Здавалка
Главная | Обратная связь

Означення політики інформаційної безпеки та принципи політики безпеки

⇐ ПредыдущаяСтр 18 из 23Следующая ⇒

У процесі прийняття рішень адміністратори ІС стикаються з проблемою вибору варіантів рішень по організації ЗІ на основі врахування принципів діяльності організації, співвідношення важливості цілей та наявності ресурсів. Такі рішення містять визначення того, як будуть захищатися технічні та інформаційні ресурси, а також як повинні поводитись службовці в різних умовах.

Політика інформаційної безпеки (ПІБ)– це набір законів, правил, практичних рекомендацій та практичного досвіду, які визначають управлінські та проектні рішення в галузі ЗІ. На цій основі відбуваються управління, захист та розподіл критичної інформації в системі. ПІБ має охоплювати всі особливості процесу обробки інформації, визначаючи поведінку ІС в різних умовах.

Щодо конкретної ІС політика безпеки має бути індивідуальною. Вона залежить від технології обробки інформації, застосовуваних програмних та технічних засобів, структури організації та ін.

Існують такі напрями захисту ІС:

- захист об’єктів інформаційної системи;

- захист процесів, процедур та програм обробки інформації;

- захист каналів зв’язку;

- притлумлювання побічних електромагнітних випромінювань;

- управління системою захисту.

 

Кожний із вказаних напрямків має бути деталізованим залежно від особливостей структури ІС. Окрім цього ПІБ повинна описувати такі етапи створення СЗІ:

- визначення інформаційних і технічних ресурсів, які підлягають захисту;

- виявлення сукупності потенційно можливих загроз та каналів витоку інформації;

- оцінювання вразливості та ризиків інформації за наявних загроз та каналів витоку;

- визначення вимог до системи захисту;

- здійснення вибору засобів захисту інформації та їх характеристик;

- впровадження та організація використання обраних заходів, способів та засобів захисту;

- здійснення контролю цілісності та управління системою захисту.

 

Політика безпеки визначається як сукупність документованих управлінських рішень, спрямованих на захист інформації і асоційованих з нею ресурсів. У процесі її розробки і втілення в життя доцільно керуватися певними принципами, якими є:

- неможливість обминути захисні засоби;

- посилення найслабкішої ланки;

- неприпустимість переходу до відкритого стану;

- мінімізація привілеїв;

- розподілення обов’язків;

- багаторівневий захист;

- розмаїття захисних засобів;

- простота і керованість інформаційної системи;

- забезпечення загальної підтримки заходів безпеки.

 

Розкриємо смисл наведених принципів:

1. Принцип неможливостіобминути засоби захисту означає, що всі інформаційні потоки до мережі, яка підлягає захисту, та з неї, мають проходити через СЗІ. Не має бути «таємних» модемних входів чи тестових ліній, які йдуть в обхід екрану.

2. Надійність будь-якої СЗІ визначається найслабкішою ланкою, якою часто буває не комп’ютер чи програма, а людина. У цьому разі проблема забезпечення інформаційної безпеки набуває нетехнічного характеру.

3. Принцип неприпустимості переходудо відкритого стану означає, що за будь-яких обставин, в тому числі нештатних, СЗІ або цілком виконує свої функції, або повинна цілком блокувати доступ.

4. Принцип мінімізації привілеїввимагає надавати користувачам та адміністраторам тільки ті права доступу, які потрібні їм для виконання службових обов’язків.

5. Принцип розподілу обов’язківпередбачає такий розподіл ролей та відповідальності, за якого одна людина не може порушити критично важливий для організації процес. Це особливо важливо для запобігання зловмисним або некваліфікованим діям системного адміністратора.

6. Принцип багаторівневого захиступропонує не покладатися на один захисний рубіж, яким би надійним він не видавався. За засобами фізичного захисту повинні слідувати програмно-технічні засоби, за ідентифікацією та аутентифікацією – управління доступом і, як останній рубіж, - протоколювання і аудит. Ешелонізована оборона здатна щонайменше затримати зловмисника, а наявність такого рубежу, як протоколювання та аудит, істотно ускладнює непомітне виконання зловмисних дій.

7. Принцип різноманітності засобів захистурекомендує організовувати різні охоронні рубежі, щоб від потенційного зловмисника вимагалося оволодіння різноманітними, якомога несумісними між собою навичками переборення СЗІ.

8. Принцип простоти та керованості інформаційної системизагалом СЗІ зокрема визначає можливість формального або неформального доведення коректності реалізації механізмів захисту. Саме в простій та керованій системі можна перевірити узгодженість конфігурації різних компонентів та здійснити централізоване адміністрування.

9. Принцип всезагальної підтримки заходів безпекимає нетехнічний характер. Рекомендується з самого початку визначити комплекс заходів, спрямований на забезпечення лояльності персоналу, на постійне теоретичне і практичне навчання.

 

⇐ Предыдущая14151617181920212223Следующая ⇒






©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.