1.7 Лекция 7 - Административный уровень обеспечения информационной безопасности.

Презентация:



Advertisements
Похожие презентации
Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза.
Advertisements

Служба информационной безопасности – это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной.
Информационная безопасность Лекция 3 Административный уровень.
Подготовила асс. кафедры СМК Воробьева Т.А.. Программное обеспечение (ПО) - комплекс программ, обеспечивающих обработку или передачу данных, а также предназначенных.
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)
Построение политики безопасности организации УЦ «Bigone» 2007 год.
Компьютерная безопасность: современные технологии и математические методы защиты информации.
Лекция 1 Информационная безопасность: основные понятия и определения.
Основные процессы, функции и задачи КСЗИ. Задачи обеспечение надёжной защиты, находящейся в системе информации, т.е. исключение случайного и преднамеренного.
Программное обеспечение компьютера 7 класс. Программное обеспечение компьютера Прикладное программное обеспечение Системное программное обеспечение.
ЛАБОРАТОРНАЯ РАБОТА 3 РАЗРАБОТКА ДОЛЖНОСТНОЙ ИНСТРУКЦИИ АДМИНИСТРАТОРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Студент группы 4731 Смуров Александр Владимирович.
Специальность « Организация защиты информации»
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Основные понятия Законодательство в сфере защиты информации.
Программное обеспечение компьютера. Совокупность программ, хранящихся в долговременной памяти компьютера, составляют программное обеспечение (ПО) компьютера.
Методы и средства защиты информации в компьютерных системах Пермяков Руслан
БЕЗОПАСНОСТЬ РАБОТЫ В ЛОКАЛЬНОЙ СЕТИ Учитель информатики и математики МОУ «Ушаковская СОШ» Шимановского района Амурской области Гатилова Татьяна Геннадьевна.
Д ипломная работа Федеральное агентство по образованию Тамбовский государственный университет имени Г.Р. Державина Институт открытого образования Кафедра.
Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.
Транксрипт:

1.7 Лекция 7 - Административный уровень обеспечения информационной безопасности

1.7.1 Введение Ключевой термин: политика безопасности. Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Структурная схема терминов

1.7.2 Цели, задачи и содержание административного уровня Задачей административного уровня является разработка и реализация практических мероприятий по созданию системы информационной безопасности, учитывающей особенности защищаемых информационных систем. Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения в конкретных условиях функционирования информационной системы.

Содержанием административного уровня являются следующие мероприятия: 1) Разработка политики безопасности. 2) Проведение анализа угроз и расчета рисков.

1.7.3 Разработка политики информационной безопасности Политика безопасности – это комплекс предупредительных мер по обеспечению информационной безопасности организации. Основные направления разработки политики безопасности: 1) определение объема и требуемого уровня защиты данных; 2) определение ролей субъектов информационных отношений.

Результатом разработки политики безопасности является комплексный документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности. Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений:

основные положения информационной безопасности организации; область применения политики безопасности; цели и задачи обеспечения информационной безопасности организации; распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности.

В состав автоматизированной информационной системы входят следующие компоненты: аппаратные средства – компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства – дисководы, принтеры, контроллеры), кабели, линии связи и т. д.; программное обеспечение – приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.; данные – хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.; персонал – обслуживающий персонал и пользователи.

С точки зрения обеспечения информационной безопасности разграничение прав и обязанностей целесообразно провести по следующим группам (ролям): специалист по информационной безопасности; владелец информации; поставщики аппаратного и программного обеспечения; менеджер отдела; операторы; аудиторы.

Специалист по информационной безопасности (начальник службы безопасности, администратор по безопасности) играет основную роль в разработке и соблюдении политики безопасности предприятия. Он проводит расчет и перерасчет рисков, выявляет уязвимости системы безопасности по всем направлениям (аппаратные средства, программное обеспечение и т. д.).

Владелец информации – лицо, непосредственно владеющее информацией и работающее с ней. В большинстве случае именно владелец информации может определить ее ценность и конфиденциальность.

Поставщики аппаратного и программного обеспечения обычно являются сторонними лицами, которые несут ответственность за поддержание должного уровня информационной безопасности в поставляемых им продуктах.

Администратор сети – лицо, занимающееся обеспечением функционирования информационной сети организации, поддержанием сетевых сервисов, разграничением прав доступа к ресурсам сети на основании соответствующей политики безопасности.

Менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за их выполнением на рабочих местах. Менеджеры должны доводить до подчиненных все аспекты политики безопасности, которые непосредственно их касаются.

Операторы обрабатывают информацию, поэтому должны знать класс конфиденциальности информации и какой ущерб будет нанесен организации при ее раскрытии.

Аудиторы – внешние специалисты по безопасности, нанимаемые организацией для периодической проверки функционирования всей системы безопасности организации.

1.7.5 Вопросы для самоконтроля 1) Цели и задачи административного уровня обеспечения информационной безопасности. 2) Содержание административного уровня. 3) Дайте определение политики безопасности. 4) Направления разработки политики безопасности. 5) Перечислите составные элементы автоматизированных систем. 6) Субъекты информационных отношений и их роли при обеспечении информационной безопасности.