Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
PAZI.docx
Скачиваний:
17
Добавлен:
01.03.2025
Размер:
146.87 Кб
Скачать
  1. Политика безопасности. Структура политики безопасности организации

Под политикой безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности является тем средством, с помощью которого реализуется деятельность в компьютерной информационной системе организации. Вообще политика безопасности определяется используемой компьютерной средой и отражает специфические потребности организации.

Политику безопасности можно построить таким образом, чтобы она устанавливала, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, которые четко предписывают, как должны выполняться конкретные задачи безопасности. Особенности работы конкретного сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам.

Политика безопасности определяет позицию организации по рациональному использованию компьютеров и сети, а также процедуры по предотвращению и реагированию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик — от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации

Структура политики безопасности организации

Для большинства организаций политика безопасности абсолютно необходима. Она определяет отношение организации к обеспечению безопасности и необходимые действия организации по защите своих ресурсов и активов. На основе политики безопасности устанавливаются необходимые средства и процедуры безопасности, а также определяются роли и ответственность сотрудников организации в обеспечении безопасности.

Обычно политика безопасности организации включает:

• базовую политику безопасности;

• специализированные политики безопасности;

• процедуры безопасности.

Основные положения политики безопасности организации описываются в следующих документах:

• обзор политики безопасности — раскрывает цель политики безопасности, описывает структуру политики безопасности, подробно излагает, кто и за что отвечает, устанавливает процедуры и предполагаемые временные рамки для внесения изменений. В зависимости от масштаба организации политика безопасности может содержать больше или меньше разделов;

• описание базовой политики безопасности — определяет разрешенные и запрещенные действия, а также необходимые средства управления в рамках реализуемой архитектуры безопасности;

• руководство по архитектуре безопасности — описывает реализацию механизмов безопасности в компонентах архитектуры, используемых в сети организации (рис. 3.1).

Базовая политика безопасности устанавливает, как организация обрабатывает информацию, кто может получить к ней доступ и как это можно сделать.

Потенциально существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназначаются для каждой организации, другие — специфичны для определенных компьютерных окружений.

С учетом особенностей применения специализированные политики безопасности можно разделить на две группы:

• политики, затрагивающие значительное число пользователей;

• политики, связанные с конкретными техническими областями.

К специализированным политикам, затрагивающим значительное число пользователей, относятся:

• политика допустимого использования;

• политика удаленного доступа к ресурсам сети;

• политика защиты информации;

• политика защиты паролей и др.

К специализированным политикам, связанным с конкретными техническими областями, относятся:

• политика конфигурации межсетевых экранов;

• политика по шифрованию и управлению криптоключами;

• политика безопасности виртуальных защищенных сетей VPN;

• политика по оборудованию беспроводной сети и др. Рассмотрим подробнее некоторые из ключевых специализированных политик.

Процедуры безопасности определяют, как защитить ресурсы и каковы механизмы исполнения политики, т. е. как реализовывать политики безопасности.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]