Geum.ru

Интеллектуальные компьютерные технологии защиты информации

Методическое пособие - Компьютеры, программирование

Другие методички по предмету Компьютеры, программирование

возникающих в различных сферах человеческой деятельности.

Вместе с тем переход информации в разряд важнейших ресурсов человечества вызывает к жизни проблему борьбы за обладание этим ресурсом, и как следствие - появление средств нападения, а соответственно и средств защиты.

В пособии использовались материалы лекций, прочитанных студентам БГУИР на кафедре интеллектуальных информационных технологий, в рамках учебных курсов: Теоретические основы защиты информации, Средства и методы обеспечения информационной безопасности, Проектирование защищенных систем, Управление защитой информации. Также в пособии использовались материалы из источников, представленных в разделе Литература.

1. Организационно-административное обеспечение информационной безопасности

 

Организационно-административное обеспечение безопасности информационных ресурсов организации включает организационно-штатную структуру и официально действующие правила безопасной работы и взаимоотношений пользователей в корпоративной информационной системе (КИС).

Вся совокупность таких правил имеет целью обеспечить поддержку и управление информационной безопасностью и составляет политику информационной безопасности организации.

 

1.1 Политика информационной безопасности

 

Политика безопасности (security policy) - множество условий, при которых пользователи могут получить доступ к информации и ресурсам системы. Политика безопасности определяет множество требований (правил), которые должны быть выполнены в конкретной реализации системы.

Высшее руководство организации, предприятия должно выработать четкое руководство и демонстрировать свою поддержку и участие в обеспечении информационной безопасности посредством проведения политики информационной безопасности во всей организации.

 

1.1.1 Документ с изложением политики информационной безопасности

Высшее руководство должно издать в письменной форме положение об информационной политике для всех подразделений организации. Оно должно содержать, как минимум, следующие принципы:

  1. определение информационной безопасности, ее целей и сферы применения, а также ее значимости как механизма, обеспечивающего совместное использование информации;
  2. заверение руководства о его намерении поддерживать цели и задачи информационной безопасности;
  3. разъяснение специфических направлений политики безопасности, принципов, стандартов и соответствия требованиям, включая:
  4. соответствие нормативно-правовым и договорным, контрактным требованиям;
  5. требования по обучению в области обеспечения безопасности;
  6. предотвращение воздействия деструктивных программ и мероприятия по их обнаружению;
  7. политику планирования бесперебойной работы.
  8. определение общей и особой ответственности для всех аспектов информационной безопасности;
  9. разъяснение процедуры сообщения о подозрительных инцидентах, затрагивающих проблемыбезопасности.

 

1.2 Выработка официальной политики предприятия в области информационной безопасности

 

1.2.1 Краткий обзор

1.2.1.1 Организационные вопросы

Целью разработки официальной политики предприятия в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Чтобы достичь данной цели, следует учесть специфику конкретной организации.

Во-первых, необходимо принять во внимание цели и основные направления деятельности организации. Например, в Генеральном штабе Министерства обороны и в университете существенно разные требования к конфиденциальности.

Во-вторых, разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации. Значит, эти законы и правила необходимо выявить и принять во внимание при разработке политики.

В-третьих, если локальная сеть организации не является изолированной, вопросы безопасности следует рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере из-за действий удаленной стороны, а также удаленные проблемы, причиной которых является локальный хост или пользователь.

 

1.2.1.2 Кто делает политику?

Политика безопасности должна стать результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, а также руководителей, способных влиять на проведение политики в жизнь. Нереализуемая или неподдерживаемая политика бесполезна.

Поскольку политика безопасности так или иначе затрагивает всех сотрудников организации, следует позаботиться о том, чтобы у вас было достаточно полномочий для принятия политических решений. Хотя некоторой группе (например отделу технического обслуживания) может быть поручено проведение политики (или некоторой ее части) в жизнь, возможно, нужна группа более высокого ранга для поддержки и одобрения политики.

1.2.1.3 Кого затрагивает политика?

Политика безопасности потенциально затрагивает всех пользователей компьютеров в организации, причем по нескольким аспектам. Пользователи могут отвечать за администрирование собственных паролей. Системные администраторы или администраторы безопасности о