Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Визначення політики інформаційної безпеки організації

⇐ ПредыдущаяСтр 119 из 154Следующая ⇒


Читайте также:
  1. III. Проблеми та перспективи розвитку фінансово-валютної політики в Україні.
  2. V. ЗМІЦНЕННЯ ТА РАЦІОНАЛЬНЕ ВИКОРИСТАННЯ НАВЧАЛЬНО-МАТЕРІАЛЬНОЇ БАЗИ. ДОТРИМАННЯ ТЕХНІКИ БЕЗПЕКИ ТА САНІТАРНО-ГІГІЄНІЧНИХ НОРМ.
  3. Алгоритм прийняття рішення для забезпечення безпеки для об’єкта потенційної небезпеки
  4. Аналіз факторів впливу та визначення місця розташування складу в логістичному ланцюгу поставки товарів
  5. Безпеки України в різних сферах громадського життя
  6. Валютне регулюванняяк складова валютної політики Україні
  7. Вдосконалення нормативно-правової бази забезпечення загальнодержавної системи інформаційної безпеки

Необхідність у політиці безпеки на сьогоднішній день є очевидним фактом для будь-якого навіть достатньо невеликого підприємства. Політика безпеки в цілому — це сукупність програмних, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, ме­тодів, засобів, правил і інструкцій, які чітко регламентують усі аспе­кти діяльності підприємства, включаючи інформаційну систему, та забезпечують їх безпеку.

Крім свого прямого призначення, політика безпеки має ще один корисний ефект: у результаті аналізу інформаційних потоків, інвен­таризації інформаційних ресурсів та ранжирування інформації, яка оброблюється, передається або зберігається, за мірою її цінності ке­рівництво підприємства одержує цілісну картину одного з найбільш складних об'єктів — інформаційної системи, що позитивно впливає на якість керування бізнесом у цілому, і, як наслідок, покращує його прибутковість і ефективність.

Політику з інформаційної безпеки організації можна ви­значити як сукупність вимог та правил з інформаційної безпеки ор­ганізації для об'єкта інформаційної безпеки організації, вироблених з метою протидії заданій множині загроз інформаційній безпеці ор­ганізації із урахуванням цінності інформаційної сфери, що підлягає захисту та вартості системи забезпечення інформаційної безпеки.

Об'єкт інформаційної безпеки організації — це об'єкт (об'­єкти) організації, вплив порушника інформаційної безпеки на який (які) може призвести до реалізації загрози інформаційній безпеці організації. Управління об'єктом відповідно до заданої політики ін­формаційної безпеки організації по відношенню до специфічних дій, що відносяться до інформаційної безпеки організації, здійснюється єдиним керівним органом (адміністратором) системи забезпечення інформаційної безпеки організації.

Система забезпечення інформаційної безпеки організації (СЗІБ) представляє сукупність правових норм, організаційних та те­хнічних заходів, служб інформаційної безпеки та механізмів захисту, органів управління та виконавців, спрямованих на протидію заданій множині загроз інформаційній безпеці організації з метою звести до мінімуму можливі збитки користувачу або оператору зв'язку органі-


Частина II Основи безпеки інформаційних технологій

зації. Адміністратором (керівним органом системи забезпечення ін­формаційної безпеки організації може бути фізична або юридична особа, яка є відповідальною за реалізацію політики забезпечення ін­формаційної безпеки організації.

Під час розробки політики безпеки повинні бути враховані те­хнологія зберігання, оброблення та передавання інформації, моделі порушників і загроз, особливості апаратно-програмних засобів, фі­зичного середовища та інші чинники. У організації може бути реалі­зовано декілька різних політик безпеки, які істотно відрізняються.

Як складові частини загальної політики безпеки у організації ма­ють існувати політики забезпечення конфіденційності, цілісності, до­ступності оброблюваної інформації. Політика безпеки повинна стосу­ватись: інформації (рівня критичності ресурсів організації), взаємо­дії об'єктів (правил, відповідальності за захист інформації, гарантій захисту), області застосування (яких складових компонентів органі­зації політика безпеки стосується, а яких — ні).

Політика безпеки має бути розроблена таким чином, що б вона не потребувала частої модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди доцільно вказувати конкретну назву чи версію програмного продукту).

Політика безпеки повинна передбачати використання всіх мо­жливих заходів захисту інформації, як-то: правові та морально-етичні норми, організаційні (адміністративні), фізичні, технічні (апа­ратні і програмні) заходи і визначати правила та порядок застосу­вання у організації кожного з цих видів.

Політика безпеки повинна базуватися на наступних основних принципах:

• системності;

• комплексності;

• неперервності захисту;

• достатності механізмів і заходів захисту та їхньої адекватності загрозам;

• гнучкості керування системою захисту, простоти і зручності її використання;

• відкритості алгоритмів і механізмів захисту, якщо інше не перед­бачено окремо.

Політика безпеки повинна доказово давати гарантії того, що:

• у організації (в кожній окремій складовій частині, в кожному функціональному завданні і т. ін.) забезпечується адекватність рівня захисту інформації рівню її критичності;


Розділ 9 Основи управління інформаційною безпекою

реалізація заходів захисту інформації є рентабельною;

• в будь-якому середовищі функціонування організації забезпечує­ться оцінюваність і перевіряємість захищеності інформації;

• забезпечується персоніфікація положень політики безпеки (сто­совно суб'єктів організації), звітність (реєстрація, аудит) для всіх критичних з точки зору безпеки ресурсів, до яких здійснюється доступ в процесі функціонування інформаційної системи;

• персонал і користувачі забезпечені достатньо повним комплектом документації стосовно порядку забезпечення захисту інформації;

• всі критичні з точки зору безпеки інформації технології (функції) організації мають відповідні плани забезпечення неперервної ро­боти та її поновлення у разі виникнення непередбачених ситуацій;

• враховані вимоги всіх документів, які регламентують порядок за­хисту інформації у організації, та забезпечується їхнє суворе до­тримання.

Політика безпеки розробляється на підготовчому етапі створення СЗІБ організації.

Методологія розроблення політики безпеки організації включає в себе наступні роботи:

• розробка концепції безпеки інформації у організації;

• аналіз ризиків;

• визначення вимог до заходів, методів та засобів захисту;

• вибір основних рішень з забезпечення безпеки інформації;

• організація виконання відновлювальних робіт і забезпечення не­перервного функціонування організації;

• документальне оформлення політики безпеки.

Дата добавления: 2015-07-11; просмотров: 108 | Нарушение авторских прав

⇐ Предыдущая112113114115116117118119120121122123124125126127Следующая ⇒



mybiblioteka.su - 2015-2024 год. (0.008 сек.)