3.1. Розробка політики безпеки

05.10.2016

3.1. Розробка політики безпеки

Політика безпеки трактується як набір норм, правил і практичних прийомів, які регулюють управління, захист і розподіл цінної інформації. На практиці політика безпеки трактується дещо ширше – як сукупність документованих адміністративних рішень, спрямованих на забезпечення безпеки інформаційного ресурсу. Результатом політики є високорівневий документ, який систематизований виклад цілей, завдань, принципів і способів досягнення інформаційної безпеки.

Даний документ являє методологічну основу практичних заходів (процедур) по реалізації ОБІ і містить такі групи відомостей.

1. Основні положення інформаційної безпеки.

2. Область застосування.

3. Цілі і завдання забезпечення інформаційної безпеки.

4. Розподіл ролей і відповідальності.

5. Загальні обов’язки.

Основні положення визначають важливість ОБІ, загальні проблеми безпеки, напрями їх вирішення, роль співробітників, нормативно-правові основи.

Областю застосування політики безпеки є основні активи і підсистеми АС, що підлягають захисту. Типовими активами є програмно-апаратне та інформаційне забезпечення АС, персонал, в окремих випадках – інформаційна інфраструктура підприємства.

Цілі, завдання, критерії ОБІ випливають із функціонального призначення підприємства. Наприклад, для режимних організацій на перше місце ставиться дотримання конфіденційності. Для сервісних інформаційних служб реального часу важливим є забезпечення доступності (оперативної готовності) підсистем. Для інформаційних сховищ актуальним може бути забезпечення цілісності даних і т. д. Тут вказуються закони і правила організації, які слід враховувати при проведенні робіт по ОБІ.

Типовими цілями можуть бути наступні:

— забезпечення рівня безпеки, що відповідає нормативним документам підприємства;

— дотримання економічної доцільності у виборі захисних заходів;

— забезпечення відповідного рівня безпеки в конкретних функціональних областях АС;

— забезпечення підзвітності всіх дій користувачів з інформаційними ресурсами та аналізу реєстраційної інформації;

— вироблення планів відновлення після критичних ситуацій і забезпечення безперервності роботи АС та ін.

Якщо підприємство не є ізольованим, цілі і задачі розглядаються у більш широкому контексті: повинні бути обговорені питання безпечного взаємного впливу локальних і віддалених підсистем.

У цьому документі можуть бути конкретизовані деякі стратегічні принципи безпеки (що випливають з цілей і завдань ОБІ). Такими є стратегії дій у разі порушення політики безпеки підприємства та сторонніх організацій, взаємодії із зовнішніми організаціями, правоохоронними органами, пресою та ін В якості прикладу можна навести дві стратегії дій на порушення безпеки:

— «вистежити і засудити», коли зловмисникові дозволяють продовжити дії з метою його компрометації і покарання (дану стратегію схвалюють правоохоронні органи!);

— «захиститися і продовжити», коли організація побоюється за уразливість інформаційних ресурсів і надає максимальну протидію порушенню.

Перелік обставин, що дозволяють вибрати стратегію відповідних заходів, наведено в таблиці 3.1.

Таблиця 3.1

Критерії вибору відповідних заходів

Короткий опис статті: політика безпеки бібліотека

Джерело: 3.1. Розробка політики безпеки

Також ви можете прочитати