
- •ИНФОРМАЦИОННАЯ
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Предпосылки разработки политики безопасности предприятия
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Рис. 2. Схема управления рисками
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Политика безопасности компьютерных систем и ее реализация
- •Вопросы?

Политика безопасности компьютерных систем и ее реализация |
9 |
I. |
Управленческие меры обеспечения информационной безопасности: |
1 |
|
Политика безопасности |
|
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем,
эксплуатируемых организацией. Примеры таких вопросов:
отношение к передовым (но, возможно, недостаточно проверенным) технологиям,
доступ к Internet (как сочетать свободу получения информации с защитой от внешних угроз?),
использование домашних компьютеров,
применение пользователями неофициального программного обеспечения и т.д.

Политика безопасности компьютерных систем и ее реализация |
10 |
I. Управленческие меры обеспечения информационной безопасности: 1 Политика безопасности
Политика среднего уровня должна для каждого аспекта освещать следующие темы:
Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как обеспечение, которое не было одобрено и/или закуплено на уровне организации.
Область применения. Следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика по поводу неофициального программного обеспечения организаций-субподрядчиков? Затрагивает ли она работников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?
Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного обеспечения и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов по политике безопасности (как и перечень

Политика безопасности компьютерных систем и ее реализация |
11 |
I. Управленческие меры обеспечения информационной безопасности: 1 Политика безопасности
Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь. Например, если для использования работником неофициального программного обеспечения нужно официальное разрешение, должно быть известно, у кого и как его следует получать. Если должны проверяться машинные носители, принесенные с других компьютеров, необходимо описать процедуру проверки. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.
Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.
Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности компьютерных систем и ее реализация |
12 |
I.Управленческие меры обеспечения информационной безопасности:
1Политика безопасности
Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта — цели и правила их достижения, поэтому ее
порой трудно отделить от вопросов реализации т.е. программы безопасности. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее.
Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:
Кто имеет право доступа к объектам, поддерживаемым сервисом?
При каких условиях можно читать и модифицировать данные?
Как организован удаленный доступ к сервису?
При формулировке целей, политика нижнего уровня может отправляться от соображений целостности, доступности и конфиденциальности, но она не
должна на них останавливаться. Ее цели должны быть конкретнее. Например, если речь идет о системе расчета заработной платы, можно поставить
цель, чтобы только работникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию.

Политика безопасности компьютерных систем и ее реализация |
13 |
I.Управленческие меры обеспечения информационной безопасности:
1 Политика безопасности
Пример политики безопасности для организации, владеющей локальной
вычислительной сетью (ЛВС).
Политика безопасности организации, владеющей ЛВС Описание аспекта
Информация, циркулирующая в рамках локальной сети, является критически важной. Каждый из компьютеров, входящих в сеть, нуждается в более сильной защите, чем отдельная машина. Эти повышенные меры безопасности и являются предметом данного документа.
Документ преследует две главные цели — продемонстрировать сотрудникам организации важность защиты сетевой среды и описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по
защите информации, циркулирующей в сети, равно как и самой сети.
Область применения
В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью; в том числе на пользователей, субподрядчиков и поставщиков.

Политика безопасности компьютерных систем и ее реализация |
14 |
I.Управленческие меры обеспечения информационной безопасности:
1 Политика безопасности
Позиция организации
Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:
Обеспечение уровня безопасности, соответствующего нормативным документам.
Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения ИБ).
Обеспечение безопасности в каждой функциональной области локальной сети.
Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.
Обеспечение анализа регистрационной информации.
Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.
Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.
Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Политика безопасности компьютерных систем и ее реализация |
15 |
I. Управленческие меры обеспечения информационной безопасности: 1 Политика безопасности
Роли и обязанности (общие положения)
Следующие группы людей отвечают за реализацию сформулированных выше целей.
Руководители подразделений. Они отвечают за доведение положений политики безопасности до пользователей и за контакты с пользователями.
Администраторы локальной сети. Они обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
Администраторы сервисов. Они отвечают за конкретные сервисы и, в частности, за то, что их защита построена в соответствии с общей политикой безопасности.
Пользователи. Они обязаны использовать локальную сеть в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех
подозрительных ситуациях.
Законопослушность
Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения со стороны персонала будут рассматриваться руководством для принятия мер

Политика безопасности компьютерных систем и ее реализация |
16 |
I. Управленческие меры обеспечения информационной безопасности: 1 Политика безопасности
Руководители подразделений обязаны:
1)Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.
2)Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.
3)Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем.
4)Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.).
5)Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за его безопасность и имеющего достаточную квалификацию для выполнения этой роли.

Политика безопасности компьютерных систем и ее реализация |
17 |
I.Управленческие меры обеспечения информационной безопасности: 1 Политика безопасности
Администраторы локальной сети обязаны:
1)Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.
2)Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.
3)Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.
4)Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.
5)Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.
6)Следить за новинками в области ИБ, информировать о них пользователей и руководство.
7)Не злоупотреблять данными им большими полномочиями.
8)Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения. Оказывать помощь в обнаружении и ликвидации зловредного кода.
9)Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.
10)Выполнять все изменения сетевой аппаратно-программной конфигурации.
11)Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.
12)Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.
13)Периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Политика безопасности компьютерных систем и ее реализация |
18 |
I. Управленческие меры обеспечения информационной безопасности: 1 Политика безопасности
Администраторы сервисов обязаны
1)Управлять правами доступа пользователей к обслуживаемым объектам.
2)Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов локальной сети о попытках нарушения защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.
3)Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.
4)Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.
5)Ежедневно анализировать регистрационную информацию, относящуюся к сервису.
6)Регулярно контролировать сервис на предмет зловредного программного обеспечения.
7)Периодически производить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.