- •Ответы на вопросы по дисциплине «Безопасность и управление доступом в информационных системах»
- •1. Основные понятия защиты информации и информационной безопасности компьютерных систем и сетей с учетом определений стандарта гост р 50922-96
- •2.Угрозы информационной безопасности
- •3.Угрозы сетевой безопасности
- •4. Способы обеспечения информационной безопасности
- •5. Основные понятия политики безопасности
- •6. Структура политики безопасности организации
- •7. Стандарты информационной безопасности Международные стандарты
- •. Государственные (национальные) стандарты рф
- •8. Основные понятия криптографической защиты информации
- •9.Алгоритмы шифрования
- •10.Электронная цифровая подпись
- •11. Технологии аутентификации
- •12.Биометрические идентификаторы
- •13.Электронные идентификаторы
- •14 Классификация компьютерных вирусов
- •15.Антивирусные программы и комплексы
5. Основные понятия политики безопасности
Политика безопасности определяет стратегию управления в области информационной безопасности, а также меру внимания и количество ресурсов, которые считает целесообразным выделить руководство. Политика безопасности строится на основе анализа рисков, которые признаются реальными для ИС организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п. Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого конкретными документами специализированных политик и процедур безопасности.
Высокоуровневая политика безопасности должна периодически пересматриваться, гарантируя тем самым учет текущих потребностей организации. Документ политики составляют таким образом, чтобы политика была относительно независимой от конкретных технологий, в этом случае документ не потребуется изменять слишком часто. Для того чтобы познакомиться с основными понятиями политики безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоторой организации, и ассоциированную с ней политику безопасности. Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.
6. Структура политики безопасности организации
Обычно политика безопасности организации включает: • базовую политику безопасности; • специализированные политики безопасности; • процедуры безопасности.
Основные положения политики безопасности организации описываются в следующих документах: • обзор политики безопасности — раскрывает цель политики безопасности, описывает структуру политики безопасности, подробно излагает, кто и за что отвечает, устанавливает процедуры и предполагаемые временные рамки для внесения изменений. В зависимости от масштаба организации политика безопасности может содержать больше или меньше разделов; • описание базовой политики безопасности — определяет разрешенные и запрещенные действия, а также необходимые средства управления в рамках реализуемой архитектуры безопасности; • руководство по архитектуре безопасности — описывает реализацию механизмов безопасности в компонентах архитектуры, используемых в сети организации
7. Стандарты информационной безопасности Международные стандарты
BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
ISO/IEC 27000 — Словарь и определения.
ISO/IEC 27001:2005 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Дата выхода — 2007 год.
ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ.
German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).