Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Стратегия обеспечения информационной безопасности и защиты мнформации.
|
|
Можно предложить три стратегии обеспечения информационной безопасности, представленные в таблице 12.
Выбор оборонительной стратегии означает, что если исключить вмешательство в процесс функционирования информационной системы, то можно нейтрализовать лишь наиболее опасные угрозы. Обычно это достигается построением «защитной оболочки», включающей разработку дополнительных организационных мер, создание программных средств допуска к ресурсам информационной системы в целом, использованию технических средств контроля помещений, в которых расположено терминальное и серверное оборудование.
Таблица 12
| Учитываемые угрозы | Влияние на информационные системы | ||
| отсутствует | частичное | существенное | |
| Наиболее опасные | Оборонительная стратегия | ||
| Все идентифицированные угрозы | Наступательная стратегия | ||
| Все потенциально возможные | Упреждающая стратегия |
Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.
Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. Важной частью упреждающей стратегии является оперативный анализ информации центров изучения проблем информационной безопасности, изучение отечественного и мирового передового опыта, проведение независимого аудита уровня обеспечения безопасности информационных ресурсов организации.
План должен содержать подробные сведения о важнейших функциях и приоритетах, подлежащих восстановлению, необходимых условиях обработки информации и способах организации, которые необходимо осуществлять в случае аварии или временного прекращения работы системы.
К числу разрабатываемых планов можно отнести:
· положение о пропускном режиме предприятия;
· регламент защищенного (конфиденциального) документооборота
· порядок реагирования на инциденты
Пункт должен содержать:
а) обоснование и выбор стратегии обеспечения информационной безопасности
б) обоснование и выбор необходимых документов, регламентирующих проведение мероприятий по решению задач, определенных в п.2.1.2.