Hlavným cieľom administratívnej úrovne sú organizačné ochranné opatrenia. Administratívna úroveň informačnej bezpečnosti

27.04.2019

Strana 1 z 5

Administratívna úroveň zabezpečenie informačnej bezpečnosti

TO administratívnej úrovni informačná bezpečnosť zahŕňa všeobecné opatrenia prijaté vedením organizácie. Hlavným cieľom opatrení na administratívnej úrovni je vytvoriť pracovný program v oblasti informačnej bezpečnosti a zabezpečiť jeho realizáciu vyčlenením potrebných zdrojov a monitorovaním stavu vecí.

Základom programu je bezpečnostná politika, ktorá odráža prístup organizácie k ochrane jej informačných aktív. Podľa bezpečnostnej politiky sa vzťahuje na súbor zdokumentovaných rozhodnutí prijatých vedením organizácie a zameraných na ochranu informácií a s nimi spojených zdrojov. Bezpečnostná politika je postavená na základe analýzy rizík, ktoré sa považujú za reálne informačný systém organizácií. Keď sa analyzujú riziká a definuje sa stratégia ochrany, a program informačnej bezpečnosti. Na tento program sa vyčleňujú zdroje, určujú sa zodpovedné osoby, určuje sa postup kontroly plnenia programu atď.

Z praktického hľadiska je vhodné zvážiť bezpečnostnú politiku na troch úrovniach detailu. Najvyššia úroveň zahŕňa rozhodnutia, ktoré ovplyvňujú organizáciu ako celok. Majú veľmi všeobecný charakter a zvyčajne pochádzajú od vedenia organizácie. Vzorový zoznam takéto riešenia môžu zahŕňať nasledujúce prvky:

rozhodnutie o vytvorení alebo revízii komplexného programu informačnej bezpečnosti, vymenovanie osôb zodpovedných za propagáciu programu;
formulácia cieľov, ktoré organizácia sleduje v oblasti informačnej bezpečnosti, určenie všeobecných smerov pri dosahovaní týchto cieľov;
poskytovanie rámca na dodržiavanie zákonov a nariadení;
formulovanie administratívnych rozhodnutí o tých otázkach implementácie bezpečnostného programu, ktoré by sa mali posudzovať na úrovni organizácie ako celku.

Pre bezpečnostnú politiku najvyššej úrovne Ciele informačnej bezpečnosti organizácie sú formulované z hľadiska integrity, dostupnosti a dôvernosti. Ak je organizácia zodpovedná za údržbu kritických databáz, prioritou môže byť zníženie straty údajov, poškodenia alebo poškodenia. Pre predajnú organizáciu počítačová technológia pravdepodobne dôležitá je relevantnosť informácií o poskytovaných službách a cenách a ich dostupnosť maximálny počet potenciálnych kupcov. Manažment zabezpečeného podniku dbá predovšetkým na ochranu pred neoprávneným prístupom, teda na dôvernosť.

Najvyššia úroveň zahŕňa riadenie ochranných prostriedkov a koordináciu využívania týchto zdrojov, vyčleňovanie špeciálneho personálu na ochranu kritických dôležité systémy a interakcie s inými organizáciami, ktoré zabezpečujú alebo kontrolujú bezpečnostný režim.

Politika na najvyššej úrovni by mala jasne vymedziť sféru svojho vplyvu. Politika by mala definovať zodpovednosti úradníkov pri vytváraní bezpečnostného programu a jeho implementácii. V tomto zmysle je bezpečnostná politika základom personálnej zodpovednosti.

Politika na najvyššej úrovni sa zaoberá tromi aspektmi dodržiavania zákonov a výkonnostnej disciplíny. Po prvé, organizácia musí dodržiavať existujúce zákony. Po druhé, mali by sa monitorovať činnosti osôb zodpovedných za vývoj bezpečnostného programu. V neposlednom rade je potrebné zabezpečiť istú mieru výkonnosti personálu a na to je potrebné vypracovať systém odmien a trestov.

Stredná bezpečnostná politika pre každý aspekt by mal pokrývať nasledujúce témy:

1. Popis aspektu. Napríklad, ak vezmeme do úvahy používanie neformálneho softvéru používateľmi, druhý môže byť definovaný ako softvér, ktorý nebol schválený a/alebo zakúpený na úrovni organizácie.

2. Oblasť použitia. Malo by sa určiť, kde, kedy, ako, vo vzťahu ku komu a čo sa uplatňuje. túto politiku bezpečnosť. Vzťahuje sa napríklad politika týkajúca sa používania neoficiálneho softvéru na subdodávateľské organizácie? Má vplyv na zamestnancov, ktorí používajú notebooky a domáce počítače a sú nútení prenášať informácie do výrobných strojov?

3. Úlohy a zodpovednosti. Dokument musí obsahovať informácie o úradníkoch zodpovedných za implementáciu bezpečnostnej politiky. Ak napríklad zamestnanci vyžadujú povolenie od vedenia na používanie neoficiálneho softvéru, musí byť známe, od koho a ako ho získať. Ak nie je možné použiť neoficiálny softvér, mali by ste vedieť, kto toto pravidlo presadzuje.

4. dodržiavanie zákonov. Politika musí obsahovať všeobecný popis zakázané činy a tresty za ne.

5. Kontaktné body. Malo by byť známe, kde hľadať objasnenie, pomoc a Ďalšie informácie.

bezpečnostná politikanižší level odkazuje na konkrétne informačné služby. Zahŕňa dva aspekty - ciele a pravidlá na ich dosiahnutie, takže je niekedy ťažké oddeliť to od problémov s implementáciou. Na rozdiel od dvoch horné úrovne, predmetnú politiku je potrebné definovať podrobnejšie. Existuje veľa špecifických vecí určité typy služby, ktoré nemožno jednotne regulovať v celej organizácii. Tieto veci sú zároveň pre bezpečnostný režim také dôležité, že rozhodnutia s nimi súvisiace by sa mali robiť na manažérskej, nie technickej úrovni. Tu je niekoľko príkladov otázok, ktoré by mali byť zodpovedané v politike nízkej úrovne zabezpečenia:

kto má právo na prístup k objektom udržiavaným službou?
Za akých podmienok je možné údaje čítať a upravovať?
ako organizované vzdialený prístup do servisu?

Pri formulovaní nízkoúrovňových cieľov politiky môžete začať úvahami o integrite, dostupnosti a dôvernosti, ale nemôžete tam skončiť. Jeho ciele by mali byť konkrétnejšie. Napríklad, ak rozprávame sa o mzdovom systéme si môžete nastaviť cieľ, aby mohli zadávať a upravovať informácie len zamestnanci personálneho oddelenia a účtovného oddelenia.

Sú predstavené kľúčové pojmy - bezpečnostná politika a bezpečnostný program. Je popísaná štruktúra príslušných dokumentov, opatrenia na ich vypracovanie a udržiavanie. Bezpečnostné kontroly sú prepojené s fázami životného cyklu informačných systémov.

Základné pojmy

TO administratívna úroveň informačnej bezpečnostizahŕňa všeobecné opatrenia prijaté manažmentom na Organizácia.

Hlavným účelom opatreníadministratívnej úrovni- forma pr o pracovného programu v oblasti informačnej bezpečnosti a zabezpečiť jeho realizáciu vyčlenením potrebných zdrojov a monitorovaním stavu veci.

Základom programu jebezpečnostná politika, ktorý odráža prístup organizácie k ochrane jej informačných aktív. Rukovo d Vláda každej organizácie musí uznať potrebu udržiavať bezpečnostný režim a vyčleniť na tento účel značné zdroje.

bezpečnostná politikapostavený na základe analýza rizík , ktoré sú pre informačný systém organizácie uznávané ako skutočné. Po analýze rizík a definovaní stratégie ochrany sa vypracuje program informačnej bezpečnosti. V rámci tohto programu m prideľujú sa zdroje, prideľujú sa zodpovedné osoby, ja dok na ovládanie vykonávania programu atď.

Termín "Bezpečnostná politika"nie je úplne presné e voda z anglickej vety " bezpečnostnej politiky“ však v tomto sl pri čajový pauzovací papier lepšie odráža význam tohto pojmu ako lingvisticky b o správnejšie „bezpečnostné pravidlá“. Nebudeme mať na mysli jednotlivé pravidlá alebo ich súbory (takéto rozhodnutia sa prijímajú na procesnú úroveň, o ktorej bude reč nižšie), ale stratégiu organizácie v oblasti a n zabezpečenie formácie. Na vypracovanie stratégie a jej uvedenie do praxe sú nepochybne potrebné politické rozhodnutia prijaté na najvyššej úrovni.

Pod bezpečnostnej politikybudeme rozumieť súborom zdokumentovaných rozhodnutí, ktoré prijalo vedenie organizácie a ktoré sú zamerané na ochranu informácií a s nimi spojených zdrojov.

Takýto výklad je, samozrejme, oveľa širší ako súborpravidlá kontroly prístupu(toto znamená pojem „bezpečnostná politika“ v „Oranžovej knihe“ a v normatívne dokumenty ostatné krajiny).

IP organizácie a záujmy subjektov s tým súvisiacich je komplexný systém, na zváženie ktorého je potrebné aplikovať objektovú orientovaný prístup a koncept úrovne detailov. Vhodné je vyčleniť aspoň tri takéto úrovne, čo sme už urobili za cca. e znova a urobte to znova ďalej.

Aby bolo možné vecne posúdiť duševné vlastníctvo s použitím aktuálnych údajov, je potrebné vypracovaťmapa informačného systému. Táto karta , samozrejme, by mali byť vyrobené v objektovo orientovanom štýle, s možnosťou variácie nielenúroveň detailov, ale aj výhľad a moje tváre predmetov. Technický nástroj na zostavovanie, údržbu a vizualizáciu podobných motokára môžu byť voľne distribuované e môjho rámca akéhokoľvek kontrolného systému.

bezpečnostná politika

Z praktického hľadiska je vhodné zvážiť bezpečnostnú politiku na troch úrovniach detailu. Najvyššia úroveň zahŕňa rozhodnutia, ktoré ovplyvňujú organizáciu ako celok. Majú veľmi všeobecný charakter a zvyčajne pochádzajú od vedenia organizácie. Atď A rozmerový zoznam takýchto riešení môže obsahovať tieto prvky:

rozhodnutie o vytvorení alebo revízii komplexného programu informačnej bezpečnosti, vymenovanie osôb zodpovedných za propagáciu programu;
formulácia cieľov, ktoré organizácia sleduje v oblasti informačnej bezpečnosti, určenie všeobecných smerov pri dosahovaní týchto cieľov;
poskytovanie rámca na dodržiavanie zákonov a nariadení;
formulovanie administratívnych rozhodnutí o tých otázkach implementácie bezpečnostného programu, ktoré by sa mali posudzovať na úrovni organizácie ako celku.

Pre politiku najvyššej úrovne sú to infografické ciele organizácie R bezpečnosť sú formulované z hľadiska integrity, d o nohy a súkromie. Ak je organizácia zodpovedná za R Udržiavanie kritických databáz v popredí môže viesť k zníženiu straty, poškodenia alebo poškodenia údajov. Pre org ale nizácie zaoberajúcej sa predajom výpočtovej techniky, pravdepodobne va dobre o relevantnosti informácií o poskytovaných službách a cenách a jej o stu p maximálnemu počtu potenciálnych kupcov. Manažment bezpečného podniku dbá predovšetkým na ochranu pred do kontrola prístupu, teda súkromie.

Najvyššou úrovňou je riadenie ochranných prostriedkov a koordinácia použitie týchto zdrojov, pridelenie osobitných R personál na ochranu kritických systémov a interakciu s inými organizáciami, ktoré zabezpečujú alebo kontrolujú bezpečnostný režim pred nebezpečenstvom.

Politika na najvyššej úrovni by mala jasne vymedziť sféru svojho vplyvu. Možno to bude všetko počítačové systémy organizácie (alebo ešte viac, ak politika upravuje niektoré aspekty a od používanie ich domácich počítačov zamestnancami). Možno, oh d Existuje však aj situácia, keď sú do sféry vplyvu zaradené len tie najdôležitejšie systémy.

Politika by mala definovať zodpovednosti úradníkov pri vytváraní bezpečnostného programu a jeho implementácii. V tomto zmyslebezpečnostná politikaje základom zodpovednosti osôb a la.

Politika na najvyššej úrovni sa zaoberá tromi aspektmi práva o poslušnosť a výkonnostnú disciplínu. Po prvé, organizácia musí dodržiavať existujúce zákony. Po druhé, mali by ste sa ovládať A kontrolovať činnosť osôb zodpovedných za vypracovanie bezpečnostného programu o sti. Nakoniec je potrebné zabezpečiť určitý stupeň výkonu A personál, a na to je potrebné vypracovať systém odmien a trestov.

Všeobecne povedané, horná úroveň by mala byť vybratá aspoň v o prosov. Takéto vyhlásenie je vhodné, keď sľubuje významné b výrazná úspora nákladov alebo keď to jednoducho nejde inak.

úvodná, potvrdzujúca záujem vrcholového manažmentu o otázky bezpečnosti informácií;
organizačný, obsahujúci popis oddelení, komisií, skupín a pod., zodpovedných za prácu v oblasti informačnej bezpečnosti;
klasifikácia, popisujúca materiálne a informačné zdroje dostupné v organizácii a požadovaná úroveň ich ochrana;
na plný úväzok, charakterizujúce bezpečnostné opatrenia uplatňované voči personálu (popis pozícií z hľadiska informačnej bezpečnosti, organizácia školenia a preškoľovania personálu, postup pri reagovaní na porušenie bezpečnostného režimu a pod.);
časť týkajúca sa otázokfyzická ochrana;
ovládacia časť popisujúca prístup k riadeniu počítačov a počítačové siete;
časť s popisomdemarkačné pravidláprístup k informáciám o výrobe;
časť charakterizujúcavývojový poriadoka údržba systémov;
časť popisujúca opatrenia zamerané na zabezpečenienepretržitá práca organizácie;
právna časť potvrdzujúca súlad bezpečnostnej politiky s platnou legislatívou.

Stredná úroveň zahŕňa otázky súvisiace s určitými aspektmi informačnej bezpečnosti, ale dôležité pre rôzne od systémy prevádzkované organizáciou. Príkladom takýchto otázok sú postoje k vyspelým (ale možno nedostatočne odskúšaným) technológiám atď. o prístup na internet (ako spojiť slobodu prístupu k informáciám s ochranou pred vonkajšie hrozby?), používanie domácich počítačov, používanie neoficiálneho softvéru používateľmi atď.

Politika na strednej úrovni by mala pre každý aspekt pokrývať tieto témy:

Popis aspektu. Napríklad, ak vezmeme do úvahy použitie o tvorcovia neoficiálneho softvéru, ktorých možno definovať ako softvér, ktorý nebol schválený a/alebo zakúpený na úrovni organizácie.

Oblasť použitia. Malo by sa určiť kde, kedy, ako, podľa o komu a čo totobezpečnostná politika. Napríklad sa politika týka používania neformálneho A softvér, subdodávateľské organizácie? náklady ale Odrádza zamestnancov, ktorí používajú notebooky a domáce počítače a sú nútení prenášať informácie do d štátne stroje?

Postoj organizácie k tomuto aspektu. Pokračovaním príkladu z n e oficiálny softvér, možno si predstaviť poz A cie úplný zákaz, vypracovanie postupu na akceptovanie takéhoto softvéru atď. Pozícia sa dá formulovať oveľa viac všeobecný pohľad, ako súbor cieľov, ktoré organizácia v tomto aspekte sleduje. Vo všeobecnosti štýl dokumentov, ktoré definujú bezpečnostnú politiku (ako aj ich e chen), v rôznych organizáciách môžu byť veľmi odlišné.

Úlohy a zodpovednosti. Musí obsahovať „politický“ dokument Yu prečítajte si informácie o úradníkoch zodpovedných za vykonávanie bezpečnostnej politiky. Napríklad, ak na neformálne použitie o Zamestnanci softvéru potrebujú povolenie ruky o musí byť známe od koho a ako ho možno získať. Ak n e nemožno použiť oficiálny softvér, mali by ste vedieť, kto monitoruje implementáciu tohto pravidla.

Dodržiavanie zákonov. Politika by mala obsahovať všeobecný popis zakázaných činností a sankcií za ne.

Kontaktné miesta. Malo by byť známe, kde hľadať objasnenie, pomoc a dodatočné informácie. Zvyčajne „to h ktorý kontakt „slúži istému úradníkovi, a nie špeciálna osoba okupovať v tento moment tento príspevok.

bezpečnostná politikanižšia úroveň sa týka špecifických informačných služieb. Zahŕňa dva aspekty – ciele a pod. ale vôľu ich dosiahnuť, preto je niekedy ťažké oddeliť ju od problémov skutočných A zácia. Na rozdiel od dvoch horných úrovní sa uvažuje politika by sa mali definovať podrobnejšie. Existuje veľa špecifických vecí pre určité typy služieb, ktoré nemožno jednotne regulovať A v celej organizácii. Zároveň sú tieto veci také dobre Chceme zabezpečiť bezpečnostný režim, aby sa rozhodnutia, ktoré sa ich týkajú, prijímali na manažérskej úrovni a nie na technickej úrovni. Pref e Tu je niekoľko príkladov otázok, na ktoré treba odpovedať A zaškrtnutie nízkej úrovne zabezpečenia:

kto má právo na prístup k objektom udržiavaným službou?
Za akých podmienok je možné údaje čítať a upravovať?
Ako je organizovaný vzdialený prístup k službe?

Pri formulovaní nízkoúrovňových cieľov politiky môžete začať úvahami o integrite, dostupnosti a dôvernosti, ale nemôžete tam skončiť. Jeho ciele by mali byť konkrétnejšie. Napríklad, ak hovoríme o mzdovom systéme, môžete o stanoviť cieľ tak, aby len zamestnanci personálneho oddelenia a účtovníctva za h bol ochotný zadať a upraviť informácie. Vo viac všeobecný prípad ciele by mali spájať objekty služieb a akcie s nimi.

Od cieľov sa odvíjajú bezpečnostné pravidlá, ktoré popisujú, kto čo môže robiť a za akých podmienok. Čím sú pravidlá podrobnejšie, čím formálnejšie sú uvedené, tým ľahšie je podporiť ich implementáciu softvérom a hardvérom. Na druhej strane, pravidlá, ktoré sú príliš prísne, môžu brániť používateľskej skúsenosti a možno ich bude potrebné často kontrolovať. Manažment bude musieť nájsť rozumný kompromis, kde bude zabezpečená prijateľná úroveň bezpečnosti za prijateľnú cenu a zamestnanci nebudú príliš zviazaní. Zvyčajne sú prístupové práva k objektom špecifikované najformálnejšie z dôvodu osobitného významu tohto problému.

Bezpečnostný program

Po sformulovaníbezpečnostná politika, môžete začať pripravovať program na jeho realizáciu a vlastne do reality a zations.

Ak chcete pochopiť a implementovať akýkoľvek program, musí byť do prechádzať úrovňami, zvyčajne podľa organizačnej štruktúry ale cie. V najjednoduchšom a najbežnejšom prípade stačia dve úrovne - horná, alebo centrálna, ktorá pokrýva celú organizáciu. ale a nižšia, alebo služba, ktorá odkazuje na individuálne služby alebo skupiny podobných služieb.

Program najvyššej úrovne vedie osoba zodpovedná za a n formačné zabezpečenie organizácie. Tento program má tieto hlavné ciele:

Riadenie rizík ( posúdenie rizík , výber účinnými prostriedkami ochrana);
koordinácia činnosti v oblasti informačnej bezpečnosti, dopĺňania a distribúcie zdrojov;
strategické plánovanie;
ovládanie činnosti v oblasti informačnej bezpečnosti.

V rámci programu vyššej úrovne sú akceptovaní strategické rozhodnutia zabezpečiť bezpečnosť, technologické o žmurkanie. Informačné technológie sa vyvíjajú veľmi rýchlo a o Je dôležité mať jasnú politiku sledovania a implementácie nových nástrojov.

Kontrola činnosti v oblasti bezpečnosti má dve strany n smer. Po prvé, je potrebné zabezpečiť, aby činnosť organizácie neporušovala zákon. Zároveň by sa mali udržiavať kontakty s externými regulačnými organizáciami. Po druhé, musíte neustále monitorovať stav bezpečnosti v rámci organizácie. ale reagovať na prípady porušenia a zdokonaliť ochranné opatrenia vo svetle meniacich sa podmienok.

Je potrebné zdôrazniť, že program najvyššej úrovne musí A matka má v činnosti organizácie striktne vymedzené miesto, musí byť oficiálne akceptovaná a podporovaná vedením a tiež má určitý personál a rozpočet.

Účelom programu nižšej úrovne je poskytovať spoľahlivé a ekonomické o mimickú ochranu konkrétnu službu alebo skupiny podobných služieb. Táto úroveň rozhoduje o tom, ktoré ochranné mechanizmy by sa mali použiť; h ale okúpať a nastaviť technické prostriedky; beží každý e denná administratíva; monitorovaný stav slabiny atď. Za program nižšej úrovne sú zvyčajne zodpovední správcovia serverov. a sovy.

Synchronizácia bezpečnostného programu so životným cyklom systémov

Ak synchronizujete program zabezpečenia nižšej úrovne sživotný cyklus chránená služba, môžete dosiahnuť viac e f efekt pri nižších nákladoch. Programátori vedia, čo pridať nová príležitosť do už hotový systém o rádovo náročnejšie, ako na začiatku navrhnúť a zrealizovať. To isté platí pre informácie n noah bezpečnosť.

V životnom cykle informačnú službu možno rozlíšiť podľa Fázy fúkania:

Zasvätenie . Na tejto fáze odhaľuje potrebu e myšlienka novej služby, jej zamýšľaný účel je zdokumentovaný.

Nákup .V tejto fáze sú vypracované špecifikácie, majster s zvažujú sa možnosti akvizície, skutočné nákup .

Inštalácia . Služba je nainštalovaná, nakonfigurovaná, testovaná a zavedená prevádzka .

Vykorisťovanie . V tejto fáze funguje nielen služba a admin A pruhované, ale tiež podliehajú zmenám.

Vyraďovanie z prevádzky. Existuje prechod na nová služba.

Zvážte akcie vykonané v každej z fáz, viac ako n ach čiastočne.

V iniciačnej fáze dochádza k pochopeniu, že je potrebné zakúpiť nový alebo výrazne upgradovať existujúci systém R vis; je určené, aké vlastnosti a akú funkčnosť by mal mať; posudzujú sa finančné a iné obmedzenia.

Z hľadiska bezpečnosti hlavná akcia tu je hodnotenie kritickosti tak samotnej služby, ako aj informácií, ktoré budú s jej pomocou spracované. Je potrebné sformulovať odpovede na nasledujúce otázky:

aký druh informácií má nová služba poskytovať?
čo sú možné následky porušenie dôvernosti, integrity a dostupnosti týchto informácií?
Aké sú hrozby, voči ktorým budú služba a informácie najzraniteľnejšie?
Existujú nejaké vlastnosti novej služby (napríklad územné rozmiestnenie komponentov), ktoré si vyžadujú osobitné procesné opatrenia?
aké sú charakteristiky personálu relevantného pre bezpečnosť (kvalifikácia, dôveryhodnosť)?
aké sú zákonné ustanovenia a interné pravidlá, čomu by mala zodpovedať nová služba?

Východiskovým bodom sú výsledky hodnotenia kritickosti o špecifikácie nastavenia. Okrem toho určujú mieru pozornosti, ktorú by mala bezpečnostná služba organizácie venovať novému serveru. A su v ďalších fázach tohoživotný cyklus.

Fáza obstarávania - jeden z najťažších. Treba konečne spho R simulovať požiadavky na ochranné prostriedky novej služby, pre počítač ale kto sa môže kvalifikovať ako dodávateľ, a kvalifikácia požadovaná od personálu, ktorý používa alebo udržiava zakúpený produkt. Všetky tieto informácie sú zdokumentované vo forme špecifikácie, ktorá zahŕňa nielen hardvér a softvér, ale aj dokumentáciu o b servis, školenie personálu. Samozrejme, osobitnú pozornosť treba venovať kompatibilite novej služby s existujúcim kódom. n figurácia. Zdôrazňujeme tiež, že často sú bezpečnostnými prostriedkami ja sú voliteľné komponenty komerčné produkty a musíte sa uistiť, že zodpovedajúce položky nevypadnú zo špecifikácie.

Keď je produkt zakúpený, musí byť Inštalácia . Napriek zdanlivej jednoduchosti, inštalácia je veľmi zodpovedné podnikanie. po prvé, Nový produkt by mal byť nakonfigurovaný. Spravidla príďte R produkty cal sa dodávajú s vypnutými bezpečnostnými prvkami; musia byť povolené a správne nakonfigurované. Pre veľké oh R organizácie, kde je veľa používateľov a údajov, pôvodné nastavenie sa môže stať veľmi časovo náročnou a zodpovednou úlohou.

Po druhé, nová služba potrebuje procedurálne kontroly. Mali by ste sa starať o čistotu a bezpečnosť priestorov, dokumentov, e upravujúce používanie služby, o príprave plánov v prípade núdzové situácie, o organizácii školení užívateľov a pod.

Po vykonaní vyššie uvedených opatrení je potrebné vykonať test o ing. Jeho úplnosť a komplexnosť môže slúžiť ako záruka bezpečnosti o prevádzke v normálnom režime.

Obdobie prevádzky - najdlhší a najťažší. C psychológ A českého pohľadu najväčšie nebezpečenstvo v tomto čase predstavujú e významné zmeny v konfigurácii služby, v správaní používateľov ale pokladníkov a správcov. Ak nie je dodržaná bezpečnosť, je oslabená e vaet. Používatelia nie sú tak horliví pri vykonávaní pracovných nástrojov do správcovia analyzujú registráciu a n tvorenie. Jeden alebo druhý používateľ získa ďalšie privilégiá. Zdá sa, že sa v podstate nič nezmenilo; v skutočnosti po bývalom zabezpečení niet ani stopy.

Ak chcete bojovať proti účinkom pomalých zmien, musíte sa uchýliť k pravidelným bezpečnostným kontrolám služieb. Samozrejme po ale významných úprav, takéto kontroly sú povinné.

o vyraďovanie z prevádzkysú ovplyvnené hardvérové a softvérové komponenty služby a ňou spracovávané údaje. Appar ale zájazd predá, zlikviduje alebo vyhodí. Len v konkrétnom e V extrémnych prípadoch je potrebné postarať sa o fyzické zničenie aparátu T ny komponenty, ktoré ukladajú dôverné informácie. program m pravdepodobne sme len vymazaní, pokiaľ nemáme inú licenciu n žiadna dohoda.

o vyraďovanie údajov z prevádzkyzvyčajne sú prenesené do iného systému, archivované, vyradené alebo zničené. Ak sa archivácia vykonáva so zámerom neskoršieho čítania údajov inde, mali by ste sa postarať o hardvérovo-softvérovú kompatibilitu čítačiek a zapisovačov. Informačné technológie sa vyvíjajú veľmi rýchlo a o pár rokov tam už zariadenia, ktoré dokážu čítať staré médiá, už jednoducho nebudú. Ak sú údaje archivované v zašifrovanej forme, kľúč a dešifrovacie nástroje musia byť uložené. Pri archivácii a uchovávaní archívnych informácií netreba zabúdať na zachovanie dôvernosti údajov.

Administratívna úroveň informačnej bezpečnosti 1

Zdroj 1

1. Administratívna úroveň informačnej bezpečnosti: Základné pojmy 1

2. Bezpečnostná politika 2

3. Bezpečnostný program 6

4. Synchronizácia bezpečnostného programu so životným cyklom systémov 7

Literatúra 9

Zdroj

Základy informačnej bezpečnosti. V.A. Galatenko. Administratívna úroveň informačnej bezpečnosti [ http://www.intuit.ru/department/security/secbasics/class/free/6/]

1. Administratívna úroveň informačnej bezpečnosti: Základné pojmy

Administratívna úroveň informačnej bezpečnosti zahŕňa všeobecné opatrenia prijaté vedením organizácie.

Hlavným cieľom opatrení na administratívnej úrovni je vytvoriť pracovný program v oblasti informačnej bezpečnosti a zabezpečiť jeho realizáciu vyčlenením potrebných zdrojov a monitorovaním stavu vecí.

Základom programu je bezpečnostná politika, ktorá odráža prístup organizácie k ochrane jej informačných aktív. Vedenie každej organizácie si musí uvedomiť potrebu udržiavať bezpečnostný režim a vyčleniť na tento účel značné zdroje.

Bezpečnostná politika je založená na analýze rizík, ktoré sú pre informačný systém organizácie uznané ako reálne. Po analýze rizík a definovaní stratégie ochrany sa vypracuje program informačnej bezpečnosti. Na tento program sa vyčleňujú zdroje, určujú sa zodpovedné osoby, určuje sa postup kontroly plnenia programu atď.

Pojem „bezpečnostná politika“ však nie je celkom presným prekladom anglického slovného spojenia „security policy“, avšak v tento prípad pauzovací papier lepšie odráža význam tohto pojmu ako lingvisticky správnejšie „bezpečnostné pravidlá“. Nebudeme mať na mysli jednotlivé pravidlá alebo ich súbory (takéto rozhodnutia sa prijímajú na procedurálnej úrovni, o ktorej bude reč nižšie), ale stratégiu informačnej bezpečnosti organizácie. Na vypracovanie stratégie a jej uvedenie do praxe niet pochýb o tom, že sú potrebné politické rozhodnutia prijaté na najvyššej úrovni.

Bezpečnostnú politiku budeme chápať ako súbor zdokumentovaných rozhodnutí vedenia organizácie zameraných na ochranu informácií a s nimi spojených zdrojov.

Takáto interpretácia je, samozrejme, oveľa širšia ako súbor pravidiel kontroly prístupu (presne to znamenal pojem „bezpečnostná politika“ v „Oranžovej knihe“ a v normatívnych dokumentoch iných krajín vybudovaných na jej základe).

IS organizácie a záujmy subjektov s ním spojených je komplexný systém, na zváženie ktorého je potrebné aplikovať objektovo orientovaný prístup a koncepciu úrovne podrobnosti. Je vhodné vybrať aspoň tri takéto úrovne, čo sme už urobili v príklade a urobíme to znova neskôr.

Aby sa duševné vlastníctvo posudzovalo vecným spôsobom s použitím aktuálnych údajov, mala by sa vypracovať mapa informačného systému. Táto mapa, samozrejme, musí byť vyrobená v objektovo orientovanom štýle, s možnosťou meniť nielen úroveň detailov, ale aj viditeľné okraje objektov. Voľne distribuovaný rámec akéhokoľvek riadiaceho systému môže slúžiť ako technický nástroj na zostavovanie, údržbu a vizualizáciu takýchto máp.

Administratívna úroveň

Hlavným cieľom administratívnej úrovne je sformovať program práce v oblasti informačnej bezpečnosti a zabezpečiť jeho realizáciu vyčlenením potrebných zdrojov a monitorovaním stavu vecí. Základom programov je bezpečnostná politika, ktorá odráža prístup organizácie k ochrane jej informačných aktív.

Informačný systém organizácií a príbuzných subjektov, záujmov subjektov je komplexný systém, na ktorého hodnotenie a analýzu sa používa objektovo orientovaný prístup a koncepcia úrovne podrobnosti. Z praktického hľadiska je vhodné zvážiť bezpečnostnú politiku na 3 úrovniach detailu.

1. Najvyššia úroveň – rozhodnutie týkajúce sa organizácie ako celku: rozhodnutie o vytvorení alebo revízii komplexného programu informačnej bezpečnosti, vymenovanie osôb zodpovedných za propagáciu tohto programu.

2. Formovanie cieľov sledovaných organizáciou v oblasti informačnej bezpečnosti, určenie všeobecných smerov na dosiahnutie cieľa.

3. Poskytnúť rámec pre dodržiavanie zákonov a nariadení.

4. Formulácia administratívnych rozhodnutí o implementácii bezpečnostného programu, ktoré ovplyvňujú organizáciu ako celok.

Na vrcholovej úrovni sa určuje riadenie ochranných prostriedkov a koordinácia práce s týmito prostriedkami. Definovanie špecializovaného personálu na ochranu systémov a interakciu s inými organizáciami.

Stredná úroveň zahŕňa otázky týkajúce sa určitých aspektov bezpečnosti, ale špecifické pre rôzne prevádzkové organizácie v systéme.

Politika na strednej úrovni by mala pre každý aspekt pokrývať tieto témy:

1. Popis aspektu (napríklad prístup k medzinárodným sieťam)

2. Rozsah pôsobnosti

3. Stanoviská organizácie na táto záležitosť

4. Úlohy a zodpovednosti

5. Dodržiavanie zákonov

6. Kontaktné body

Nízkoúrovňová bezpečnostná politika sa vzťahuje na špecifické informačné služby. Čím sú pravidlá podrobnejšie, čím konkrétnejšie sú uvedené, tým jednoduchšie je podporiť ich implementáciu pomocou softvéru a hardvéru.

Po sformulovaní bezpečnostnej politiky začnú zostavovať program jej realizácie a samotnej realizácie.

Kontrola činností v oblasti bezpečnosti má dvojaké zameranie, v prvom rade je potrebné zabezpečiť, aby konanie organizácie neodporovalo platným zákonom. Po druhé, je potrebné neustále monitorovať stav bezpečnosti v rámci organizácie, reagovať na prípady porušenia a zdokonaľovať ochranné opatrenia vo svetle meniacich sa podmienok.

Politika informačnej bezpečnosti.

Súbor zákonov, pravidiel, praktické rady a skúsenosti určujúce manažérske a dizajnérske rozhodnutia v oblasti informačnej bezpečnosti. Na základe bezpečnostnej politiky je vybudovaná správa, ochrana a distribúcia kritických informácií v systéme. Mal by pokrývať všetky vlastnosti procesu spracovania informácií, definovať správanie sa informačného systému v určitých situáciách.

Pri vývoji a implementácii informačnej bezpečnosti je vhodné riadiť sa nasledujúcimi zásadami:

1. Nemožnosť obísť ochranné prostriedky – zásada nemožnosti znamená, že všetko informačné toky do a z chránenej siete musia prejsť prostriedkami ochrany informácií.

2. Samotné posilňovanie slabý článok- často takýmto odkazom nie je počítač alebo program, ale používateľ. Potom sa problém zabezpečenia informačnej bezpečnosti stáva netechnickým.

3. Neprípustnosť prechodu do otvoreného stavu – znamená, že za každých okolností informačný bezpečnostný systém buď plne plní svoje funkcie, alebo musí úplne blokovať prístup.

4. Minimalizácia privilégií - tento princíp nariaďuje, aby používatelia a správcovia dostali iba tie prístupové práva, ktoré potrebujú na plnenie svojich povinností.

5. Oddelenie povinností – predpokladá, že rozdelenie úloh a zodpovedností zabezpečí prevenciu zlomyseľných alebo nekvalifikovaných akcií systémový administrátor(1 osoba nemôže narušiť proces, ktorý je pre organizáciu kritický).

6. Viacvrstvová ochrana – predpisuje nespoliehať sa na jednu obrannú líniu. Po fyzickej bezpečnosti by mal nasledovať softvér a hardvér, po identifikácii a autentifikácii by mala nasledovať kontrola prístupu, protokolovanie a audit.

7. Rôznorodosť ochranných prostriedkov – odporúča organizovať obranné línie rôzneho charakteru tak, aby sa od potenciálneho útočníka vyžadovalo osvojenie si rôznych a pokiaľ možno nezlučiteľných zručností na prekonanie prostriedkov ochrany informácií.

8. Jednoduchosť a ovládateľnosť informačného systému – určuje možnosť formálneho dokazovania, správnosť, implementáciu ochranných mechanizmov. Iba v jednoduchom a ovládateľnom systéme môžete skontrolovať konzistenciu konfigurácií rôzne komponenty a zaviesť centralizovanú správu.

9. Zabezpečenie univerzálnej podpory bezpečnostných opatrení - nie je technického charakteru, odporúča sa prvotne vypracovať súbor opatrení zameraných na zabezpečenie lojality personálu, na neustálu praktickú a teoretickú prípravu.

Dva typy bezpečnostnej politiky: selektívna a autoritatívna.

Selektívna: základom selektívnej politiky je selektívna kontrola prístupu: musia byť identifikované všetky subjekty a objekty systému, prístupové práva k subjektu / objektu sú určené na základe nejakého pravidla. vlastnosť selektivity. Na popis vlastností selektívneho riadenia prístupu sa používa systémový model založený na prístupovej matici. Prístupová matica je najjednoduchší prístup k modelovaniu prístupových systémov.

Autoritatívna bezpečnostná politika: Základom autoritatívnej politiky je autoritatívna kontrola prístupu: 1. Všetky subjekty a objekty musia byť jednoznačne identifikované.
2. Každému objektu systému je priradené označenie kritickosti, ktoré určuje hodnotu informácií v ňom obsiahnutých.
3. Každá entita má priradenú úroveň transparentnosti, ktorá určuje maximálna hodnota kritické značky objektov, ku ktorým má subjekt prístup.

Hlavným účelom autoritatívnej politiky je regulovať prístup subjektov systému k objektom s rôznymi úrovňami kritickosti a zabrániť úniku informácií z vyšších úrovní hierarchie úloh do nižších, ako aj blokovať možný prienik z nižšie úrovne navrchol. Jeho použitie v komerčnom sektore je obmedzené z nasledujúcich dôvodov:
1. Chýbajúca jasná klasifikácia uchovávaných a spracovávaných informácií v komerčných organizáciách.
2. Vysoká cena implementáciu a vysoké režijné náklady.

Bezpečnostná politika zahŕňa širokú škálu organizačných a technických opatrení. Tu je zoznam tých hlavných:

1. Vývoj a schvaľovanie funkčné povinnosti predstavitelia informačnej bezpečnosti.

2. Vykonávanie potrebných zmien a doplnkov vo všetkých organizačných a administratívnych dokumentoch k otázkam bezpečnosti a opatreniam v prípade kritických situácií.

3. Identifikácia najpravdepodobnejších hrozieb pre tento informačný systém a slabých miest v procese spracovania informácií a prístupových kanálov k nemu.

4. Organizácia účtovníctva, uchovávanie, používanie a ničenie dokumentov a nosičov s utajovanými skutočnosťami.

5. Kontrola fungovania a riadenia používaných nástrojov informačnej bezpečnosti.

6. Periodická analýza stavu a hodnotenie účinnosti opatrení na ochranu informácií.

7. Zváženie a schválenie všetkých zmien vo vybavení informačného systému, ich kontrola z hľadiska dodržiavania bezpečnostných požiadaviek a zdokumentovanie zmien. Atď.

Uvádzame množstvo akcií, ktoré výrazne zvyšujú stupeň ochrany firemná sieť bez výrazného finančné náklady:

1. Starostlivé sledovanie personálu (najmä pracovníkov s nízkymi mzdami).

2. Diskrétne overenie záznamov zamestnanca.

3. Oboznámenie prijatého zamestnanca s dokumentmi popisujúcimi politiku organizácie v oblasti informačnej bezpečnosti a získanie účtenky.

4. Zmeňte obsah všetkých prihlasovacích obrazoviek tak, aby odrážali bezpečnostnú politiku prijatú podnikom.

5. Zvýšenie úrovne fyzickej ochrany.

6. Minimalizácia rizika krádeže počítača a vírusovej infekcie.

7. Uznanie pre zamestnancov určité práva pri práci s počítačom, napr.

A. Organizácia násteniek.

B. Zachovanie dôvernosti e-mailov.

C. Povolenie na používanie určitých počítačových hier.

Zamestnanci firmy by mali byť spojencami, nie odporcami správcu systému v boji za bezpečnosť dát!!!

Organizačné a režimové opatrenia vychádzajú z legislatívnych a regulačných dokumentov o informačnej bezpečnosti a mali by pokrývať tieto hlavné spôsoby uchovávania informačných zdrojov:

1. Obmedzenie fyzický prístup k predmetom spracúvania a uchovávania informácií a vykonávaniu bezpečnostných opatrení.

2. Obmedzenie možnosti zachytávania informácií z dôvodu existencie fyzikálnych polí.

3. Obmedzenie prístupu k informačné zdroje a ďalšie prvky spracovania údajov stanovením pravidiel riadenia prístupu, kryptografickým uzavretím kanálov prenosu údajov.

4. Vytváranie tlačených kópií v prípade straty dátových polí.

5. Vykonávanie preventívnych a iných opatrení proti zavlečeniu vírusov.

1. Činnosti realizované pri tvorbe informačného systému

A. Vývoj spoločný projekt systému a jeho konštrukčných prvkov.

B. Výstavba alebo renovácia stĺpikov.

B. Vývoj matematickej, softvérovej, informačnej alebo jazykovej podpory.

D. Inštalácia a nastavenie zariadení.

D. Testovanie a akceptácia systému.

V tejto fáze je mimoriadne dôležité určenie skutočných schopností ochranných mechanizmov. Prečo je vhodné aplikovať súbor testov a zaťažení.

2. Činnosti vykonávané počas prevádzky informačného systému.

A. Organizácia kontroly prístupu.

B. Organizácia automatizované spracovanie informácie.

B. Organizácia vedenia záznamov.

D. Distribúcia podrobností o kontrole prístupu.

D. Monitorovanie súladu s požiadavkami servisných pokynov.

3. Všeobecné činnosti:

A. Zohľadnenie požiadaviek na ochranu pri výbere personálu.
B. Odstránenie medzier v ochrannom mechanizme.
B. Plánovanie opatrení na ochranu informácií.
D. Školenie personálu.
D. Vedenie tried so zapojením vedúcich organizácií.
E. Účasť na seminároch a konferenciách o otázkach informačnej bezpečnosti.

Organizácia práce tajnej kancelárie.

Pri práci s dôležitými dokumentmi musia byť splnené tieto požiadavky:

1. Prísna kontrola prístupu personálu k tajným dokumentom.

2. Vymenovanie konkrétnych osôb z vedenia a zamestnancov spoločnosti na organizáciu a kontrolu práce tajných úradov, splnomocňujúc ich príslušnými právomocami.

3. Vypracovanie pokynov pre prácu s utajovanými písomnosťami a oboznámenie príslušných zamestnancov.

4. Kontrola prijímania písomných záväzkov zamestnancov k zachovaniu obchodného tajomstva spoločnosti.

5. Zavedenie systému materiálnych a iných stimulov pre zamestnancov spoločnosti, ktorí majú prístup k utajovaným skutočnostiam.

6. Úvod do každodennej praxe mechanizmov a technológií na ochranu obchodného tajomstva spoločnosti.

7. Osobná kontrola vedúcim servisnej spoločnosti vnútornej bezpečnosti a tajný obchod.

Rôzne triky vedenie tajnej evidencie zameranej na zamedzenie úniku obchodného tajomstva. Dokumenty obsahujúce obchodné tajomstvo sa líšia stupňom utajenia a sú opatrené príslušnou pečiatkou.

Komponenty kancelárskej práce	Funkcie informačnej bezpečnosti pri práci s dokumentmi	Spôsoby, ako to urobiť
Dokumentácia	1. Zabránenie neodôvodnenej tvorbe dokumentov 2. Zabránenie zahrnutiu nadbytočných dôverných informácií do dokumentov. 3. Predchádzanie neodôvodnenému nadhodnocovaniu stupňa utajenia dokumentov. 4. Upozornenie na neprimeranú distribúciu.	1. Stanovenie zoznamu dokumentov 2. Kontrola obsahu a stupňa utajenia dokumentu 3. Určenie skutočného stupňa utajenia informácií obsiahnutých v dokumente. 4. Kontrola reprodukcie a distribúcie dokumentov
Účtovanie dokladov	Prevencia straty dokumentov	1. Zabezpečenie registrácie každého dokumentu a pohodlie pri jeho vyhľadávaní 2. Kontrola nad umiestnením dokumentu
Ukladanie dokumentov	1. Zabezpečenie bezpečnosti dokumentov	1. Výber špeciálne vybavenie, dokumenty, ktoré vylučujú prístup k nim outsiderov 2. Stanovenie poradia prístupu k osobné záležitosti 3. Sledovanie včasnosti a správnosti tvorby vecí
Zničenie dokumentov	1. Vylúčenie z pracovného toku dokumentov, ktoré stratili svoju hodnotu	1. Stanovenie postupu prípravy dokumentov na zničenie 2. Zabezpečenie nevyhnutné podmienky na zničenie 3. Kontrola správnosti a včasnosti zničenia dokumentov
Kontrola dostupnosti dokumentu	1. Kontrola dostupnosti dokumentov, dodržiavanie požiadaviek na ich spracovanie, účtovanie, vyhotovenie a doručenie	1. Stanovenie postupu pri kontrole dostupnosti dokumentov a postupu pri ich vybavovaní.

V rámci systému je množstvo a rôznorodosť druhov ochrany informácií determinovaná spôsobmi ovplyvňovania destabilizačných faktorov alebo ich príčin, prvkov informačného systému, chránených informácií a prostredia v smere zvyšovania ukazovateľov informačnej bezpečnosti.

Najnovšie články

2022-03-17 22:04:42
Praktická práca na návrhu textových dokumentov obsahujúcich tabuľky
2022-03-17 22:04:42
Osobný účet poistenca
2022-03-17 22:04:42
Automatický identifikačný systém Spoločné používanie AIS s elektronickým mapovým systémom

Populárne články

Voľba redaktora

2022-03-12 11:39:54

Blikajúci alebo blikajúci telefón, smartfón a tablet Alcatel
Alcatel sa špecializuje na výrobu trendových mobilných telefónov, smartfónov a tabletov sprevádzaných nielen vynikajúcimi...
2022-03-12 11:39:54

Ako resetovať údaje (tvrdý reset, obnovenie továrenských nastavení) na Samsung Galaxy
Dostupnosť tvrdého resetu: K dispozícii Existuje mnoho dôvodov, prečo možno budete musieť vykonať tvrdý reset na výrobné nastavenia vášho smartfónu (Tvrdý...
2022-03-12 11:39:54

Najlepší firmvér pre HTC Desire so Sense Shell – Runnymede a RuHD Inštalácia RuHD pre Desire
Ano, trochu mimo temy, ale aj tak som inokedy blysol vlastnym, uz dost starym, smarfonom a mam skusenosti. Ako sa hovorí, rovnaký firmvér má niečo spoločné s ...
2022-03-12 11:39:54

Spôsoby, ako vrátiť klávesnicu do systému Android, ak je preč
Každý výrobca smartfónov sa snaží do svojej tvorby integrovať vlastnú virtuálnu klávesnicu. Nespĺňa však požiadavky užívateľa...
2022-03-12 11:39:54

Kamera Android nefunguje
Moderné smartfóny sa môžu pochváliť dvoma fotoaparátmi naraz – zadným (hlavným) a predným. Predná časť sa používa predovšetkým na selfie a...