Административный+уровень+информационной+безопасности. административный уровень информационный безопасности

Подборка по базе: , Организация контроля экологической безопасности на территории го , психология реферат.docx , Тойнби реферат.doc , Темы рефератов для ВО.docx , 1 Реферат Стерхова.docx , Эффект плацебо Реферат.doc , Тыченок Олег Николаевич Реферат.doc , Список рефератов Манаков.docx , перспективы развития бжд реферат.docx


РЕФЕРАТ

«АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ИНФОРМАЦИОННЫЙ БЕЗОПАСНОСТИ»

1.Основные понятия

административному уровню информационной безопасности

административного уровня

политика безопасности

Политика безопасности

«политика безопасности»

политикой безопасности

правил разграничения доступа

ИС организации и связанные с ней интересы субъектов — это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее.

карту информационной системы

2.Политика безопасности верхнего уровня

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

  • решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

  • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

  • обеспечение базы для соблюдения законов и правил;

  • формулировка административных решений по тем вопросам реализации программы безопасности , которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

3 стр., 1263 слов

Девятый этап создания системы управления безопасностью полетов. ...

... проводимые регламентирующим полномочным органом по вопросам безопасности полетов, должны охватывать процедуры управления безопасностью всей организации в целом. Ниже перечислены основные вопросы, охватываемые такими проверками: Надзор и выполнение требований Регламентирующий орган определяет ...

координация

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров).

Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

политика безопасности

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

  • вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

  • организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

  • классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

  • штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

  • раздел, освещающий вопросы физической защиты ;

  • управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

  • раздел, описывающий правила разграничения доступа к производственной информации;

  • раздел, характеризующий порядок разработки и сопровождения систем;

  • раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

  • юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

3.Политика безопасности среднего уровня

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов — отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров , применение пользователями неофициального программного обеспечения и т.д.

8 стр., 3510 слов

Факторы риска в системе управления безопасностью полетов при ...

... в целях определения соответствия рисков допустимому уровню, а также определения и выполнения требований по безопасности, обеспечивающих снижение рисков на этом уровне при дальнейшей эксплуатации системы ОрВД в тех случаях, когда риски этот уровень ... правил и технологий, повышению уровня подготовки персонала; изолирование риска - локализация или исключение угрожающих факторов; сокращение риска ...

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

политика безопасности

Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли и обязанности. В «политический» документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

4.Политика безопасности нижнего уровня , Политика безопасности

  • кто имеет право доступа к объектам , поддерживаемым сервисом?

  • при каких условиях можно читать и модифицировать данные?

  • как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

2 стр., 962 слов

Противодействие угрозам имущественной безопасности организации ...

... политики компании с позиции собственной безопасности. Зачастую опасность для организаций кроется в нелояльности персонала, текучести кадров, которая в свою очередь в число первостепенных задач службы безопасности возводит повышение уровня ... в современных отечественных условиях основным субъектом угроз имущественной безопасности организации выступает ее собственный персонал, что определяется действием ...

5.Программа безопасности

политика безопасности

Чтобы понять и реализовать какую-либо программу, ее нужно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней — верхнего, или центрального, который охватывает всю организацию, и нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

  • управление рисками ( оценка рисков , выбор эффективных средств защиты);

  • координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;

  • стратегическое планирование ;

  • контроль деятельности в области информационной безопасности.

В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Следует подчеркнуть, что программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, а также иметь определенный штат и бюджет.

Цель программы нижнего уровня — обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование ; отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.

6.Синхронизация программы безопасности с жизненным циклом систем

жизненным циклом

жизненном цикле

Инициация

Закупка .На данном этапе составляются спецификации, прорабатываются варианты приобретения, выполняется собственно закупка .

Установка, Эксплуатация, Выведение из эксплуатации

Рассмотрим действия, выполняемые на каждом из этапов, более подробно.

11 стр., 5091 слов

Этикет и нормы поведения специалиста в сфере социально-культурного ...

... кодекс профессиональной этики работников; Рассмотреть принципы этики делового общения; Гипотеза исследования, Глава 1. Этика специалиста в сфере социально - культурного сервиса и туризма 1.1 Особенности происхождения этики Этика ... организации, в общем случае, включает производство продукции и оказание услуг надлежащего качества, соблюдение прав персонала на труд, выполнение требований к безопасности ...

инициации

С точки зрения безопасности важнейшим действием здесь является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться. Требуется сформулировать ответы на следующие вопросы:

  • какого рода информация предназначается для обслуживания новым сервисом?

  • каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?

  • каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?

  • есть ли какие-либо особенности нового сервиса (например, территориальная распределенность компонентов), требующие принятия специальных процедурных мер?

  • каковы характеристики персонала, имеющие отношение к безопасности (квалификация, благонадежность)?

  • каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис?

жизненного цикла

Этап закупки — один из самых сложных. Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, обслуживание, обучение персонала. Разумеется, особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигурацией. Подчеркнем также, что нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.

установить

Во-вторых, новый сервис нуждается в процедурных регуляторах. Следует позаботиться о чистоте и охране помещения, о документах, регламентирующих использование сервиса, о подготовке планов на случай экстренных ситуаций, об организации обучения пользователей и т.п.

эксплуатации

эксплуатации

Для борьбы с эффектом медленных изменений приходится прибегать к периодическим проверкам безопасности сервиса. Разумеется, после значительных модификаций подобные проверки являются обязательными.

выведении из эксплуатации

выведении данных из эксплуатации

7.Управление рисками

Управление рисками

оценка рисков

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.

Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).

Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

8 стр., 3559 слов

Оценка и характеристика опасностей

... вреда - это дорогостоящий, то есть определение вреда в денежном эквиваленте. риск опасность ущерб оценка Второй, не менее важной характеристикой ... риск сочетает технические, экономические, социальные и политические аспекты и является определенным компромиссом между уровнем безопасности и возможностями ее достижения. Рассматриваемая концепция вызвана следующим ... как вред. Каждый отдельный вид вреда имеет ...

  • оценка (измерение) рисков;

  • выбор эффективных и экономичных защитных средств ( нейтрализация рисков ).

По отношению к выявленным рискам возможны следующие действия:

  • ликвидация риска (например, за счет устранения причины);

  • уменьшение риска (например, за счет использования дополнительных защитных средств);

  • принятие риска (и выработка плана действия в соответствующих условиях);

  • переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы:

жизненный цикл ИС

Выбор анализируемых объектов и уровня детализации их рассмотрения — первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки.

методологию оценки рисков

При идентификации активов

Информационной основой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.).

К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение, и из каких узлов оно используется. Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности , выявить места их хранения и обработки, способы доступа к ним.

Анализ угроз

Оценка рисков.

Вполне допустимо применить такой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый — к среднему, два последних — к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков.

Список использованных источников

[Электронный ресурс]//URL: https://pravsob.ru/referat/administrativnyiy-uroven-informatsionnoy-bezopasnosti/

2 стр., 868 слов

Виды рисков и методы их оценки. Понятие и процедура банкротства

... на деятельность предприятия. Процедура банкротства регулируется соответствующими законодательными и нормативными актами. Процедура банкротства предусматривает проведение реорганизационных (внешнее управление, санация) и ликвидационных мероприятий (принудительная и добровольная ликвидация). ... предприятием вероятность риска потерь может быть снижена. Существуют различные методы оценки риска и способы ...

1. Грязнов Е.С., Панасенко С.А. Безопасность локальных сетей. — М.: Вузовский учебник, 2006.- 525 с.

2. Козлачков П.С. Основные направления развития систем информационной безопасности. — М.: финансы и статистика, 2004.- 736 с.

3. Леваков Г.Н. Анатомия информационной безопасности. — М.: ТК Велби, издательство Проспект, 2004.- 256 с.

4. Руководящий документ Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации от 30 марта 1992 г.

5. Силаенков А.Н. Проектирование системы информационной безопасности: учеб. пособие — Омск: Изд-во ОмГТУ, 2009. — 128 с.

6. Соколов Д.Н., Степанюк А.Д. Защита от компьютерного терроризма. — М.: БХВ-Петербург, Арлит, 2002.- 456 с.

7. Сыч О.С. Комплексная антивирусная защита локальной сети. — М.: финансы и статистика, 2006.- 736 с.

8. Швецова Н.Д. Системы технической безопасности: актуальные реалии. — Спб: Питер, 2004. — 340 с.