- •Вопрос 1
- •Вопрос 3
- •Вопрос 4. Классификация аис
- •Вопрос 5.
- •Вопрос 6.
- •Вопрос 7.
- •Вопрос 8.
- •Вопрос 10.
- •Вопрос 11.
- •Вопрос 12.
- •Вопрос 13.
- •Вопрос 14.
- •Вопрос15.
- •1. Общая характеристика erp систем
- •Вопрос 17. Политика информационной безопасности на предприятии.
- •Вопрос 18.Защита электронного документооборота.
- •Вопрос 19.
- •Вопрос 20.
- •Вопрос 21.
- •Вопрос 24.
- •Вопрос 25.Уровневая сетевая архитектура.
- •28 Вопрос.
- •Вопрос 29.
- •Вопрос 30.
- •Вопрос 31.
- •Вопрос 32.
- •Вопрос 33.
Вопрос 17. Политика информационной безопасности на предприятии.
Политика информационной безопасности - набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и
Политика безопасности - это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:
• определение какие данные и насколько серьезно необходимо защищать,
• определение кто и какой ущерб может нанести фирме в информационном аспекте,
• вычисление рисков и определение схемы уменьшения их до приемлемой величины.
Политика информационной безопасности является фундаментальным документом по обеспечению всего цикла безопасности информации в компании. Поэтому высшее руководство компании должно быть заинтересовано в знании и четком соблюдении основных ее пунктов всем персоналом компании. Все сотрудники подразделений, отвечающих за режим информационной безопасности компании, должны быть ознакомлены с политикой информационной безопасности под роспись.
Политика информационной безопасности может быть разработана как для отдельного компонента информационной системы, так и для информационной системы в целом. Политика информационной безопасности должна учитывать следующие особенности информационной системы: технологию обработки информации, вычислительную среда, физическую среду, среду пользователей, правила разграничения доступа и т.д.
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод основан на известной схеме : "Вы - злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.
Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки".
Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:
• концепция безопасности информации;
• определение компонентов и ресурсов информационной системы, которые могут стать источниками нарушения информационной безопасности и уровень их критичности;
• сопоставление угроз с объектами защиты;
• оценка рисков;
• оценка величины возможных убытков, связанных с реализацией угроз;
• оценка расходов на построение системы информационной безопасности;
• определение требований к методам и средствам обеспечения информационной безопасности;
• выбор основных решений обеспечения информационной безопасности;
• организация проведения восстановительных работ и обеспечение непрерывного функционирования информационной системы;
• правила разграничения доступа.
Основным составом комплекса по защите информации является
• 1. Защита от вторжений.
• Программные и аппаратно-программные межсетевые экраны, которые представляют собой программные средства, или программно-аппаратные устройства, предназначенные для контроля и разграничения межсетевого взаимодействия.
• 2. Защита от вредоносных программ.
• Программные средства обнаружения и уничтожения, любо изоляции, различных видов и носителей вредоносного кода. Фильтрация почтовых сообщений и WEB-контента Фильтрация осуществляется с помощью программных продуктов, которые контролируют исходящие и входящие (по каналам WEB и электронной почты) информационные потоки.
• 3.Резервное копирование
программно-аппаратные средства переноса наиболее ценной из циркулирующей в информационной системе информации на альтернативные носители с целью длительного хранения и с возможностью восстановления этой информации в случае необходимости.
• 4.Контроль активности
• Программно-аппаратные системы позволяющие осуществлять контроль и мониторинг перемещений и деятельности субъектов, находящихся в рамках контролируемого периметра.
• 5.Средства усиленной аутентификации
• Используются для повышения стойкости стандартной процедуры аутентификации за счет применения дополнительных аппаратных устройств. Такие средства повышают уровень доверия и дают дополнительные удобства по сравнению с системами, использующими стандартный набор средств