«Аналіз загроз об’єкту захисту. Політика безпеки»

Вид материала

Документы

Содержание Мета політики безпеки Область застосування Політика безпеки даного обєкту

Подобный материал:

• «Аналіз загроз об’єкту захисту. Політика безпеки. Технічний захист», 587.41kb.
• Визначення та аналіз загроз персоналу, 70.67kb.
• Розділ swot-аналіз, 67.64kb.
• Нормативний документ системи технічного захисту інформації вимоги до захисту інформації, 355.9kb.
• Реферат Звіт з курсової роботи, 645.02kb.
• Розділ зовнішня політика І політика безпеки, 886.45kb.
• Нормативний документ системи технічного захисту інформації методичні вказівки щодо, 190.87kb.
• Назва модуля: Проектний аналіз Код модуля: епі 6042 С01, 19.6kb.
• Філософія, політика, суспільство, 1405.51kb.
• Регіональна програма забезпечення захисту та безпеки туристів на 2008- 2012 роки Загальні, 262.41kb.

Вступ

Політика інформаційної безпеки – це сукупність програмних, апаратних, організаційних, адміністративних, юридичних, фізичних заходів, методів, засобів, правил і інструкцій, які чітко регламентують усі аспекти діяльності підприємства, включаючи інформаційну систему, та забезпечують їх безпеку.

Мета політики безпеки

Метою політики безпеки є впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на захист інформаційних активів(інформація та дані у будь-якому вигляді, що отримуються, зберігаються, обробляються, передаються, оголошуються, у т.ч. знання співробітників, бази даних та файли, документація, посібники користувача, навчальні матеріали, описи процедур, заархівована інформація і т.п.) філії інформаційно-аналітичного центру соціологічних досліджень, мінімізації ризиків інформаційної безпеки та створення позитивної репутації.

Область застосування

Політика безпеки розповсюджується на всі аспекти життєдіяльності філії інформаційно-аналітичного центру соціологічних досліджень та застосовується до всіх активів філії інформаційно-аналітичного центру соціологічних досліджень, які можуть справляти матеріальний ефект на кінцевий продукт своєю відсутністю чи псуванням.

Політика безпеки даного обєкту

Для входу на територію лабораторії я вибираю дискреційну політики безпеки . я вибрав її на основі того, що в даному випадку вона найбільш підходить для цього випадку бо вона є найпростішою а вхід на територію непотрібно розділяти якимось обов’язками . Для входу ми не вибираємо мандатну політику через те , що вона регламентує вхід по різних мітках секретності а нам цього не потрібно , бо всі працівники проходять на територію на рівних правах . Також я не вибрав рольової політики бо в даному випадку вона є дуже складною , дорога вартість цієї політики , а також при її наявності в неї би існувала тільки одна роль тому я вважаю цю політику не доцільно використовувати в цьому випадку.

При доступі до вимірювальних приладів , а також до комплексу випробувань приладів я вибрав дискреційну політики безпеки , бо в мене є підлеглі які мають доступ до лабораторних установок і які не мають доступу , існують тільки дві категорії тому я вважаю , що не потрібно використовувати якусь іншу політику . Наприклад використання рольової політики безпеки є недоцільним бо тут існують тільки дві ролі а вартість створення такої політики є набагато більшим ніж вартість дискреційної політики. Мандатна політика також не підходить в цьому випадку бо вона є досить складною для цього простого випадку.

Для пересуванню по території лабораторії працівників я буду використовувати рольову політику безпеки через те що в даному випадку існують різні ролі : тобто прибиральниця, електрик , сантехнік . При цьому ми не будемо використовувати дискреційної політики безпеки , бо вона є дуже простою і не може задовільнити всі бажання які потрібні для нормальної функціональної роботи . При її використанні ми не можемо розділити працівників на різні рівні доступу , бо ця політика може або дати доступ , або не дати тому вона для нас не підходить . Мандатна політика також не підходить бо вона хоча є й дуже наближеною до найкращої в цьому випадку але оперувати набагато краще рольовою.

При використанні РПБ керування доступом здійснюється в дві стадії: по-перше, для кожної ролі вказується набір повноважень, що являють собою набір прав доступу до об'єктів, і, по-друге, кожному користувачу призначається список доступних йому ролей. Повноваження призначаються ролям відповідно до принципу найменших привілеїв, з якого випливає, що кожний користувач повинен мати тільки мінімально необхідні для виконання своєї роботи повноваження. Завдяки гнучкості та широким можливостям РПБ суттєво перевершує інші політики, хоча іноді її певні властивості можуть виявитися негативними. Так, вона практично не гарантує безпеки за допомогою формального доведення, а тільки визначає характер обмежень, виконання яких і є критерієм безпеки системи.

При доступі до комп’ютерної системи я використав мандатну політику безпеки , вибрав я її через те що вона дозволяє мені розділяти доступ , тобто кожному працівнику я маю змогу дати різний доступ до інформації . Але в силу того , що в мене по суті будуть два різних обєкти які мають доступ до інформації я використав мандатну а не рольову політику безпеки . Рольову політика безпеки мене також влаштовує але вона є складнішою в використанні і непотрібно використовувати щось складне якщо можна використати просту річ яка нам підходить . Дискреційну політику я не вибрав через те що в мене існують різні обєкти які мають доступ до різної інформації . Основна мета МПБ - запобігання витоку інформації від об'єктів з високим рівнем доступу до об'єктів з низьким рівнем доступу, тобто протидія виникненню в АС інформаційних каналів зверху вниз.


Висновок

Як ми бачимо є приміщення більш захищені і менш захищені. Наприклад взяти щитову і кімнату зі санвузлом. Вони є більш захищеними бо на даному етапі в цих двох кімнатах знаходиться найбільш цінна інформація. Але і є об’єкти менш захищені до яких потрапити не дуже складно і тому потрібно зміцнювати захист. Є кімнати в яких не має що прослуховувати і за чим спостерігати але їх вразливість в тому що попавши в ці кімнати ми будемо мати прямий доступ до всіх остальних кімнат і щоб цього не було нам в подальшому потрібно працювати.

Спочатку потрібно збільшити захист трансформатора, заземлення і водопостачання оскільки на даному етапі вони є найбільш вразливими .

Ми визначили найбільш вразливі прилади і це потрібно буде враховувати коли будемо розставляти ці прилади по кімнатах. Для усіх приладів притаманні дві загрози це витік інформації і виведення з ладу. Тому в майбутньому потрібно так розставити ці прилади щоб коефіцієнти загроз і вразливостей були 0.2 і менші за .2

Вибір політики безпеки зроблено з метою протидії множині за­гроз інформаційній безпеці організації із урахуванням цінності інформацій­ної сфери, що підлягає захисту та вартості системи забезпечення інформа­ційної безпеки.

При виборі політики безпеки було вибрано чотири політики безпеки, за допомогою яких керівництво організації одер­жує цілісну картину одного з найбільш складних об'єктів — інформаційної системи, що позитивно впливає на якість керування бізнесом у цілому, і, як наслідок, покращує його прибутковість і ефективність.