Жизнь – это не просто годы, посвященные ублажению самих себя и собственной карьере. Это привилегия, ответственность, необходимость жить, следуя за высшим призванием. © Элизабет Доул 1365 - | 818 - или читать все...
Обратная связь Пожаловаться на материал

Политика безопасности организации


⇐ ПредыдущаяСтр 4 из 36Следующая ⇒

Политика безопасности организации в области ИТ - это совокупность документируемых решений в виде программных, аппаратных, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все аспекты деятельности организации в области безопасности ИТ.

Основная цель политики безопасности - информирование пользователей, сотрудников и руководства о наложенных на них обязательных требованиях по защите технологии и информационных ресурсов.

Все документально оформленные решения, формирующие политику безопасности ОТ, должны быть утверждены руководством и опубликованы. Все сотрудники организации должны быть ознакомлены с политикой безопасности ИТ.

Концептуальные вопросы политики безопасности организации целесообразно изложить в «Концепции обеспечения безопасности в автоматизированной системе организации».

Основные составляющие политики безопасности ИТ:

· определение целей политики безопасности;

· определение принципов обеспечения и границ применяемости политики безопасности;

· краткое разъяснение (дайджест) политики безопасности;

· соответствие законодательным актам и стандартам;

· определение правил приобретения информационных технологий, которые отвечают требованиям безопасности;

· определение политики обеспечения непрерывности работы и восстановления АС;

· определение политики конфиденциальности стандартных сервисов (электронная почта (ЭП), Интернет, VPN, мобильные пользователи);

· определение политики аутентификации (пароли, рекомендации по аутентификации удаленных субъектов и использованию аутентифицирующих устройств);

· определение политики разграничения доступа и привилегии для различных категорий сотрудников (пользователей, системных администраторов, администраторов безопасности, руководителей);

· обнаружение и блокирование вирусов и других вредоносных программ;

· определение порядка разработки и сопровождения АС;

· обучение персонала по вопросам безопасности ИТ;

· защита от недекларированных возможностей ПО;

· ликвидация последствий нарушения политики безопасности и

· ссылки на более детальные документы по безопасности ИТ (положения, инструкции);

· аудит и обновление политики безопасности.

 

Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты

 

Организационные меры являются той основой, которая объединяет различные меры защиты в единую систему. Они включают:

· разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

· мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

· периодически проводимые (через определенное время) мероприятия;

· постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия

 

К разовым мероприятиям относят:

· мероприятия по созданию нормативно-методологической базы {разработка концепции и других руководящих документов) защиты АС;

· мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки технических средств несанкционированного съема информации и т.п.);

· мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

· проведение спецпроверок применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по техническим каналам;

· внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, технологические инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности ресурсов АС и действиям в случае возникновения кризисных ситуаций;

· создание подразделения защиты информации (компьютерной безопасности) и назначение нештатных ответственных за обеспечение безопасности ИТ в подразделениях и на технологических участках, осуществляющих организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации, разработка и утверждение их функциональных обязанностей;

· мероприятия по разработке политики безопасности, определение порядка назначения, изменения, утверждения и предоставления конкретным категориям сотрудников (должностным лицам) необходимых полномочий по доступу к ресурсам системы;

·мероприятия по созданию системы защиты АС и необходимой инфраструктуры (организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией, оборудование служебных помещений сейфами (шкафами) для хранения реквизитов доступа, средствами уничтожения бумажных и магнитных носителей конфиденциальной информации и т.п.);

·мероприятия по разработке правил разграничения доступа к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным;

·определение перечней файлов и баз данных, содержащих сведения конфиденциального характера, а также требований к уровням их защищенности от НСД при передаче, хранении и обработке в АС;

·выявление наиболее вероятных угроз для АС, выявление уязвимых мест процессов обработки информации и каналов доступа к ней, оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты;

·организация охраны и надежного пропускного режима;

·определение порядка проектирования, разработки, отладки, модификации, приобретения, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядка обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать), определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные, определение порядка проведения спецпроверок и специсследований СВТ и т.п.;

·определение перечня необходимых регулярно-проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.

Дата добавления: 2018-02-28; просмотров: 416; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая12345678910Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.019)