ЛВС (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации)
• Технические и программные средства доступа к ЛВС из сетей общего доступа
• Принадлежность и типы каналов связи
• Сетевые протоколы удаленного доступа
Угрозы информационной безопасности
• Сведения о распределении обязанностей и инструкциях по обработке и защите информации
• Вероятные угрозы (угроза, ее вероятность и возможный ущерб)
• Применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты)

По окончании, Вы получите документ «Политика информационной безопасности организации», который определяет:
• Само понятие информационной безопасности и ее основных составляющих и используемых понятий
• Цели и принципы информационной безопасности
• Разъяснение политики безопасности, принципов, стандартов и требований к ее соблюдению (основные направления, способы и требования по обеспечению безопасности информации, выполнение правовых и договорных требований, требования к обучению персонала правилам безопасности, политику предупреждения и обнаружения вирусов, политику обеспечения бесперебойной работы организации)
• Определение общих и конкретных обязанностей должностных лиц организации по обеспечению информационной безопасности, включая уведомления о случаях нарушения защиты
• Перечень документов, выпускаемых в поддержку политики безопасности (положения, инструкции, регламенты и т.п.)
Добавить комментарий
Пожалуйста, авторизуйтесь для добавления комментария.
Рейтинги
Рейтинг доступен только для пользователей.

Пожалуйста, авторизуйтесь или зарегистрируйтесь для голосования.

Нет данных для оценки.