Политика безопасности
Политика безопасности – это совокупность норм и правил, определяющих принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации. Цель формулирования политики безопасности для ИС – ясное изложение взглядов руководства организации на существо угроз информационной безопасности организации и технологий обеспечения безопасности ИС. Политика безопасности должна быть оформлена документально на нескольких уровнях управления. На уровне управляющего высшего звена руководства должен быть подготовлен и утвержден документ, в котором определены цели политики безопасности, структура и перечень решаемых задач и ответственные за реализацию политики. Основной документ должен быть детализирован администраторами безопасности ИС (управляющими среднего звена) с учетом принципов деятельности организации, соотношения важности целей и наличия ресурсов. Детальные решения должны включать ясные определения методов защиты технических и информационных ресурсов, а также инструкции, определяющие поведение сотрудников в конкретных ситуациях.
Политика безопасности обычно состоит из двух частей: общих принципов и конкретных правил работы с ИС для различных категорий пользователей.
В руководстве по компьютерной безопасности, разработанном Национальным институтом стандартов и технологий США (National Institute of Standards and Technology – NIST), рекомендовано включать в описание политики безопасности следующие разделы:
1. Предмет политики. В этом разделе определяются цели и указываются причины разработки политики, область ее применения, задачи, термины и определения.
2. Описание позиции организации. Четко описаны ресурсы ИС, перечень допущенных к ресурсам ИС лиц и процессов и порядок получения доступа к ресурсам ИС.
3. Применимость. Определяется порядок доступа к данным ИС, определены ограничения или технологические цепочки, применяемые при реализации политики безопасности.
4. Роли и обязанности. В разделе определяются ответственные должностные лица и их обязанности в отношении разработки и внедрения различных элементов политики: обязанности администратора безопасности данных, администратора баз данных, администратора локальной сети, операторов.
5. Соблюдение политики. Описываются права и обязанности пользователей ИС. Представлено явное описание недопустимых действий при осуществлении доступа к информационным ресурсам организации и наказания за нарушения режимных требований. Должна быть ясно определена технология фиксации фактов нарушения политики безопасности и применения административных мер воздействия к нарушителям.
Комплект документов по организации и реализации политики безопасности должен включать: описание используемых подходов к оцениванию и управлению рисками; обоснование принятых решений по выбору средств защиты для рассматриваемой ИС; формальное описание процедуры определения допустимого уровня остаточного риска; описание процедуры проверки режима информационной безопасности и журналов с информацией по результатам проверки; регламентацию процессов обслуживания и администрирования ИС; контрмеры для противодействия выявленным рискам; сведения по организации системы управления информационной безопасностью и регистрации средств управления безопасностью.
Дата добавления: 2016-06-24; просмотров: 1099;