- •Краткий конспект лекций
- •Тема 1. Основные понятия корпоративных информационных систем
- •1.1. Организационная и функциональная структура объекта управления
- •1.2. Информационные системы
- •1.3. Архитектура ис, типы архитектур
- •Тема 2. Информационные ресурсы корпоративных информационных систем
- •2.1 Информационная модель организации
- •2.1 Информационные ресурсы кис
- •Тема 3. Техническое обеспечение кис
- •3.2 Оборудование локальных сетей
- •3.3 Требования к техническому обеспечению кис
- •При проектировании кис формируется документ, в котором описывается комплекс используемых в системе технических средств, включающий:
- •Тема 4 Сетевое обеспечение корпоративных информационных систем
- •4.1 Компьютерные сети
- •В настоящее время развиваются городские сети или сети мегополисов (man, Metropolitan Area Networks), предназначенные для обслуживания территории крупного города.
- •Электронная почта (e-mail);
- •4.2 Корпоративные сети
- •Объединение офисных сетей с использованием беспроводного оборудования (рис. 4.3) предоставляет следующие преимущества:
- •Использование сети Интернет в качестве транспортной среды передачи данных при построении кс предприятия (рис. 4.4) предоставляет следующие преимущества:
- •Объединение локальных сетей предприятия в единую корпоративную сеть на основе арендованных каналов передачи данных (рис. 4.5) приносит следующие преимущества:
- •4.3 Интернет/Интранет-технологии
- •4.4 Перспективы развития телекоммуникационных и сетевых технологий
- •Тема 5. Программное обеспечение кис Глава 5. Программное обеспечение кис
- •5.1 Требования к программному обеспечению
- •5.2 Прикладное программное обеспечение кис
- •5.2.1 Рынок прикладного по и его сегментация
- •5.2.2 Средства разработки приложений
- •5.2.3 Системное программное обеспечение
- •5.2.4 Программное обеспечение промежуточного слоя
- •5.3 Интеграция ис
- •Описия сервисов
- •Р сервисов
- •Тема 6. Системы искусственного интеллекта
- •6.1 Основные понятия искусственного интеллекта
- •6.3 Интеллектуальный анализ данных. Управление знаниями
- •6.5 Системы поддержки принятия решений
- •Тема 7. Обеспечение безопасности кис
- •Глава 7 Обеспечение безопасности информационных систем
- •7.1 Основы информационной безопасности
- •7.2 Критерии оценки информационной безопасности
- •7.3 Классы безопасности информационных систем
- •7.4 Политика безопасности
- •7.5 Угрозы информационной безопасности
- •7.6 Методы и средства защиты информации
- •Тема 8. Проектирование корпоративных информационных систем
- •8 Проектирование корпоративной информационной системы
- •8.1 Жизненный цикл корпоративной информационной системы
- •8.2 Основные понятия проектирования кис
- •8.3 Подходы к проектированию ис
- •8.5 Стандартизация и сертификация информационных технологий
7.4 Политика безопасности
Политика безопасности – это совокупность норм и правил, определяющих принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации. Цель формулирования политики безопасности для ИС – ясное изложение взглядов руководства организации на существо угроз информационной безопасности организации и технологий обеспечения безопасности ИС. Политика безопасности должна быть оформлена документально на нескольких уровнях управления. На уровне управляющего высшего звена руководства должен быть подготовлен и утвержден документ, в котором определены цели политики безопасности, структура и перечень решаемых задач и ответственные за реализацию политики. Основной документ должен быть детализирован администраторами безопасности ИС (управляющими среднего звена) с учетом принципов деятельности организации, соотношения важности целей и наличия ресурсов. Детальные решения должны включать ясные определения методов защиты технических и информационных ресурсов, а также инструкции, определяющие поведение сотрудников в конкретных ситуациях.
Политика безопасности обычно состоит из двух частей: общих принципов и конкретных правил работы с ИС для различных категорий пользователей.
В руководстве по компьютерной безопасности, разработанном Национальным институтом стандартов и технологий США (National Institute of Standards and Technology – NIST), рекомендовано включать в описание политики безопасности следующие разделы:
Предмет политики. В этом разделе определяются цели и указываются причины разработки политики, область ее применения, задачи, термины и определения.
Описание позиции организации. Четко описаны ресурсы ИС, перечень допущенных к ресурсам ИС лиц и процессов и порядок получения доступа к ресурсам ИС.
Применимость. Определяется порядок доступа к данным ИС, определены ограничения или технологические цепочки, применяемые при реализации политики безопасности.
Роли и обязанности. В разделе определяются ответственные должностные лица и их обязанности в отношении разработки и внедрения различных элементов политики: обязанности администратора безопасности данных, администратора баз данных, администратора локальной сети, операторов.
Соблюдение политики. Описываются права и обязанности пользователей ИС. Представлено явное описание недопустимых действий при осуществлении доступа к информационным ресурсам организации и наказания за нарушения режимных требований. Должна быть ясно определена технология фиксации фактов нарушения политики безопасности и применения административных мер воздействия к нарушителям.
Комплект документов по организации и реализации политики безопасности должен включать: описание используемых подходов к оцениванию и управлению рисками; обоснование принятых решений по выбору средств защиты для рассматриваемой ИС; формальное описание процедуры определения допустимого уровня остаточного риска; описание процедуры проверки режима информационной безопасности и журналов с информацией по результатам проверки; регламентацию процессов обслуживания и администрирования ИС; контрмеры для противодействия выявленным рискам; сведения по организации системы управления информационной безопасностью и регистрации средств управления безопасностью.