Разработка политики безопасности организации - Основные понятия политики информационной безопасности

Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности организации, предприятия или учебного заведения. С учетом этого рассмотрим следующее определение политики безопасности.

Политика безопасности - это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуются организация в своей деятельности. Кроме того, политика безопасности включает в себя требования в адрес субъектов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов информационных отношений.

Основные направления разработки политики безопасности:

-определение объема и требуемого уровня защиты данных ; -определение ролей субъектов информационных отношений.

Результатом разработки политики безопасности является комплексный документ, представляющий собой систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

Этот документ выступает методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:

-основные положения информационной безопасности организации; -область применения политики безопасности; -цели и задачи обеспечения информационной безопасности организации; -распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.

Основные положения определяют важность обеспечения информационной безопасности, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы. При описании области применения политики безопасности перечисляются компоненты автоматизированной системы обработки, хранения и передачи информации, подлежащие защите.

В состав автоматизированной информационной системы входят следующие компоненты:

-аппаратные средства-компьютеры и их составные части(процессоры, мониторы, терминалы, дисководы. принтеры, контроллеры)кабели, линии связи т. п.; -программное обеспечение - приобретение программы, исходные, объектные, загрузочные модули; операционные системы и системные программы, утилиты, диагностические программы и т. д.; -персонал - обслуживающий персонал и пользователи.

Цели, задачи, критерии оценки информационной безопасности определяются функциональным назначением организации. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных.

Политика безопасности затрагивает всех субъектов информационных отношений в организации, поэтому на этапе разработки политики безопасности очень важно разграничить их права и обязанности, связанные с их непосредственной деятельностью.

В зависимости от размеров организации, степени развитости ее информационной системы некоторые из перечисленных ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом. С позиции обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям):

Специалист по информационной безопасности играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям.

Владелец информации-лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случаев именно владелец информации может определить ее ценность и конфиденциальность.

Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.

Администратор сети - лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности.

Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача - своевременно и качественно инстрктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются.

Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и характер ущерба, который будет нанесен организации при ее раскрытии.

Аудиторы-внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.

Похожие статьи

• ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии

  Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных...

• Основные понятия баз данных. Цели использования баз данных - Разработка базы данных

  В широком смысле слова база данных (БД) - это совокупность сведений о конкретных объектах реального мира в какой-либо предметной области. Для удобной...

• Введение - Основные понятия политики информационной безопасности

  Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация,...

• Комплексный подход к обеспечению информационной безопасности, Основные понятия - Защита информации

  Основные понятия Под информацией, применительно к задаче ее защиты понимается сведения о лицах, предметах, фактах, событиях явлениях и процессах...

• АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ, Классификация и анализ источников угроз и уязвимостей безопасности - Разработка модели системы информационной безопасности на предприятии

  Классификация и анализ источников угроз и уязвимостей безопасности В информационной безопасности под угрозой понимают потенциальное событие или действие,...

• Основные понятия информатики - Теоретико-прикладные аспекты использования средств информационно-коммуникационных технологий в дошкольных учреждениях

  Большинство ученых в наши дни отказываются от попыток дать строгое определение информации и считают, что информацию следует рассматривать как первичное,...

• Особенности организации технического обеспечения, Основные требования и характеристики современных и применение технических средств АИС - Техническое обеспечение автоматизированных информационных систем

  Основные требования и характеристики современных и применение технических средств АИС Автоматизированная информационная система (АИС) представляет собой...

• Разработка политики информационной безопасности - Разработка модели системы информационной безопасности на предприятии

  1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....

• Формальные средства защиты - выполняют свои функции обособленно от человеческой деятельности, по заранее определенному алгоритму. - Обеспечение информационной безопасности на предприятии

  1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...

• Конституция Российской Федерации, Доктрина информационной безопасности Российской Федерации - Разработка алгоритма генерации для создания базы данных искусственных биометрических образов

  Конституция Российской Федерации, принятая 12 декабря 1993 года, имеет высшую юридическую силу, прямое действие и применяется на всей территории...

• РАЗРАБОТКА ПОРТАЛА ПЕРВИЧНОЙ АВТОРИЗАЦИИ, Постановка задачи - Разработка модели системы информационной безопасности на предприятии

  Постановка задачи Основной целью дипломной работы является создание комплексной системы информационной безопасности предприятия на примере информационной...

• Разработка по совершенствованию организации и технологии предоставления услуг предприятия "Авиаэкспресс-Сервис", Предложение автоматизации предприятия "Авиаэкспресс-Сервис" с внедрением программного комплекса "САМО-ТурАгент" - Информационные технологии управления в туризме на примере турфирмы "Авиаэкспресс-Сервис"

  Предложение автоматизации предприятия "Авиаэкспресс-Сервис" с внедрением программного комплекса "САМО-ТурАгент" Процесс внедрения автоматизированного...

• Модель нарушителя - Разработка модели системы информационной безопасности на предприятии

  Обеспечение защиты информационных активов университета специфично, так как это учреждение с непостоянной аудиторией. По причине того, что атаки могут...

• Состав аппаратных и программных средств и структура сети - Разработка модели системы информационной безопасности на предприятии

  Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...

• Теоретические основы разработки информационных систем, Основные понятия СУБД Microsoft Access - Разработка информационной системы "Гостиница"

  Основные понятия СУБД Microsoft Access Microsoft Access - это система управления базами данных, предназначенная для создания и обслуживания баз данных,...

• РАЗРАБОТКА МОДЕЛИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, Анализ на соответствие стандартам и существующим политикам - Разработка модели системы информационной безопасности на предприятии

  Анализ на соответствие стандартам и существующим политикам Проанализировав актуальные стандарты и "лучшие практики" в сфере информационной безопасности и...

• Основы информационной безопасности

  Введение Курс с названием "Основы информационной безопасности" (Information Security) входит в целый ряд государственных образовательных стандартов по...

• Заключение - Обеспечение информационной безопасности в сети Internet

  Исходно сеть создавалась как незащищенная открытая система, предназначенная для информационного общения все возрастающего числа пользователей. При этом...

• Организация фильтрации данных, Разработка интерфейса, Тестирование - Информационная система "Автосервис"

  Так выглядит строка, через которую будем фильтровать данные Выбираем условие фильтра, вводим значение, которое нам нужно вывести и нажимаем кнопку...

• Основные понятия МКЭ - Разработка ячейки вычислительного модуля на базе мультиядерного микропроцессора цифровой обработки

  Исходным объектом для применения МЮ является материальное тело (в общем случае - область, занимаемая сплошной средой или полем), которое разбивается на...

• Рынок систем безопасности, Основные тенденции рынка: статистика и прогнозы - Обеспечение информационной безопасности в сети Internet

  Основные тенденции рынка: статистика и прогнозы Как известно, тот, кто владеет информацией, владеет миром. Однако сегодня все убедительнее звучит и...

• Теоретические основы KPI и методы их построения, Понятие KPI - Разработка ключевых показателей эффективности для ИТ-отдела организации

  Понятие KPI "Ключевые показатели эффективности (англ. Key Performance Indicators, KPI) -- показатели деятельности подразделения (предприятия), которые...

• Разработка предложений по организации КС, Анализ КС с точки зрения информационных тяготений - Разработка корпоративной сети на основе технологий xDSL

  В данной дипломной работе будут предложены различные системы организации абонентского доступа. Предлагается строить КС с применением базовых...

• Организация работы проектной команды в веб-интерфейсе - Методика моделирования основных процессов разработки программного обеспечения

  В данной части будет рассмотрена работа пользователей с симулируемой моделью через веб-интерфейс. Для публикации модели необходимо экспортировать ее на...

• Анализ рисков информационной безопасности в отделении ОАО "Банк Москвы" - Внедрение системы контроля и управления доступом

  Идентификация и оценка информационных активов Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и...

• Понятие структурированности задач - История создания и развития автоматизированных информационных систем

  При создании или при классификации информационных систем неизбежно возникают проблемы, связанные с формальным - математическим и алгоритмическим...

• Структура и организация технического обеспечения АИС - Техническое обеспечение автоматизированных информационных систем

  Техническое обеспечение -- это комплекс технических средств, предназначенных для работы информационной системы, а также соответствующая документация на...

• Описание и анализ моделей оценки стоимости разработки информационной системы - Автоматизированная система управления городскими финансами

  Оценка стоимости разработки программного обеспечения, или, в частности информационной системы, - один из самых важных, сложных и в то же время неизбежных...

• Состояние информационной безопасности предприятия - Автоматизированные системы управления и обработки информации

  Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...

• Введение - Обеспечение информационной безопасности на предприятии

  Данная статья посвящена важности информационной системы и необходимости ее защиты. В ней говориться о различных средствах и методах, помогающих...

• Постановление Правительства Российской Федерации "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" - Разработка алгоритма генерации для создания базы данных искусственных биометрических образов

  Постановление Правительства Российской Федерации №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах...

• Техническое задание - Разработка информационно-справочной системы "Аптека"

  Техническое задание представляет собой документ, в котором сформулированы основные цели разработки, требования к программному продукту, определены сроки...

• Административные методы защиты от удаленных атак в сети Internet, Как защититься от анализа сетевого трафика? - Обеспечение информационной безопасности в сети Internet

  Самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с вами постарается решить весь...

• Политика сетевой безопасности - Применение межсетевых экранов

  Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для...

• Информационное обеспечение (ИО) АИС, Понятие и структура ИО - История создания и развития автоматизированных информационных систем

  Информационное обеспечение - совокупность единой системы классификации и кодирования информации, унифицированных систем документации, схем информационных...

• Разработка технического задания, Основание для разработки, Назначение разработки - Информационная система "Автосервис"

  Основание для разработки Основанием для разработки является задание, выданное преподавателем Плужниковым И. М. на курсовой проект от 14.01.2016,...

• Определение актуальных угроз информационной системы, Определение класса защищенности информационной системы - Разработка модели системы информационной безопасности на предприятии

  Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...

• Компьютерные сети, Организация локальной сети на логическом уровне - Информационные системы: понятия и характеристика

  В настоящее время большинство компьютеров используется не изолировано от других компьютеров, а постоянно или время от времени подключаются к локальным...

• Требования к функциональности портала, Разработка портала - Разработка модели системы информационной безопасности на предприятии

  - Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...

• Теоретические основы баз данных, Основные термины теории баз данных - Разработка информационной системы "Магазин компьютерных товаров"

  Основные термины теории баз данных - БД (База данных) - совокупность специальным образом организованных данных, хранимых в памяти вычислительной системы...

Разработка политики безопасности организации - Основные понятия политики информационной безопасности

Предыдущая | Следующая