Политика безопасности организации

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Политика безопасности организации

1.1 Базовая политика безопасности

1.2 Специализированные политики безопасности

1.2.1 Политика допустимого использования

1.2.2 Политика удаленного доступа

1.3 Процедуры безопасности

2. Выработка стратегии защиты информации

3. Выработка политики безопасности

4. Уровни политики безопасности

5. Политика безопасности гипотетической организации

6. Основные требования, предъявляемые к комплексной системе защиты информации в организации

Заключение

Список использованной литературы

Введение

На сегодняшний день существует огромное количество организаций, занимающихся различными видами деятельности, производства. Они конкурируют между собой за право называться лучшей, качественной, а что немало важно серьезной, защищенной организацией. В наше время, а именно время информационных технологий ,руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен сделать руководитель организации - это выработать политику безопасности, определяющую общее направление работ. Которая будет применима к персоналу, работающему с информационными системами, а так же к персоналу, производящему физическую и интеллектуальную охрану.

Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов.

Давно известно, что существуют

Ключевые механизмы безопасности:

· идентификация и аутентификация;

· управление доступом;

· протоколирование и аудит;

· криптография;

Но знание ключевых механизмов не обеспечит организации полноценную защиту, необходимо четко сформулировать политику безопасности организации, а именно:

· Структуру, т.е. ее составные части.

· Уровни, разделение полномочий и принятие решений.

· Стратегию, четкая формулировка задач.

И только благодаря своевременному формированию политики безопасности самой организации, как в целом, так и по компонентно, организация может быть уверена в безопасности, а главное целостности своих данных.

1. Политика безопасности организации

Информационная безопасность -- это состояние защищённости информационной среды. Сама же защита информации представляет собой деятельность для предотвращения утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

В то время, информационная безопасность организации -- состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

На данный момент для большинства организаций политика безопасности абсолютно необходима. В первую очередь она определяет отношение организации к обеспечению безопасности и необходимые действия организации по защите своих ресурсов и данных. На основе политики безопасности устанавливаются необходимые средства и процедуры для обеспечения безопасности, а также определяются роли и ответственность сотрудников организации в обеспечении безопасности.

Политика безопасности организации включает:

* Базовую политику безопасности;

* Специализированные политики безопасности;

* Процедуру безопасности.

Рис .1.Схема политики безопасности в организации

1.1 Базовая политика безопасности

Под базовой политикой безопасности понимается , как организация обрабатывает информацию, кто может получить к ней доступ и каким способом. Подход, реализуемый базовой политикой безопасности, дает возможность постепенно и последовательно выполнять работу по созданию системы безопасности, не пытаясь сразу выполнить ее целиком. Базовая политика является основной для организации или предприятия. В свою очередь, она определяет :

· Ценность технологических и информационных активов организации;

· Риск потери, либо повреждения данных активов;

· Уровень безопасности, определяющий защиту каждого актива, то есть мер безопасности, которые можно считать рентабельными для применения;

· Политику безопасности организации на базе предыдущих этапов;

· Необходимость финансовых ресурсов для реализации политики безопасности, приобретение и установки требуемых средств безопасности;

· Необходимость проведения разъяснительных мероприятий и обучения персонала для поддержки сотрудниками и руководством требуемых мер безопасности;

· Надобность проведения регулярного контроля безопасности с целью выявления текущих проблем, учета изменения внешнего окружения и внесение необходимых изменений в состав персонала.

1.2 Специализированные политики безопасности

Существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые из них предназначены для любой организации, другие -- специфичны для определенных окружений.

С учетом особенностей применения специализированные политики безопасности можно разделить на две группы:

* политики, затрагивающие значительное число пользователей;

* политики, связанные с конкретными техническими областями.

К специализированным политикам, затрагивающим значительное число пользователей, относятся:

* политика допустимого использования;

* политика удаленного доступа к ресурсам сети;

* политика защиты информации;

* политика защиты паролей и др.

1.2.1 Политика допустимого использования

Цель данной политики -- установление стандартных норм безопасного использования компьютерного оборудования и сервисов в компании, а также соответствующих мер безопасности сотрудников для защиты корпоративных данных и собственной информации. Неправильное использование компьютерного оборудования и сервисов подвергает компанию рискам, включая вирусные атаки,DDOS атаки, нарушение сетевых систем и сервисов, а самое главное потерю конфиденциальных данных компании. Политика допустимого использования применяется к сотрудникам, консультантам, временным служащим и другим работникам компании, включая сотрудников сторонних организаций. Политика допустимого использования предназначена в основном для конечных пользователей и указывает им, какие действия разрешаются, а какие запрещены.Политика допустимого использования устанавливает:

* ответственность пользователей за защиту любой информации, используемой и/или хранимой их компьютерами;

* правомочность пользователей читать и копировать файлы, которые не являются их собственными, но доступны им;

* уровень допустимого использования электронной почты и Web-доступа.

Разработка такой политики выполняется квалифицированными специалистами организации по соответствующему сервису, системе или подсистеме под контролем комиссии (команды), которой поручена разработка политики безопасности организации.

1.2.2 Политика удаленного доступа

Ее цель -- установление стандартных норм безопасного удаленного соединения любого хоста с сетью компании. Стандартные нормы призваны минимизировать ущерб компании из-за возможного неавторизованного использования ресурсов компании. К такому ущербу относятся: утрата интеллектуальной собственности компании, потеря конфиденциальных данных, искажение имиджа компании, повреждения критических внутренних систем компании .

Эта политика касается всех сотрудников, поставщиков и агентов компании при использовании ими для удаленного соединения с сетью компании компьютеров или рабочих станций, являющихся собственностью компании или находящихся в личной собственности.

Политика удаленного доступа:

* Намечает и определяет допустимые методы удаленного соединения с внутренней сетью;

* Существенна в большой организации, где сети территориально распределены;

* Должна охватывать по возможности все распространенные методы удаленного доступа к внутренним ресурсам.

Политика удаленного доступа определяет:

* Какие методы разрешаются для удаленного доступа;

* Ограничения на данные, к которым можно получить удаленный доступ;

* Кто из пользователей может иметь удаленный доступ

Защищенный удаленный доступ должен быть строго контролируемым. Применяемая процедура контроля должна гарантировать, что доступ к информации организации или сервисам получат только прошедшие проверку люди. Сотрудник компании не должен передавать свой логин и пароль никогда и никому, включая членов семьи. Управление удаленным доступом не должно быть сложным и приводить к возникновению ошибок. Контроль доступа целесообразно выполнять с помощью одноразовой парольной аутентификации или с помощью открытых/секретных ключей. Сотрудники компании с правами удаленного доступа должны гарантировать, что принадлежащие им или компании персональный компьютер или рабочая станция, которые удаленно подсоединены к корпоративной сети компании, не будут связаны в это же время с какой-либо другой сетью, за исключением персональных сетей, находящихся под полным контролем пользователя. Кроме того, их соединение удаленного доступа должно иметь такие же характеристики безопасности, как обычное локальное соединение с компанией. Все пользователи, которые подключены к внутренним сетям компании с помощью технологий удаленного доступа, должны использовать самое современное антивирусное обеспечение.

1.3 Процедуры безопасности

Для любой организации процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Поскольку политики безопасности только описывают, что должно быть защищено и каковы основные правила защиты, то процедуры безопасности определяют, как защитить ресурсы и каковы механизмы исполнения политики, другими словами как реализовать политику безопасности.

Процедуры безопасности :

· Определяют действия, которые необходимо предпринять при реагировании на конкретные события;

· Обеспечивают быстрое реагирование в критической ситуации;

· Помогают устранить проблему отказа в работе, если, например, во время кризиса работник неожиданно покидает рабочее место или оказывается недоступен.

Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении. Существуют несколько важных процедур безопасности, которые необходимы почти каждой организации.

Первая из них - это процедура реагирования на события. Она является необходимым средством безопасности для большинства организаций. Организация особенно уязвима, когда обнаруживается вторжение в ее сеть или когда она сталкивается со стихийным бедствием. Процедуру реагирования на события иногда называют процедурой обработки событий или процедурой реагирования на инциденты. Практически невозможно указать отклики на все события нарушений безопасности, но нужно стремиться охватить основные типы нарушений, которые могут произойти. Например: сканирование портов сети, атака типа "отказ в обслуживании", компрометация хоста, НСД и др. Данная процедура определяет: * обязанности членов команды реагирования; * какую информацию регистрировать и прослеживать; * как обрабатывать исследование отклонений от нормы и атаки вторжения; * кого и когда уведомлять; * кто может выпускать в свет информацию и какова процедура выпуска информации; * как должен выполняться последующий анализ и кто будет в этом участвовать.

Вторая - это Процедура управления конфигурацией. Обычно определяется на корпоративном уровне или уровне подразделения. Эта процедура должна определить процесс документирования и запроса изменений конфигурации на всех уровнях принятия решений. В принципе должна существовать центральная группа, которая рассматривает все запросы на изменения конфигурации и принимает необходимые решения. Процедура управления конфигурацией определяет: * кто имеет полномочия выполнить изменения конфигурации аппаратного и программного обеспечения; * как тестируется и инсталлируется новое аппаратное и программное обеспечение; * как документируются изменения в аппаратном и программном обеспечении; * кто должен быть проинформирован, когда случаются изменения в аппаратном и программном обеспечении.

Процесс управления конфигурацией важен, так как

· документирует сделанные изменения и обеспечивает возможность аудита;

· документирует возможности системы;

· дает способ координировать изменения так, чтобы одно изменение не помешало другому.

2. Выработка стратегии защиты информации

Осознание необходимости разработки стратегических подходов к защите формировалось по мере осознания важности, многоаспектности и трудности защиты и невозможности эффективного ее осуществления простым использованием некоторого набора средств защиты. Под стратегией вообще понимается общая направленность в организации соответствующей деятельности, разрабатываемая с учетом объективных потребностей в данном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации. Известный канадский специалист в области стратегического управления Г. Минцберг предложил определение стратегии в рамках системы. По его мнению, она включает:

1) План -- заранее намеченные в деталях и контролируемые действия на определенный срок, преследующие конкретные цели;

2) Тактический ход, представляющий собой кратковременную стратегию, имеющую ограниченные цели, маневр с целью обыграть противника;

3) Модель поведения -- часто спонтанного, неосознанного, не имеющего конкретных целей;

4) Позицию по отношению к другим организациям;

5) Перспективу, а именно в защите и целостности данных.

Задача стратегии состоит в создании конкурентного преимущества, устранении негативного эффекта нестабильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних возможностей. С помощью нее рассматриваются все деловые ситуации, с которыми организация сталкивается в повседневной жизни. Способность компании проводить самостоятельную стратегию во всех областях делает ее более гибкой, устойчивой, позволяет адаптироваться к требованиям времени и обстоятельствам. Стратегия формируется под воздействием внутренней и внешней среды, постоянно развивается, ибо всегда возникает что-то новое, на что нужно реагировать. Факторы, которые могут иметь для организации решающее значение в будущем, называются стратегическими. По мнению одного из ведущих западных специалистов Б. Карлофа к таким факторам относятся:

1) Миссия, отражающая философию фирмы, ее предназначение. При пересмотре миссии, происходящем в результате изменения общественных приоритетов;

2) Конкурентные преимущества, которыми организация обладает в своей сфере деятельности по сравнению с соперниками или к которым стремится . Конкурентные преимущества любого типа обеспечивают более высокую эффективность использования ресурсов предприятия;

3) Характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их границы;

4) Организационные факторы, система управления;

5) Располагаемые ресурсы (материальные, финансовые, информационные, кадровые и пр.). Чем они больше, тем масштабнее может быть реализация стратегии защиты информации.

Так же практика сформировала следующие требования к стратегическим решениям:

· Реальность, предполагающая ее соответствие ситуации, целям, техническому и экономическому потенциалу предприятия, опыту и навыкам работников и менеджеров;

· Логичность, понятность, приемлемость для большинства членов организации, внутренняя целостность, непротиворечивость отдельных элементов, поддержка ими друг друга, порождающая синергетический эффект;

· Своевременность ;

· Совместимость со средой, обеспечивающая возможность взаимодействия с ней;

· Направленность на формирование конкурентных преимуществ;

Разработка научно обоснованной системы стратегий организации как ключевого условия ее конкурентоспособности и долгосрочного успеха является одной из основных функций ее менеджеров, прежде всего высшего уровня. От них требуется:

· выделять, отслеживать и оценивать ключевые проблемы;

· адекватно и оперативно реагировать на изменения внутри и в окружении организации;

· выбирать оптимальные варианты действий с учетом интересов основных субъектов, причастных к ее деятельности;

· создавать благоприятный морально-психологический климат, поощрять предпринимательскую и творческую активность низовых руководителей и персонала.

Исходный момент формирования стратегии -- постановка глобальных качественных целей и параметров деятельности, которые организация должна достичь в будущем. В результате увязки целей и ресурсов формируются альтернативные варианты развития, оценка которых позволяет выбрать лучшую стратегию. В соответствии с наиболее реальными вариантами сочетаний значений выделено три стратегии защиты:

· оборонительная -- защита от уже известных угроз осуществляемая автономно, т. е. без оказания существенного влияния на информационно-управляющую систему;

· наступательная -- защита от всего множества потенциально возможных угроз, при осуществлении которой в архитектуре информационно-управляющей системы и технологии ее функционирования должны учитываться условия, продиктованные потребностями защиты;

· упреждающая -- создание информационной среды, в которой угрозы информации не имели бы условий для проявления.

3. Выработка политики безопасности

Прежде чем предлагать какие-либо решения по организации системы защиты информации, предстоит разработать политику безопасности. Политика безопасности -- набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Политика безопасности реализуется при помощи организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также при помощи средств управления механизмами защиты. Для конкретной организации политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и т. д.

Организационно политика безопасности описывает порядок представления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система защиты информации окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения организационной политики безопасности -- это внесение в описание объекта структуры ценностей и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. Изначально, необходимо составить детализированное описание общей цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе Факторы безопасности, в свою очередь, могут разделяться на правовые, технологические, технические и организационные.

Разработка политики безопасности организации, как формальной, так и неформальной, -- безусловно, сложная задача.

В общем случае можно выделить следующие процессы, связанные с разработкой и реализацией политики безопасности.

1. Комплекс мероприятий, связанных с проведением анализа рисков. К этой группе можно отнести:

-- учет материальных или информационных ценностей;

-- моделирование угроз информации системы;

-- собственно анализ рисков с использованием того или иного подхода -- например, стоимостной анализ рисков.

2. Мероприятия по оценке соответствия мер по обеспечению защиты информации системы некоторому эталонному образцу: стандарту, профилю защиты и т. п.

3. Действия, связанные с разработкой разного рода документов, в частности отчетов, диаграмм, профилей защиты, заданной по безопасности.

4. Действия, связанные со сбором, хранением и обработкой статистики по событиям безопасности для организации;

Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название этого способа, как правило, определяет название политики безопасности.

Для изучения свойств способа управления доступом, создается его формальное описание -- математическая модель. При этом модель должна отражать состояние всей системы, ее переходы из одного состояния в другое, а также учитывать, какие состояния и переходы можно считать безопасными в смысле данного управления. В настоящее время лучше всего изучены два вида политики безопасности: избирательная и полномочная, основанные, соответственно, на избирательном и полномочном способах управления доступом.

Кроме того, существует набор требований, усиливающих действие этих политик и предназначенный для управления информационными потоками в системе. Основой избирательной политики безопасности является избирательное управление доступом, которое подразумевает, что:

* все субъекты и объекты системы должны быть идентифицированы;

* права доступа субъекта к объекту системы определяются на основании некоторого правила.

Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа, иногда ее называют матрицей контроля доступа. Такая модель получила название матрица. Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту столбец. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как "доступ на чтение", "доступ на запись", "доступ на исполнение" и др.

Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей матрицы доступа.

Решение на доступ субъекта к объекту принимается в соответствии с типом доступа, указанным в соответствующей ячейке матрицы доступа. Обычно избирательное управление доступом реализует принцип "что не разрешено, то запрещено", предполагающий явное разрешение доступа субъекта к объекту. Матрица доступа -- наиболее простой подход к моделированию систем доступа.

Избирательная политика безопасности наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольшие накладные расходы.

Основу полномочной политики безопасности составляет полномочное управление доступом, которое подразумевает, что

-- все субъекты и объекты системы должны быть однозначно идентифицированы;

-- каждому объекту системы присвоена метка критичности, определяющая ценность содержащейся в нем информации;

-- каждому субъекту системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.

Когда совокупность меток имеет одинаковые значения, говорят, что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическую структуру, и, таким образом, в системе можно реализовать иерархически восходящий поток информации. Чем важнее объект или субъект, тем выше его метка критичности. Поэтому наиболее защищенными оказываются объекты с наиболее высокими значениями метки критичности.

Основное назначение полномочной политики безопасности -- регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращение утечки информации с верхних уровней должностной иерархии в нижние, а также блокирование возможного проникновения с нижних уровней в верхние. При этом она функционирует на фоне избирательной политики, придавая ее требованиям иерархически упорядоченный характер (в соответствии с уровнями безопасности).

4. Уровни политики безопасности

Политику безопасности в организациях можно разделить на три уровня:

· Верхний

· Средний

· Нижний

Верхний уровень политики безопасности

Верхний уровень политики безопасности определяет решения, которые затрагивают организацию в целом. Эти решения носят весьма общий характер и исходят, в основном, от руководства организации.

Список решений, применяемых на верхнем уровне выглядит следующим образом :

· Формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

· Формирование или пересмотр программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;

· Обеспечение материальной базы для соблюдения законов и правил;

· Формулировка управленческих решений по реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности информации. Например, если организация отвечает за поддержание особо важных баз данных, на первом плане может стоять целостность данных, т.е. защита в первую очередь проектируется во избежание потери данных. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанкционированного доступа. Для банковских систем характерна триада информационной безопасности - конфиденциальность, целостность и доступность.

На верхний уровень выносится управление ресурсами безопасности и правила использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по претворению ее в жизнь. В этом смысле подотчетность персонала является основой данной политики.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:

· Во-первых, организация должна соблюдать существующие законы.

· Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности.

· В-третьих, необходимо обеспечить определенную степень законопослушности персонала, а для этого нужно выработать систему поощрений и наказаний.

Проще говоря, на верхний уровень следует выносить только те вопросы, решение которых может дать значительную экономию средств или если поступить иначе просто невозможно.

Средний уровень политики безопасности

Средний уровень политики безопасности определяет решение вопросов, которые не являются основными и касаются отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией.

В пример к таким вопросам - отношение к доступу в Internet, использование домашних компьютеров, использование съемных носителей и т.д. Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:

Описание самого аспекта: Позиция организации может быть сформулирована в достаточно общем виде как набор целей, которые преследует организация в данном аспекте;

Область применения: Следует указывать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;

Роли и обязанности: Необходимо включить информацию о должностных лицах, отвечающих за превращение политики безопасности в жизнь;

Санкции, наказания: Политика должна содержать общее описание запрещенных действий и наказаний за них;

Взаимоотношения: Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

Нижний уровень политики безопасности

Нижний уровень политики безопасности относится к конкретным сервисам. Эта политика включает в себя два аспекта: цели и правила их достижения. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.

При исследовании данной политики следует ответить на ряд вопросов :

· Кто имеет право доступа к объектам, поддерживаемым сервисом?

· При каких условиях можно читать и модифицировать данные?

· Как организован удаленный доступ к сервису?

При формулировке целей политики безопасности нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но она не должна ими ограничиваться. В общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.

С помощью целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более четко и формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Обычно наиболее формально задаются права доступа к объектам.

Обязанности различных категорий персонала:

1.Руководители подразделений отвечают за доведение положений политики безопасности до пользователей. Они обязаны:

· Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные;

· Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;

· Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем;

· Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);

· Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающего достаточной квалификацией для выполнения этой роли.

2.Администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для претвор­ния в жизнь политики безопасности. Они обязаны:

· Обеспечить защиту оборудования корпоративной сети, в том числе интерфейсов с другими сетями;

· Оперативно и эффективно реагировать на события, представляющих угрозу;

· Информировать администраторов сервисов о попытках нарушения защиты;

· Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

· Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;

· Не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну;

· Разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения;

· Оказывать помощь в обнаружении и ликвидации вредоносного кода;

· Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;

· Выполнять все изменения сетевой аппаратно-программной конфигурации;

· Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

· Периодически проводить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

3.Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности. Они обязаны:

· Управлять правами доступа пользователей к обслуживаемым объектам;

· Оперативно и эффективно реагировать на события, таящие угрозу;

· Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставле­нии информации для их наказания;

· Регулярно выполнять резервное копирование информации, обрабатываемой сервисом;

· Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

· Ежедневно анализировать регистрационную информацию, относящуюся к сервису. Периодически проводить проверку надежности защиты сервиса.

4.Пользователи обязаны работать с корпоративной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситу­ациях. Они обязаны:

· Знать и соблюдать законы и установленные правила, принятые в организации, политику и процедуры безопасности;

· Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;

· Использовать механизм защиты файлов и должным образом задавать права доступа;

· Выбирать пароли в соответствии с процедурами политики безопасности, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;

· Информировать администраторов или руководство о нарушениях безопас­ности и иных подозрительных ситуациях;

· Не использовать уязвимости в защите сервисов и корпоративной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;

· Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;

· Обеспечивать резервное копирование информации с жесткого диска своего компьютера;

· Знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;

· Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

5. Политика безопасности среднего уровня гипотетической организации

Дабы разобрать политику безопасности , характерную гипотетическим организациям, можно рассмотреть гипотетическую локальную сеть организации АБВ, которой владеет данная организация, и ассоциированную с ней политику безопасности среднего уровня.

Описание аспекта.

Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям разделять программы и данные, что увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Это и преследует две главные цели - продемонстрировать сотрудникам важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как и самой сети.

Область применения.

В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на сотрудников и поставщиков.

Позиция организации.

Целью организации АБВ является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

· Обеспечение уровня безопасности, соответствующего нормативным документам.

· Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности).

· Обеспечение безопасности в каждой функциональной области локальной сети.

· Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.

· Обеспечение анализа регистрационной информации.

· Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.

· Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.

· Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Распределение ролей и обязанностей.

Перечисленные группы людей отвечают за реализацию сформулированных ранее целей.

Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Законопослушность.

Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения со стороны персонала будут рассматриваться руководством для принятия мер вплоть до увольнения.

6. Основные требования, предъявляемые к комплексной системе защиты информации в организации

безопасность защита информация криптография

Поскольку комплексная система защиты информации предназначена обеспечивать безопасность всей защищаемой информации, к ней должны предъявляться следующие требования:

-- она должна быть привязана к целям и задачам защиты информации на конкретном предприятии;

-- она должна быть целостной: содержать все ее составляющие, иметь структурные связи между компонентами, обеспечивающие ее согласованное функционирование;

-- она должна быть всеохватывающей, учитывающей все объекты и составляющие их компоненты защиты, все обстоятельства и факторы, влияющие на безопасность информации, и все виды, методы и средства защиты;

-- она должна быть достаточной для решения поставленных задач и надежной во всех элементах защиты, т. е. базироваться на принципе гарантированного результата;

-- она должна быть "вмонтированной" в технологические схемы сбора, хранения, обработки, передачи и использования информации;

-- она должна быть компонентно, логически, технологически и экономически обоснованной;

-- она должна быть реализуемой, обеспеченной всеми необходимыми ресурсами;

-- она должна быть простой и удобной в эксплуатации и управлении, а также в использовании законными потребителями;

-- она должна быть непрерывной;

-- она должна быть достаточно гибкой, способной к целенаправленному приспособлению при изменении компонентов ее составных частей, технологии обработки информации, условий защиты.

Таким образом, обеспечение безопасности информации -- непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:

-- безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;

-- никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;

-- никакую систему защиты нельзя считать абсолютно надежной, т. к. всегда может найтись злоумышленник, который найдет лазейку для доступа к информации.

Данные требования и пути совершенствования являются основными, вне зависимости от типа организации и её вида деятельности. Особенно хотелось бы обратить внимание на последнюю фразу, о том, что никакую систему нельзя считать абсолютно надежной. У руководителя организации никогда не должна быть полная уверенность, что его система защищена, ведь всегда найдется такой человек, который сможет взломать/разрушить эту систему. Не стоить забывать и про подотчетность нижестоящим органам вышестоящим, организация должна работать как одна единственная система.

Заключение

В работе была рассмотрена структура политики безопасности в организации. Было выявлено, что основными ее компонентами являются базовая политика безопасности, специализированная политика безопасности и процедура безопасности. Также в работе была представлена стратегия политики и ее внедрение в организацию. Далее были рассмотрены уровни политики безопасности.

Тенденция развития безопасности, в частности информации, развивается с огромной скоростью. Но к сожалению для нее характерно наличие злоумышленника, желающего получить/уничтожить вашу информацию. Для обычных пользователей, кража данных, конечно, не приятный факт, но не является настолько губительным, как для организаций, особенно государственных. Вне зависимости, какой тип организации, будь он государственный, частный, или же коммерческий для нее необходимо наличие политики безопасности. По курсовой работе видно, что политика безопасности имеет четко определенную структуру и разделена по уровням. Политика безопасности для любой организации, имеет немаловажный фактор, а может быть и основной, ведь при потере конфиденциальных данных организация может потерять огромную прибыль, а то и вовсе обанкротиться.

Список использованной литературы

1) Международный стандарт ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью."

2) Гладких А.А..Базовые принципы информационной безопасности вычислительных сетей: Учебное пособие - У.: УлГТУ, 2009. - 168 с.

3) Галатенко В.А.. Основы информационной безопасности - М.: Интернет-университет информационных технологий - ИНТУИТ.ру, 2004. - 280 стр.

4) Стандарты и спецификации в области информационной безопасности: http://www.uchi-it.ru/2/3/5.html

5) План-проспект политики безопасности : http://itzashita.ru/designing/plan-prospekt-politiki-bezopasnosti-chast-1-osnovnye-ponyatiya-i-opredeleniya.html

Размещено на Allbest.ru