Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 6:

Политика

Аннотация: Рассмотрены вопросы политики информационной безопасности, методика разработки политик, создания, развертывания и эффективного использования.
Ключевые слова: развертывание, значение, физическая безопасность, механизмы, программа безопасности, безопасность, информация, определение, ущерб, доступ, нижний колонтитул, управление доступом, определение типа документа, шифрование, электронная почта, почта, тело сообщения, ПО, PGP, коммерческая информация, политика безопасности, конфигурация, длина, виртуальные частные сети, Dial-UP, запись, исполнение, тип события, системное событие, контроль, указание типа, авторизация, Размещение, вредоносный код, троянский конь, алгоритмы шифрования, алгоритм, конструктор, менеджер, запрос, опасная ситуация, совместная работа, политика использования, вероятность, компьютер, загрузка, Интернет, прибыль, связь, продажа, отправка, обмен данными, супервизор, место, администратор, мониторинг, требования безопасности, соответствие политике безопасности, копирование, ключевой параметр, файл, IRP, incident, procedure, право доступа, идентификация, вторжение, группа, член группы, опыт, минимум, Дополнение, методология разработки, представление, переполнение, фаза тестирования, злоумышленник, тестирование безопасности, disaster recovery plan, кластеризация, сайт, сеть, фирма, очередь, слово, выход, RFC, site, security, handbook, подразделения, Windows, пароль, аудит, обмен информацией, поиск

Наверное, самая неинтересная часть профессиональной работы в сфере информационной безопасности - это разработка политики. Развертывание политики не требует глубоких технических знаний и, таким образом, не очень привлекает профессионалов. Кроме того, не ждите благодарности, поскольку не многим сотрудникам понравятся результаты этой работы.

Политика устанавливает правила. Политика заставляет людей делать вещи, которые они не хотят делать. Но политика имеет огромное значение для организации и, вероятно, является наиболее важной работой отдела информационной безопасности.

Необходимость и важность политики

Политика устанавливает правила, которые определяют конфигурацию систем, действия служащих организации в обычных условиях и в случае непредвиденных обстоятельств. Таким образом, политика выполняет две основные функции:

  • определяет безопасность внутри организации;
  • определяет место каждого служащего в системе безопасности.

Какой должна быть безопасность

Политика определяет способы развертывания системы безопасности. Сюда входит правильная настройка компьютерных систем и сетей в соответствии с требованиями физической безопасности. Политика определяет надлежащие механизмы, используемые для защиты информации и систем.

Однако технические аспекты - это не единственное, что определяется политикой. Она ясно устанавливает порядок осуществления служащими своих обязанностей, связанных с вопросами безопасности, например, для администраторов. Она определяет поведение пользователей при использовании компьютерных систем, размещенных в организации.

И, наконец, устанавливает порядок реагирования в случае каких-либо непредвиденных обстоятельств. Если происходит инцидент, связанный с нарушением безопасности, или система дает сбой в работе, политики и процедуры устанавливают порядок действий и выполняемые задачи, направленные на устранение последствий этого инцидента.

Определение места каждого работника

Правила достаточно серьезны и являются необходимой частью действующей в организации программы безопасности. Таким образом, очень важно, чтобы все службы работали во взаимодействии для построения надежной системы безопасности. Политика показывает основные направления деятельности работников компании в этой совместной работе. Политики и процедуры определяют задачи и цели программы безопасности. Когда эти задачи и цели должным образом поддерживаются служащими, это обеспечивает базу для коллективной работы в сфере безопасности.

Внимание!

В этой ситуации важную роль играет обучение, которое идет "рука об руку" с политикой. Если в организации не уделяется должного внимания программам информирования в сфере безопасности, то при развертывании политики возможно возникновение проблем.

Определение различных политик

Существует большое количество типов политик и процедур, которые определяют функционирование системы безопасности в организации. В следующих разделах мы покажем основные концепции, полезные и широко используемые на практике. Все эти концепции можно скомбинировать для лучшего использования в вашей организации. Три раздела каждой политики являются общепринятыми.

  • Цель. Каждая политика и процедура имеют четко определенную цель, которая ясно описывает, почему создана та или иная политика или процедура, и какую выгоду от этого надеется получить организация.
  • Область. Каждая политика и процедура имеет раздел, описывающий ее сферу приложения. Например, политика безопасности применяется ко всем компьютерным и сетевым системам. Информационная политика применяется ко всем служащим.
  • Ответственность. В разделе об ответственности определяются лица, ответственные за соблюдение политик или процедур. Этот человек должен быть надлежащим образом обучен и знать все требования политики.

Информационная политика

Информационная политика определяет секретную информацию внутри организации и способы ее защиты. Политика разрабатывается таким образом, чтобы охватить всю существующую информацию. Каждый служащий отвечает за безопасность секретной информации, с которой он сталкивается в работе. Информация может быть представлена на бумажных носителях или в виде файлов на компьютере. Политика должна предусмотреть защиту для всех форм представления информации.

Выявление секретной информации

Информация, считающаяся секретной, различается в зависимости от сферы деятельности организации. Секретные сведения включают деловые книги, проекты, патентную информацию, телефонные книги компании и т. д.

Определенная информация считается секретной для всех организаций - это сведения о выплатах, домашние адреса и номера телефонов служащих, информация о медицинском страховании и любая финансовая информация, закрытая для широкой публики.

Определение секретной информации должно быть тщательно и четко сформулировано в политике и донесено до служащих.

Внимание!

Определение секретной информации можно найти в законодательных актах и предписаниях. Поработайте с главным юрисконсультом своей организации и убедитесь, что вы четко представляете, какая информация является секретной. Обратитесь в "лекции 5" к разделам о GLBA и HIPAA.

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Андрей Кравцов
Андрей Кравцов
Россия