Разработка организационно-распорядительных документов по обеспечению информационной безопасности

↑

▷ Содержание

⇐ ПредыдущаяСтр 9 из 42Следующая ⇒

▷ Похожие статьи

Одним из направлений в области услуг по информационной безопасности является разработка организационно-распорядительных документов различного уровня. Документы верхнего уровня – концепция информационной безопасности и политика ИБ определяют общие взгляды и идеологию компании в области защиты информации.

Регламентирующие документы – это различные политики и регламенты, в частности политика резервного копирования, регламент доступа пользователей к сети Интернет и т. д., а также различные инструкции и положения. Наряду с этим наша компания оказывает весь спектр услуг по созданию документов по техническому и рабочему проектированию.

Система управления информационной безопасностью организации строится из двух основных компонентов – регулярной оценки рисков и четкой регламентации принципов, процессов и отдельных процедур, направленных на обеспечение безопасности информационных систем.

В этой связи одним из приоритетных направлений является предоставление услуг по разработке пакета нормативных и организационно-распорядительных документов, описывающих совокупность политик информационной безопасности организации.

Такими документами являются:

концепция информационной безопасности; политики информационной безопасности, включая инструкции, регламенты и другие нормативные документы; план развития системы информационной безопасности.

КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Концепция информационной безопасности создается в качестве основы для дальнейшего построения и развития СУИБ. Концепция определяет политику организации в области защиты информации в целом и создается на основе существующих нормативно-правовых актов, регламентирующих вопросы защиты информации.

Концепция может включать в себя следующие разделы:

· цели и задачи защиты информации;

· основные принципы построения системы информационной безопасности;

· обобщенное описание объектов защиты; модель угроз и модель нарушителя;

· принципы контроля эффективности системы ИБ.

Политики информационной безопасности

Политики информационной безопасности представляют собой свод нормативных документов, содержащих требования к обеспечению ИБ и распределение обязанностей и ответственности. Кроме этого, политиками ИБ регламентируются процедуры проектирования, внедрения и поддержки средств и систем защиты организации.

Комплект политик информационной безопасности включает в себя следующие документы:

· требования по обеспечению ИБ;

· положение об обеспечении ИБ;

· описание процессов СУИБ;

· политика управления доступом;

· политика использования паролей;

· политика определения уровня конфиденциальности информации;

· политика передачи информации третьим лицам и организациям;

· политика использования Интернета;

· политика использования электронной почты;

· политика резервного копирования;

· политика и порядок внесения изменений в систему; операционные инструкции и регламенты в контексте процессов СУИБ;

· положения о функциональных обязанностях по обеспечению ИБ, возложенных на персонал организации;

· план по обеспечению непрерывности работы и восстановлению систем.

Эти документы, в совокупности с организационно-распорядительными документами (приказами и распоряжениями по организации), полностью описывают СУИБ и четко определяют разделение обязанностей и ответственности персонала за обеспечение ИБ.

План развития системы информационной безопасности

Данный документ представляет собой перечень основных текущих и перспективных мероприятий по совершенствованию (или созданию) системы защиты информации.

В его состав входят следующие разделы:

· перечень основных задач и приоритетов;

· порядок внедрения дополнительных подсистем информационной безопасности или модернизации существующих;

· состав технических средств и порядок их внедрения;

· состав организационных мероприятий по повышению уровня защищенности информационных ресурсов.

Преимущества:

четкое распределение ответственности за информационную безопасность; инструкции и рекомендации на случай возникновения инцидентов безопасности; осведомленность сотрудников о своих обязанностях по обеспечению ИБ; обеспечение непрерывности бизнес-процессов.

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и так и смешанно-программно-аппаратными средствами.

В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу.

В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на следующей схеме (рис. 5.1).

Рис. 5.1. Угрозы конфиденциальной информации

Такими действиями являются:

ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности; модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений; разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что, в свою очередь, приводит к нарушению как режима, управления, так и его качества в условиях ложной или неполной информации.

Каждая угроза влечет за собой определенный ущерб – моральный или материальный, а защита и противодействие угрозе призваны снизить ее величину хотя бы частично.

С учетом сказанного угрозы могут быть классифицированы следующим образом:

По величине нанесенного ущерба:

предельный, после которого фирма может стать банкротом;

значительный, но не приводящий к банкротству;

незначительный, который фирма за какое-то время может компенсировать и др.

по вероятности возникновения:

весьма вероятная угроза;

вероятная угроза;

маловероятная угроза;

по причинам появления:

стихийные бедствия;

преднамеренные действия;

по характеру нанесенного ущерба:

материальный;

моральный;

по характеру воздействия:

активные;

пассивные;

по отношению к объекту:

внутренние;

внешние.

Источниками внешних угроз являются:

недобросовестные конкуренты;преступные группировки и формирования;отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

администрация предприятия; персонал; технические средства обеспечения производственной и трудовой деятельности.

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

· 82 % угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;

· 17 % угроз совершается извне – внешние угрозы;

· 1 % угроз совершается случайными лицами.

Познавательные статьи:



Коммуникативные барьеры и пути их преодоления

Рынок недвижимости. Сущность недвижимости

Решение задач с использованием генеалогического метода

История происхождения и развития детской игры