Академический Документы
Профессиональный Документы
Культура Документы
БЕЗОПАСНОСТИ
Общие положения.
Виды и типы политик безопасности.
Обязанности и ответственность должностных лиц.
Разработка политики безопасности, последовательность
действий.
1
Политика безопасности
Политика безопасности организации: Одно или несколько правил, процедур,
практических приемов или руководящих принципов в области безопасности,
которыми руководствуется организация в своей деятельности.
Политика безопасности:
Принятая организованная совокупность мероприятий, регламентирующих
правовые аспекты обработки защищаемой информации, разрабатываемая с
учетом действующего законодательства, руководящих и нормативных материалов,
положений, инструкций, правил и т.п. в области обращения, хранения и
распределения защищаемой информации.
Политика безопасности (security policy) - это формальное описание правил,
которые должны соблюдать пользователи данной организации, которым
предоставлен доступ к информационным ценностям организации и ее
информационным технологиям.
1. Краткий обзор
1.1. Организационные вопросы
1.2. Кто делает политику?
1.3. Кого затрагивает политика?
1.4. Распределение ответственности
2.2. Оценка рисков
2.1. Общие положения
2.2. Идентификация активов
2.3. Идентификация угроз
3. Политические вопросы
3.1. Кто имеет право использовать ресурсы?
3.2. Как правильно использовать ресурсы?
3.3. Кто наделен правом давать привилегии и разрешать использование?
3.4. Кто может иметь административные привилегии?
3.5. Каковы права и обязанности пользователей?
5
3.5. Каковы права и обязанности пользователей?
Критерии оценки
7
Пример Политики Безопасности ЛВС
1.1 Цель
Информация, используемая в ЛВС Агентства XYZ, является
критической для выполнения организацией своих задач. Размер и
сложность ЛВС в пределах XYZ увеличилась и теперь она
обрабатывает критическую информацию. Из-за этого должны быть
реализованы определенные меры и процедуры безопасности для
защиты информации, обрабатываемой в ЛВС XYZ. ЛВС XYZ
обеспечивает разделение информации и программ между большим
числом пользователей. Эта среда увеличивает риск безопасности и
требует более сильных механизмов защиты, чем те, что были бы
необходимы при работе на отдельно стоящих ПК. Эти усиленные
требования к защите в вычислительной среде XYZ послужили
причиной появления этой политики, которая касается
использования ЛВС в XYZ.
9
Пример Политики Безопасности ЛВС
1.2. Степень детализации
10
Пример Политики Безопасности ЛВС
1.3. Цели
Цели ПБ состоят в том, чтобы гарантировать целостность, доступность и
конфиденциальность данных, которые должны быть достаточно полными, точными,
и своевременными, чтобы удовлетворять потребности XYZ, не жертвуя при этом
основными принципами, описанными в этой политике.
Определяются следующие цели:
13
ОП4. За все изменения(замены) программного обеспечения и создание
резервных копий данных на серверах отвечают Администраторы ЛВС.
Пример Политики Безопасности ЛВС
2. ОБЩИЕ ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА В ЛВС
14
Пример Политики Безопасности ЛВС
15
Пример Политики Безопасности ЛВС
2.1.1 Пользователи
П1. Отвечают за понимание и соблюдение соответствующих законов, политик
и процедур руководящих органов, политик и процедур XYZ и других
применимых политик безопасности и связанных с ними последствий для
ЛВС XYZ.
16
Пример Политики Безопасности ЛВС
2.1.1 Пользователи
ФМ1. Отвечает за проведение эффективного управления риском для того, чтобы обеспечить
основу для формулирования разумной политики. Управление риском требует
идентификации ценностей, которые нужно защитить, определения уязвимых мест, анализа
риска их использования и реализации рентабельных средств защиты.
ФМ2. Отвечает за гарантию того, чтобы каждый пользователь получил, как минимум, копию
политики безопасности и местного руководства (если таковые есть в наличии ) до внесения
его в списки пользователей АС.
ФМ3. Отвечает за осуществление программы обучения основам безопасности для пользователей,
чтобы можно было гарантировать знание ими местной политики безопасности и правил
работы на компьютере.
ФМ4. Отвечает за гарантию того, что весь персонал в пределах операционной единицы
организации знает эту политику и отвечает за включение ее в инструктажи по компьютерной
безопасности и программы обучения .
ФМ5. Отвечает за информирование местного администратора и администраторов ЛВС об
изменениях в статусе любого служащего, который использует ЛВС XYZ. Это изменение
статуса может включать переход из организации в организацию в одном ведомстве, переход
из отдела в отдел, или окончание службы в XYZ.
ФМ6. Отвечает за гарантию того, что пользователи понимают природу злонамеренного
программного обеспечения, понимают, как оно вообще распространяется, и 19какие
программно-аппаратные средства защиты должны использоваться против него.
Пример Политики Безопасности ЛВС
23