Если вы хотите кого-то изменить, сначала полюбите его. © Мартин Лютер Кинг-Младший 1212 - | 798 - или читать все...
Обратная связь Пожаловаться на материал

Цели создания системы обеспечения информационной безопасности


Стр 1 из 36Следующая ⇒

Раздел II

Обеспечение безопасности информационных технологий

Тема 8: Организационная структура системы обеспечения безопасности информационных технологий. Распределение функций. Система нормативно-методических и организационно-распорядительных документов организации по обеспечению безопасности информационных технологий.

Тема 9: Обязанности конечных пользователей и ответственных за обеспечение безопасности информационных технологий в подразделениях. Ответственность за нарушения. Порядок работы с носителями ключевой информации.

Тема 10: Инструкции по организации парольной и антивирусной защиты.

Тема 11: Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы.

Тема 12: Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств автоматизированной системы.

Тема 13: Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач.

Тема 14: Определение требований к защите и категорирование ресурсов. Проведение информационных обследований и анализ подсистем автоматизированной системы как объекта защиты.

Тема 15: Планы защиты и планы обеспечения непрерывной работы и восстановления подсистем автоматизированной системы.

Тема 16: Основные задачи подразделений обеспечения безопасности информационных технологий. Организация работ по обеспечению безопасности информационных технологий.

Тема 17: Концепция безопасности информационных технологий предприятия (организации).

ТЕМА 8

Организационная структура системы обеспечения безопасности информационных технологий. Распределение функций. Система нормативно-методических и организационно-распорядительных документов организации по обеспечению безопасности информационных технологий.

 

Понятие технологии обеспечения безопасности информации и ресурсов в АС

 

Под технологией обеспечения безопасности информации и ресурсов в АСпонимается определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.

Требования к технологии управления безопасностью:

· соответствие современному уровню развития информационных технологий;

· учет особенностей построения и функционирования различных подсистем АС;

· точная и своевременная реализация политики безопасности организации;

· минимизация затрат на реализацию самой технологии обеспечения безопасности.

 

Для реализации технологии обеспечения безопасности в АС необходимо:

· наличие полной и непротиворечивой правовой базы (системы взаимоувязанных нормативно - методических и организационно-распорядительных документов) по вопросам обеспечения безопасности ИТ;

· распределение функций и определение порядка взаимодействия подразделений и должностных лиц организации по вопросам обеспечения безопасности ИТ на всех этапах жизненного цикла подсистем АС, обеспечивающее четкое разделение их полномочий и ответственности;

· наличие специального органа (подразделения защиты информации, обеспечения информационной безопасности), наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики безопасности ИТ организации и осуществляющего контроль и координацию действий всех подразделений и сотрудников организации по вопросам обеспечения безопасности ИТ.

Реализация технологии обеспечения безопасности ИТ предполагает:

· назначение и подготовку должностных лиц (сотрудников), ответственных за организацию, реализацию функций и осуществление конкретных практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

· строгий учет всех подлежащих защите ресурсов системы (информации, ее носителей, процессов обработки) и определение требований к организационно-техническим мерам и средствам их защиты;

· разработку реально выполнимых и непротиворечивых организационно-распорядительных документов по вопросам обеспечения безопасности информации;

· реализацию (реорганизацию) технологических процессов обработки информации в АС с учетом требований по безопасности ИТ;

· принятие эффективных мер сохранности и обеспечения физической целостности технических средств и поддержку необходимого уровня защищенности компонентов АС;

· применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывную административную поддержку их использования;

· регламентацию всех процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений, использующих АС, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе утвержденных организационно-распорядительных документов по вопросам обеспечения безопасности ИТ;

· четкое знание и строгое соблюдение всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

· персональную ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;

· эффективный контроль за соблюдением сотрудниками подразделений -пользователями и обслуживающим АС персоналом, - требований по обеспечению безопасности информации;

· проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработку и реализацию предложений по совершенствованию системы защиты информации в АС.

 

Организационные (административные) меры регламентируют процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Цели создания системы обеспечения информационной безопасности

 

Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами

Обеспечение информационной безопасности - это непрерывный процесс, основное содержание которого составляет управление рисками через управление людьми, ресурсами, средствами защиты и т.п. Люди - обслуживающий персонал и конечные пользователи АС, - являются неотъемлемой частью автоматизированной (то есть «человеко-машинной») системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность.

Уровень информационной безопасности организации существенно зависит от деятельности следующих категорий сотрудников и должностных лиц организации (см. Рис. 2.8.1):

· сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с применением средств автоматизации;

· программистов, осуществляющих разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации;

· сотрудников подразделения внедрения и сопровождения ПО,

· обеспечивающих нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ (задач);

· сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и обслуживание технических средств обработки и передачи информации и системного программного обеспечения;

· системных администраторов штатных средств защиты (ОС, СУБД и т.п.);

· сотрудников подразделения защиты информации, оценивающих состояние безопасности ИТ, определяющих требования к системе защиты, разрабатывающих организационно-распорядительные документы по вопросам обеспечения безопасности ИТ (аналитиков), внедряющих и администрирующих специализированные дополнительные средства защиты (администраторов безопасности);

· руководителей организации, определяющих цели и задачи функционирования АС, направления ее развития, принимающих стратегические решения по вопросам безопасности и утверждающих основные документы, регламентирующие порядок безопасной обработки и использования защищаемой информации сотрудниками организации.

Кроме того, на безопасность ИТ организации могут оказывать влияние посторонние лица и сторонние организации, предпринимающие попытки вмешательства в процесс нормального функционирования АС или несанкционированного доступа к информации как локально, так и удаленно.

 

Рис. 2.8.1. Субъекты, влияющие на состояние безопасности ИТ

Дата добавления: 2018-02-28; просмотров: 425; Мы поможем в написании вашей работы!

Поделиться с друзьями:


12345678910Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.018)