Пиши Дома Нужные Работы

Обратная связь

Внутрішня політика безпеки організації ДПС

На всіх рівнях в кожній ІС ДПС має бути розроблена та впроваджена внутрішня ПБ.

Мета. ПБ створює вимоги інформаційної безпеки організації, щоб гарантувати, що конфіденційна інформація і технології не компрометуються, і що виробничі послуги і інші інтереси організації захищені.

Сфера застосування. Правила ПБ мають виконувати всі працівники організації.

Зміст політики. Повинні бути сформульовані обов’язки власників інформації, визначені відповідальні за всі технологічні процеси в організації, за контроль доступу, за оцінку ризику, за зовнішній зв’язок, за антивірусний захист, за парольну систему. Має бути встановлено, що будь-який працівник, що порушує ці правилам, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи. Повинні бути встановлені правила перегляду ПБ.

Політика оцінки ризику

Мета. Виконувати періодичні оцінки ризику інформаційної безпеки з метою визначення областей уразливості і ініціювати відповідні заходию.

Сфера застосування. Правила ПБ мають виконувати всі працівники організації.

Зміст політики. Повинні бути сформульовані правила виконання, розробки і виконання програм оцінювання ризику.

Відповідальність.Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.

Політика пароля

Мета. Створити в організації ДПС стандарт для створення паролів, їх захисту, а також частоти їхзміни.

Сфера застосування. Ця політика включає весь персонал, форма доступу якого до інформації організації ДПС вимагає парольного захисту.

Зміст політики. Загальна частина – встановлює загальні правила користування паролями, правила складання пароля – встановлюють способи та вимоги до складання паролів, список обмежень, правила зміни паролів



Відповідальність.Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.

Політика антивірусного захисту

Мета. Створення вимог, які повинні зустрічатися всіма комп'ютерами, сполученими з мережею комп’ютерів <Company Name>, щоб гарантувати ефективний захист від вірусів.

Сфера застосування. Правила ПБ мають виконувати всі працівники організації.

Зміст політики. Загальна частина – встановлює наступні загальні правила, які слід виконувати для вирішення проблемі вірусу:

· завжди підтримуйте корпоративні вимоги, підтримка антивірусного ПЗ є необхідною для корпоративного вузла. Завантажте і підтримуйте поточну версію; завантажте і встановіть модифікації антивірусного програмного забезпечення, як тільки вони стають доступними;

· НІКОЛИ не відкривайте будь-які файли або макрокоманду, що торкається електронної пошти від невідомого, підозрілого або ненадійного джерела. Видаліть ці повідомлення негайно, потім видаліть їх за допомогою спорожнення вашого сміття;

· видаліть Spam, ланцюг і іншу електронну пошту, які не мають атрибутів Вашої кампанії відповідно до політики безпеки;

· ніколи не завантажуйте файли від невідомих або підозрілих джерел;

· уникайте прямого дискового доступу (читання/запис), за винятком того, що відповідає необхідним діловим вимогам;

· перед використанням завжди скануйте дискету від невідомого джерела на предмет вірусів;

· регулярно дублюйте критичні дані і системні конфігурації зберігайте їх в безпечному місці;

· якщо лабораторна перевірка встановлює конфлікт з антивірусним ПЗ, запустить антивірусну утиліту, що гарантує незабрудненість машини, блокуйте ПЗ, потім двинути лабораторну перевірку. Тільки після лабораторної перевірки дозволяйте використовувати антивірусне ПЗ. Під час блокування антивірусного ПЗ блоковано, ні в якому разі не завантажуйте будь-які додатки, які могли б перенести вірус.

· нові віруси відкриваються майже щодня. Періодично перевіряйте Антивірусну політику відділу і ці рекомендації для внесення змін.

Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.

Політика етики

Мета політики етики взагалі – створити культуру відкритості, довірі і цілісності в ділових відносинах. Ефективна етика – це зусилля команди, яке включає участь і підтримку кожного працівника. Всі працівни мають ознайомитися з директивами етики. Жоден працівник не може порушувати правил етикету.

Мета. Наша цель для authoring публикацию на этике должен делать ударение работник и потребительское ожидание лечиться к прекрасным деловым практикам. Эта политика будет обслуживать, чтобы привести деловое поведение, чтобы гарантировать нравственное поведение.

Сфера застосування. Правила ПБ мають виконувати всі працівники організації.

Эта политика обращается к работникам, подрядчикам, консультантам, временным работникам, и другим работникам в <Company Name>, включая весь персонал устанавливаются связи с третьими сторонами.

Зміст політики. Повинні бути сформульовані правила, що містять наступне:

· обов’язки адміністрації щодо правил етики;

· обов’язки працівників щодо правил етики;

· правила моральної та матеріальної підтримки всіх, хто виконує правила етики;

· правила відношення до порушників правил етики.

Відповідальність. Будь-який працівник, що порушує цю політику, повинен піддаватися дисциплінарним стягненням аж до звільнення з роботи.

Політика адміністрування

Мета. Ввести правила адміністрування і упровадити правила інформаційної безпеки.

Правила адміністрування.Повинні бути сформульовані наступні основні правила, які містять і регламентують:

· інструктаж користувачів;

· публікації і повідомлення;

· обов'язки керівництва;

· обов'язки адміністраторів;

· правові санкції і звітність про інциденти;

· правило звільнень;

· дисциплінарні заходи

Звичайно, крім наведених розділів ПБ, в кожній конкретній організації можуть бути сформульовані додаткові разділи залежно від особливостей організації.

Контрольні запитання

1. Назвіть приклади розділів політики безпеки.

2. Яка мета політики пароля?

3. Яка мета політики антивірусного захисту?

4. Які основні правила входять до списку правил адміністрування?

 


Перелік термінів

Безпека інформації (information security) – стан інформації, у якому забезпечується збереження визначених політикою безпеки властивостей інформації

Автоматизована система (АС) – це організаційно-технічна система, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію

Захист інформації в АС (information protection, information security, computer system security) – діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС у цілому, і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків внаслідок реалізації загроз

Комплексна система захисту інформації (КСЗІ) – сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС

Політика безпеки (Security Policy) – сукупність норм і правил, що забезпечують ефективний захист системи обробки інформації від заданої множини загроз безпеки

Модель безпеки (Security Model) – формальне представлення політики безпеки.

Дискреційне чи довільне керування доступом(Discretionary Access Control – DAC) – керування доступом, здійснюване на підставі заданої адміністратором множини дозволених відносин доступу

Мандатне чи нормативне керування доступом (Mandatory Access Control – MAC) – керування доступом, засноване на сукупності правил надання доступу, визначених на множині атрибутів безпеки суб'єктів і об'єктів, наприклад, залежно від грифа таємності інформації і рівня допуску користувача

Ядро безпеки (Trusted Computing Base – TCB) – сукупність апаратних, програмних і спеціальних компонентів КС, що реалізують функції захисту і забезпечення безпеки

Ідентифікація(Identification) – процес розпізнавання сутностей шляхом присвоєння їм унікальних міток (ідентифікаторів)

Автентифікація(Authentication) – перевірка дійсності ідентифікаторів сутностей за допомогою різних (переважно криптографічних) методів

Адекватність(Assurance) – показник реально забезпечуваного рівня безпеки, що відбиває ступінь ефективності і надійності реалізованих засобів захисту і їхніх відповідностей поставленим задачам (у більшості випадків це задача реалізації політики безпеки)

Кваліфікаційний аналіз, кваліфікація рівня безпеки (Evaluation) – аналіз КС з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки; кваліфікація рівня безпеки є кінцевим етапом технологічного циклу створення захищених систем, безпосередньо передує процедурі сертифікації, і завершується присвоєнням КС того чи іншого класу чи рівня безпеки

Таксономія (Taxonomy) – наукова дисципліна, що займається систематизацією і класифікацією складноорганізованих об'єктів і явищ, що мають ієрархічну будівлю (від грецького taxis – лад, порядок і nomos – закон); на відміну від звичайної класифікації, що встановлює зв'язки і відношення між об'єктами (ієрархія будується знизу – нагору), таксономія заснована на декомпозиції явищ і поетапному уточненні властивостей об'єктів (ієрархія будується зверху – вниз)

Прямий вплив(Trusted Path) – принцип організації інформаційної взаємодії (як правило, між користувачем і системою), що гарантує, що передана інформація не піддається перехопленню чи перекручуванню

Конфіденційність інформації (confidentiality)– властивість інформації, яка полягає в тому, що вона не може бути доступною для ознайомлення користувачам і/або процесам, які не мають на це відповідних повноважень

Цілісність інформації (integrity) – це властивість, яка полягає в тому, що вона не може бути доступною для модифікації користувачам і/або процесам, які не мають на це відповідних повноважень; цілісність інформації може бути фізичною і/або логічною

Доступність інформації(availability)– це властивість, що полягає в можливості її використання за вимогами користувача, який має відповідні повноваження

Спостереженість інформації (accountability) – це властивість інформації, яка полягає в тому, що процес її обробки повинен безупинно знаходитися під контролем деякого керуючого захистом органа

Канал витоку інформації– сукупність джерела інформації, матеріального носія або середовища розповсюдження сигналу, що несе указану інформацію, і засобу виділення інформації з сигнала або носія

Порушник(user violator) – користувач, який здійснює НСД до інформації

Алфавіт– кінцева множина використовуваних для кодування інформації знаків

Текст– упорядкований набір з елементів алфавіту

Шифрування– процес перетворення: вихідний текст, що носить також назву відкритого тексту, заміняється шифрованим текстом

Дешифрування– зворотний шифруванню процес; на основі ключа шифрований текст перетворюється у вихідний

Ключ– інформація, яка необхідна для безперешкодного шифрування і дешифрування певним методом.

 


ЛІТЕРАТУРА

1. Закон України «Про інформацію», від 02.10.92.

2. Закон України «Про науково-технічну інформацію», від 25.06.93.

3. Закон України «Про захист інформації в автоматизованих системах», від 05.07.94.

4. Закон України «Про державну таємницю», від 21.01.94.

5. Закон України «Про Національну програму інформатизації», від 04.02.98.

6. Закон України «Про Концепцію Національної програми інформатизації», від 04.02.98.

7. Закон України «Про державну податкову службу України» (від 04.12.1990 р., № 509-ХІІ).

8. Указ Президента «Про Положення про Державний центр страхового фонду документації України», від 19.06.1998, № 668/98.

9. Указ Президента України «Про Стратегію реформування системи державної служби в Україні», від 14.04.2000 р., № 599/2000.

10.Указ Президента «Про заходи щодо розвитку національної складової глобальної інформаційної мережі Інтернет та забезпечення широкого доступу до цієї мережі в Україні», від 31.07.2000, № 928/2000.

11.Про перелік відомостей, що не становлять комерційної таємниці (Постанова Кабінету Міністрів України від 09.08.1993 р., № 611).

12.Положення про технічний захист інформації в Україні (Затверджено Постановою Кабінету Міністрів України № 632 від 09.09.1994р.).

13.Концепція технічного захисту інформації в Україні (Затверджено Постановою Кабінету Міністрів України від 08.10.1997 р., № 1126).

14.Інструкція про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави (Постанова Кабінету Міністрів України від 27.11.1998 р., № 1893).

15.Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.-НД ТЗІ 1.1-001-98, ДСТСЗІ СБ України, Київ, 1998.

16.Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу.-НД ТЗІ 1.1-002-98, ДСТСЗІ СБ України, Київ, 1998.

17.Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу.-НД ТЗІ 2.2-001-98, ДСТСЗІ СБ України, Київ, 1998.

18.Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.-НД ТЗІ 2.2.-002 -98, ДСТСЗІ СБ України, Київ, 1998.

19.Мельников В.В. Защита информации в компьютерных системах. – М.: «Финансы и статистика», 1997.

20.Организация и современные методы защиты информации (под общей редакцией Диева С.А., Шаваева А.Г.). – М.: Концерн «Банковский деловой Центр», 1988, 472 с.

21.Герасименко В.А. Защита иформации в автоматизированых системах обработки даных. – М.: Энергоатомиздат, 1994, в 2-х томах.

22.Корченко А.Г. Несанкционированный доступ в компьютерные системы и методы защиты. – Киев, КМУГА, 1998.

23.Хоффман Л.Дж. Современные методы защиты информации. Пер. с англ., М.: «Советское радио», 1980.

 

Додаткова література

1. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему. – НПО, «Мир и семья - 95», Санкт-Петербург, 1997.

2. Домарев В.В. Защита информации и безопасность компьютерных систем. – К.: Изд. «ДиаСофт», 1999.-480 с.

3. Галатенко В.А. Информационная безопасность: практический подход. – М.: Наука, 1998.-301 с.

4. Баричев С. Криптография без секретов. – М.: 1998.

5. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах».-М.: ДМК Пресс, 2002,656 с.

6. «Конфидент. Защита информации». Информационно-методический журнал, СПб.

7. «Безопасность информации». Научно-технический журнал, Киев.

8. Антонюк А.А., Заславская Е.А., Лащевский В.И. Некоторые вопросы разработки политики безопасности информации // Защита информации: Сб. науч. тр. – К.: КМУГА, 1999. – 188 с.

9. Антонюк А.А., Волощук А.Г., Суслов В.Ю., Ткач А.В. Что такое Оранжевая книга? (Из истории компьютерной безопасности) // Безопасность информации, №2, 1996.

10. Антонюк А.О. Політика безпеки в захищених автоматизованих системах // Наукові записки НаУКМА.-Київ: НаУКМА, 2003, т. 21, с.19-22.

11. Антонюк А.О., Шилін В.П. Підготовка та обіг документів в електронному вигляді // V міжнародна науково-практична конференція «Проблеми впровадження інформаційних технологій в економіці», 13-14 травня 2004 р., м. Ірпінь.

 






ТОП 5 статей:
Экономическая сущность инвестиций - Экономическая сущность инвестиций – долгосрочные вложения экономических ресурсов сроком более 1 года для получения прибыли путем...
Тема: Федеральный закон от 26.07.2006 N 135-ФЗ - На основании изучения ФЗ № 135, дайте максимально короткое определение следующих понятий с указанием статей и пунктов закона...
Сущность, функции и виды управления в телекоммуникациях - Цели достигаются с помощью различных принципов, функций и методов социально-экономического менеджмента...
Схема построения базисных индексов - Индекс (лат. INDEX – указатель, показатель) - относительная величина, показывающая, во сколько раз уровень изучаемого явления...
Тема 11. Международное космическое право - Правовой режим космического пространства и небесных тел. Принципы деятельности государств по исследованию...



©2015- 2024 pdnr.ru Все права принадлежат авторам размещенных материалов.