Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Означення політики інформаційної безпеки та принципи політики безпеки






У процесі прийняття рішень адміністратори ІС стикаються з проблемою вибору варіантів рішень по організації ЗІ на основі врахування принципів діяльності організації, співвідношення важливості цілей та наявності ресурсів. Такі рішення містять визначення того, як будуть захищатися технічні та інформаційні ресурси, а також як повинні поводитись службовці в різних умовах.

Політика інформаційної безпеки (ПІБ) – це набір законів, правил, практичних рекомендацій та практичного досвіду, які визначають управлінські та проектні рішення в галузі ЗІ. На цій основі відбуваються управління, захист та розподіл критичної інформації в системі. ПІБ має охоплювати всі особливості процесу обробки інформації, визначаючи поведінку ІС в різних умовах.

Щодо конкретної ІС політика безпеки має бути індивідуальною. Вона залежить від технології обробки інформації, застосовуваних програмних та технічних засобів, структури організації та ін.

Існують такі напрями захисту ІС:

- захист об’єктів інформаційної системи;

- захист процесів, процедур та програм обробки інформації;

- захист каналів зв’язку;

- притлумлювання побічних електромагнітних випромінювань;

- управління системою захисту.

 

Кожний із вказаних напрямків має бути деталізованим залежно від особливостей структури ІС. Окрім цього ПІБ повинна описувати такі етапи створення СЗІ:

- визначення інформаційних і технічних ресурсів, які підлягають захисту;

- виявлення сукупності потенційно можливих загроз та каналів витоку інформації;

- оцінювання вразливості та ризиків інформації за наявних загроз та каналів витоку;

- визначення вимог до системи захисту;

- здійснення вибору засобів захисту інформації та їх характеристик;

- впровадження та організація використання обраних заходів, способів та засобів захисту;

- здійснення контролю цілісності та управління системою захисту.

 

Політика безпеки визначається як сукупність документованих управлінських рішень, спрямованих на захист інформації і асоційованих з нею ресурсів. У процесі її розробки і втілення в життя доцільно керуватися певними принципами, якими є:

- неможливість обминути захисні засоби;

- посилення найслабкішої ланки;

- неприпустимість переходу до відкритого стану;

- мінімізація привілеїв;

- розподілення обов’язків;

- багаторівневий захист;

- розмаїття захисних засобів;

- простота і керованість інформаційної системи;

- забезпечення загальної підтримки заходів безпеки.

 

Розкриємо смисл наведених принципів:

1. Принцип неможливості обминути засоби захисту означає, що всі інформаційні потоки до мережі, яка підлягає захисту, та з неї, мають проходити через СЗІ. Не має бути «таємних» модемних входів чи тестових ліній, які йдуть в обхід екрану.

2. Надійність будь-якої СЗІ визначається найслабкішою ланкою, якою часто буває не комп’ютер чи програма, а людина. У цьому разі проблема забезпечення інформаційної безпеки набуває нетехнічного характеру.

3. Принцип неприпустимості переходу до відкритого стану означає, що за будь-яких обставин, в тому числі нештатних, СЗІ або цілком виконує свої функції, або повинна цілком блокувати доступ.

4. Принцип мінімізації привілеїв вимагає надавати користувачам та адміністраторам тільки ті права доступу, які потрібні їм для виконання службових обов’язків.

5. Принцип розподілу обов’язків передбачає такий розподіл ролей та відповідальності, за якого одна людина не може порушити критично важливий для організації процес. Це особливо важливо для запобігання зловмисним або некваліфікованим діям системного адміністратора.

6. Принцип багаторівневого захисту пропонує не покладатися на один захисний рубіж, яким би надійним він не видавався. За засобами фізичного захисту повинні слідувати програмно-технічні засоби, за ідентифікацією та аутентифікацією – управління доступом і, як останній рубіж, - протоколювання і аудит. Ешелонізована оборона здатна щонайменше затримати зловмисника, а наявність такого рубежу, як протоколювання та аудит, істотно ускладнює непомітне виконання зловмисних дій.

7. Принцип різноманітності засобів захисту рекомендує організовувати різні охоронні рубежі, щоб від потенційного зловмисника вимагалося оволодіння різноманітними, якомога несумісними між собою навичками переборення СЗІ.

8. Принцип простоти та керованості інформаційної системи загалом СЗІ зокрема визначає можливість формального або неформального доведення коректності реалізації механізмів захисту. Саме в простій та керованій системі можна перевірити узгодженість конфігурації різних компонентів та здійснити централізоване адміністрування.

9. Принцип всезагальної підтримки заходів безпеки має нетехнічний характер. Рекомендується з самого початку визначити комплекс заходів, спрямований на забезпечення лояльності персоналу, на постійне теоретичне і практичне навчання.

 


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.006 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал