Распределение ролей и обязанностей




Основа защиты информационных процессов в компьютерных системах

 

Оглавление

1 Информационная безопасность_ 2

1.1 Основные понятия и анализ угроз информационной безопасности_ 2

1.2 Политика информационной безопасности_ 2

1.2.1 Введение_ 2

1.2.2 Основные понятия политики информационной безопасности_ 3

Описание проблемы_ 4

Область применения_ 4

Позиция организации_ 4

Распределение ролей и обязанностей_ 5

Санкции_ 6

Дополнительная информация_ 6

Описание обязанностей категорий персонала_ 9

Управленческие меры обеспечения информационной безопасности_ 12

1.2.3 Структура политики информационной безопасности организации_ 13

1.2.3.1 Базовая политика безопасности_ 14

1.2.3.2 Специализированные политики безопасности_ 14

Политика допустимого использования_ 15

Политика удаленного доступа_ 17

1.2.3.3 Процедуры безопасности_ 18

Процедура реагирования на события_ 19

1.2.4 Разработка политики безопасности организации_ 21

Компоненты архитектуры безопасности_ 27

Роли и ответственности в безопасности сети_ 30

Управление тревожной сигнализацией_ 33

 

1 Информационная безопасность

1.1 Основные понятия и анализ угроз информационной безопасности

1.2 Политика информационной безопасности

1.2.1 Введение

Под политикой информационной безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика информационной безопасности является тем средством, с помощью которого реализуется деятельность в компьютерной информационной системе организации. Вообще, политики информационной безопасности определяются используемой компьютерной средой и отражают специфические потребности организации.

Обычно корпоративная информационная система представляет собой сложный комплекс разнородного, иногда плохо согласующегося между собой аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. Все эти компоненты чаще всего обладают собственными средствами защиты, которые нужно согласовать между собой. Поэтому очень важна эффективная политика информационной безопасности в качестве согласованной платформы по обеспечению безопасности корпоративной информационной системы. По мере роста компьютерной системы и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в системе слабых мест, поскольку все усилия по защите информации могут быть обесценены лишь одной оплошностью.

Можно построить такую политику безопасности, которая будет устанавливать, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, которые четко предписывают, как должны выполняться конкретные задачи безопасности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. Например, менеджер по персоналу может иметь доступ к частной информации любого сотрудника, в то время как специалист по отчетности может иметь доступ только к финансовым данным этих сотрудников. А рядовой сотрудник будет иметь доступ лишь к своей собственной, персональной информации.

Политика безопасности определяет позицию организации по рациональному использованию компьютерной сети, а также процедуры по предотвращению и реагированию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик - от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.

1.2.2 Основные понятия политики информационной безопасности

Политика информационной безопасности определяет стратегию управления в области информационной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.

Для того чтобы ознакомиться с основными понятиями политик безопасности, рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоторой организации, и ассоциированную с ней политику безопасности.

Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.

Высокоуровневая политика безопасности должна периодически пересматриваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно независимой от конкретных технологий. В таком случае данный документ политики не потребуется изменять слишком часто.

Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.

Описание проблемы

Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.

Область применения

В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Позиция организации

Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

· обеспечение уровня безопасности, соответствующего нормативным документам;

· следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходи ть предполагаемого ущерба от нарушения информационной безопасности);

· обеспечение безопасности в каждой функциональной области локальной сети;

· обеспечение подотчетности всех действий пользователей с информацией и ресурсами;

· обеспечение анализа регистрационной информации;

· предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;

· выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;

· обеспечение соответствия с имеющимися законами и общей политикой безопасности организации.

Распределение ролей и обязанностей

За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.

Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Ниже приведены более подробные сведения о ролях и обязанностях должностных лиц и пользователей сети.

Санкции

Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2017-04-03 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: