Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов


НазваниеМетодические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов
страница9/18
ТипМетодические рекомендации
filling-form.ru > Туризм > Методические рекомендации
1   ...   5   6   7   8   9   10   11   12   ...   18

Рис. 7.1.  Предпосылки разработки политики безопасности предприятия

Общая структура управленческой работы по обеспечению информационной безопасности на уровне предприятия

Для нейтрализации существующих угроз и обеспечения информационной безопасности предприятия организуют систему менеджмента в сфере информационной безопасности, в рамках которой (системы) проводят работу по нескольким направлениям:

формирование и практическая реализация комплексной многоуровневой политики информационной безопасности предприятия и системы внутренних требований, норм и правил;

организация департамента (службы, отдела) информационной безопасности;

разработка системы мер и действий на случай возникновения непредвиденных ситуаций ("Управление инцидентами");

проведение аудитов (комплексных проверок) состояния информационной безопасности на предприятии.

структура организационной деятельности в сфере информационной безопасности на предприятии


увеличить изображение
Рис. 7.2.  Структура организационной деятельности в сфере информационной безопасности на предприятии

Каждое из этих направлений организационной работы имеет свои особенности и должно реализовываться с использованием специфических методов менеджмента и в соответствии со своими правилами. Политики и правила информационной безопасности являются организационными документами, регулирующими деятельность всей организации или отдельных подразделений (категорий сотрудников) в части обращения с информационными системами и информационными потоками. Департамент информационной безопасности является узко специализированным подразделением, решающим специфические вопросы защиты информации. Система мер по реагированию на инциденты обеспечивает готовность всей организации (включая Департамент информационной безопасности) к осмысленным целенаправленным действиям в случае каких-либо происшествий, связанных с информационной безопасностью. Проведение внутренних аудитов информационной безопасности (периодических или связанных с определенными событиями) должно обеспечить контроль за текущим состоянием системы мер по защите информации и, в частности, независимую проверку соответствия реального положения дел установленным правилам и требованиям.

При этом каждое из направлений деятельности должно постоянно совершенствоваться по мере развития организации, а конкретные задачи должны постоянно уточняться в соответствии с изменением в организационной структуре, производственных процессах или внешней среде. Так, например, если предприятие начинает выпуск продукции военного назначения параллельно с выпуском гражданской продукции, то это может потребовать изменений всех основных направлений организационной работы в сфере обеспечения информационной безопасности:

корректировки стратегии и основных положений политики информационной безопасности (на всех ее уровнях);

изменения организационной структуры и функциональных задач департамента информационной безопасности;

совершенствования системы реагирования на инциденты;

использование более совершенных методик проведения аудитов информационной безопасности.

Формирование политики информационной безопасности на предприятии

Структура политики информационной безопасности и процесс ее разработки

Политика информационной безопасности представляет собой комплекс документов, отражающих все основные требования к обеспечению защиты информации и направления работы предприятия в этой сфере. При построении политики безопасности можно условно выделить три ее основных уровня: верхний, средний и нижний.

Верхний уровень политики информационной безопасности предприятия служит:

для формулирования и демонстрации отношения руководства предприятия к вопросам информационной безопасности и отражения общих целей всего предприятия в этой области;

основой для разработки индивидуальных политик безопасности (на более низких уровнях), правил и инструкций, регулирующих отдельные вопросы;

средством информирования персонала предприятия об основных задачах и приоритетах предприятия в сфере информационной безопасности.

Политики информационной безопасности среднего уровня определяют отношение предприятия (руководства предприятия) к определенным аспектам его деятельности и функционирования информационных систем:

отношение и требования (более детально по сравнению с политикой верхнего уровня) предприятия к отдельным информационным потокам и информационным системам, обслуживающим различные сферы деятельности, степень их важности и конфиденциальности, а также требования к надежности (например, в отношении финансовой информации, а также информационных систем и персонала, которые относятся к ней);

отношение и требования к определенным информационным и телекоммуникационным технологиям, методам и подходам к обработке информации и построения информационных систем;

отношение и требования к сотрудникам предприятия как к участникам процессов обработки информации, от которых напрямую зависит эффективность многих процессов и защищенность информационных ресурсов, а также основные направления и методы воздействия на персонал с целью повышения информационной безопасности.

Политики безопасности на самом низком уровне относятся к отдельным элементам информационных систем и участкам обработки и хранения информации и описывают конкретные процедуры и документы, связанные с обеспечением информационной безопасности.

Разработка политики безопасности предполагает осуществление ряда предварительных шагов:

оценку личного (субъективного) отношения к рискам предприятия его собственников и менеджеров, ответственных за функционирование и результативность работы предприятия в целом или отдельные направления его деятельности;

анализ потенциально уязвимых информационных объектов;

выявление угроз для значимых информационных объектов (сведений, информационных систем, процессов обработки информации) и оценку соответствующих рисков.

Осуществление предварительных шагов (анализа) позволяет определить, насколько информационная безопасность в целом важна для устойчивого осуществления основной деятельности предприятия, его экономической безопасности. На основе этого анализа с учетом оценок менеджеров и собственников определяются конкретные направления работы по обеспечению информационной безопасности. При этом в некоторых случаях личное мнение отдельных руководителей может и не иметь решающего значения. Например, в том случае, когда в распоряжении компании имеются сведения, содержащие государственную, врачебную, банковскую или военную тайну, основные процедуры обращения информации определяются федеральным законодательством, а также директивами и инструкциями тех федеральных органов, в чьей компетенции находятся вопросы обращения такой информации. Таким образом, политика информационной безопасности (практически на всех уровнях) в части работы с такими данными будет основана на общих строго формализованных правилах, процедурах и требованиях (таких, как использование сертифицированного оборудования и программного обеспечения, прохождение процедур допуска, оборудование специальных помещений для хранения информации и т.п.).

При разработке политик безопасности всех уровней необходимо придерживаться следующих основных правил.

Политики безопасности на более низких уровнях должны полностью подчиняться соответствующей политике верхнего уровня, а также действующему законодательству и требованиям государственных органов.

Текст политики безопасности должен содержать только четкие и однозначные формулировки, не допускающие двойного толкования.

Текст политики безопасности должен быть доступен для понимания тех сотрудников, которым он адресован.

В целом политика информационной безопасности должна давать ясное представление о требуемом поведении пользователей, администраторов и других специалистов при внедрении и использовании информационных систем и средств защиты информации, а также при осуществлении информационного обмена и выполнении операций по обработке информации. Кроме того, из политики безопасности, если она относится к определенной технологии и/или методологии защиты информации, должны быть понятны основные принципы работы этой технологии. Важной функцией политики безопасности является четкое разграничение ответственностей в процедурах информационного обмена: все заинтересованные лица должны ясно осознавать границы как своей ответственности, так и ответственности других участников соответствующих процедур и процессов. Также одной из задач политики безопасности является защита не только информации и информационных систем, но и защита самих пользователей (сотрудников предприятия и его клиентов и контрагентов).

Общий жизненный цикл политики информационной безопасности включает в себя ряд основных шагов.

Проведение предварительного исследования состояния информационной безопасности.

Собственно разработку политики безопасности.

Внедрение разработанных политик безопасности.

Анализ соблюдения требований внедренной политики безопасности и формулирование требований по ее дальнейшему совершенствованию (возврат к первому этапу, на новый цикл совершенствования).

Этот цикл (см. рис. 7.3) может повторяться несколько раз с целью совершенствования организационных мер в сфере защиты информации и устранения выявляемых недоработок.

циклы развития и совершенствования политики информационной безопасности предприятия


увеличить изображение
Рис. 7.3.  Циклы развития и совершенствования политики информационной безопасности предприятия

Политика информационной безопасности предприятия: верхний уровень

Политика информационной безопасности верхнего уровня фактически является декларацией руководителей и/или собственников предприятия о необходимости вести целенаправленную работу по защите информационных ресурсов, что должно стать основой для более успешного функционирования предприятия в основном направлении его деятельности, а также устранить различные риски, которые могут привести к финансовым потерям, ущербу для репутации предприятия, административному и уголовному преследованию руководителей и другим негативным последствиям.

Политика информационной безопасности на этом уровне может определять и описывать:

собственно решение об осуществлении целенаправленной систематической деятельности по обеспечению информационной безопасности предприятия;

перечень основных информационных ресурсов, таких как информационные системы, массивы данных, информация об отдельных фактах и явлениях (конструкторских разработках, коммерческих сделках, результатах НИОКР и т.п.), защита которых имеет наибольший приоритет для всего предприятия;

общий подход к распределению ответственности за обеспечение информационной безопасности внутри организации;

указание на необходимость для всего персонала соблюдать определенные меры предосторожности при работе с информацией и информационными системами, повышать свою квалификацию в данной области и осознавать меру ответственности за возможные нарушения;

отношение руководства предприятия к фактам нарушения требований по обеспечению информационной безопасности и лицам, совершающим такие нарушения, а также общий подход к их преследованию в случае выявления таких фактов.

Одной из задач политики верхнего уровня является формулирование и демонстрация того, что защита информации является одним из ключевых механизмов обеспечения конкурентоспособности предприятия и обуславливает как его способность достигать поставленные цели, так иногда и способность выживания и сохранения возможности продолжать деятельность. Для этого могут быть обозначены приоритетные направления хозяйственной деятельности и соответствующие им информационные системы и потоки информации, описана причинно-следственная связь между возможными нарушениями конфиденциальности и/или нарушениями в стабильной работе информационных систем, с одной стороны, и нарушениями нормального хода текущих хозяйственных операций, с другой стороны. На основе этого могут быть определены приоритетные направления деятельности по обеспечению информационной безопасности. В наибольшей степени зависимость общей эффективности деятельности от информационной безопасности характерна для таких компаний, которые:

занимаются т.н. электронной коммерцией или работают в смежных сферах (электронные платежи, Интернет-реклама и т.п.);

непосредственно связаны с оборотом (созданием, куплей-продажей, охраной, оценкой) объектов интеллектуальной собственности и, в частности, наукоемких технологий;

непосредственно связаны с обращением больших объемов информации, составляющей тайну других лиц (банки, медицинские учреждения, аудиторские компании и т.п.).

При этом работа над политикой информационной безопасности должна включать в себя не только ее начальную разработку, но и постоянный мониторинг угроз, изменений во внешней среде для последующего уточнения (или даже полной переработки) политики в соответствии с изменившимися условиями работы.

Политика информационной безопасности предприятия: средний уровень

Политики информационной безопасности среднего уровня непосредственно детализируют требования, задачи и правила, обозначенные в политике верхнего уровня, и отдельно описывают основные сферы, в которых необходимо системное осуществление тех или иных организационных и/или технических мероприятий.

Политика информационной безопасности среднего уровня должна содержать следующие основные разделы.

Общее описание той сферы деятельности (информационной технологии, аспекта информационной системы, бизнес-процессов предприятия), на которую она распространяется.

Область применения политики безопасности – перечень всех лиц, организаций, информационных систем, к которым она применяется или которые исключаются из сферы ее применения.

Непосредственное отношение предприятия к данному аспекту информационных технологий и информационной безопасности – основная часть политики безопасности, определяющая конкретные правила, критерии и требования к процедурам обращения информации, элементам информационной инфраструктуры, программным и аппаратным средствам и т.п.

Распределение ролей и функций, необходимых для разрешения конкретных вопросов – закрепление за определенными сотрудниками (специалистами, руководителями) обязанностей по выполнению необходимой работы с целью решения задач в рамках данной политики безопасности.

Порядок разрешения возникающих вопросов – основные процедуры разрешения появляющихся затруднений в текущей работе и принятия решений о возможных исключениях из общих правил, а также перечень лиц (подразделений), ответственных за непосредственную работу с персоналом предприятия по вопросам, относящимся к данной политике безопасности.

Одной из основ для реализации мероприятий в сфере информационной безопасности и детальной разработки политики безопасности является укрупненная классификация информационных ресурсов, имеющихся у предприятия. Все имеющиеся у предприятия информационные объекты (и соответствующие элементы информационной инфраструктуры), как правило, могут быть разделены на пять или шесть основных групп по уровню своей значимости и конфиденциальности.

Критически важная (абсолютно секретная) информация – информация, требующая особых гарантий безопасности.

Важная информация (информация, составляющая коммерческую тайну) – информация, используемая только внутри предприятия, нарушение конфиденциальности которой может нанести серьезный ущерб самому предприятию или его партнерам.

Значимая (конфиденциальная) информация – информация, предназначенная для использования ограниченным кругом сотрудников и руководителей предприятия.

Персональная информация – информация о сотрудниках, не подлежащая разглашению.

Информация для внутреннего использования – информация для использования внутри предприятия, нарушение конфиденциальности которой не может нанести вреда.

Прочая информация – открытая информация, конфиденциальность которой не имеет особого значения для деятельности предприятия.

Во всем объеме политик среднего уровня необходимо выделить два их основных вида.

Политики, относящиеся к определенным сферам деятельности предприятия и соответствующим информационным потокам (финансам, коммерческой деятельности и т.п.).

Политики, относящиеся к определенным аспектам использования информационных технологий, организации информационных потоков и организации работы персонала на всем предприятии – вне зависимости от той сферы, где используются эти технологии или занят персонал.

К политикам первого типа могут относиться:

политики обращения с информацией, составляющей государственную тайну;

политики обращения с результатами НИОКР, конструкторской и технологической документацией, составляющей "ноу-хау" предприятия или его партнеров

и другие.

Политики безопасности такого типа уточняют и дополняют общие для всего предприятия правила, распространяющиеся на все остальные информационные системы и объекты, и, соответственно, имеют наибольший приоритет. Они, например, могут содержать:

специальные требования к резервному копированию информации (такие как более высокая частота резервного копирование и использование более надежных носителей для этого);

специальные требования к идентификации и аутентификации пользователей (такие как комбинирование биометрической идентификации и идентификации при помощи паролей);

специальные требования к копировально-множительной технике, используемой для работы с конфиденциальной информацией;

специальные требования к помещениям, в которых проводятся совещания по секретной тематике и обрабатывается соответствующая информация (толщина и материал стен, расположение помещений в зданиях, защищенность окон, надежность дверей и запоров, а также охранной и пожарной сигнализации, обследования на предмет выявления подслушивающих устройств и т.п.)

и другие.

К политикам второго типа могут относиться:

политика опубликования открытых информационных материалов, в том числе политика организации веб-сайта предприятия и его внутреннего информационного портала (в части предотвращения возможных утечек и искажений информации);

политика использования сети Интернет (в части предотвращения возможных утечек информации);

политики использования отдельных информационных и коммуникационных технологий, в том числе общие для всего предприятия правила использования мобильных компьютеров и КПК, удаленного доступа к корпоративными информационным системам, а также использования личных компьютеров сотрудников предприятия в служебных целях;

классификации информационных систем, информационных ресурсов и объектов информации с точки зрения их значимости и усилий, которые необходимо предпринимать для их защиты;

политика приобретения, установки, модификации и обновления программного обеспечения, а также аутсорсинга разработки и проектирования программного обеспечения;

политика закупки аппаратных средств информационных систем, систем информационной безопасности;

политика использования пользователями собственного программного обеспечения (т.е. ПО, самостоятельно разрабатываемого предприятием);

общие для всего предприятия правила использования паролей и других средств персональной идентификации;

политика использования электронно-цифровой подписи и инфраструктуры публичных ключей;

политика (регламент) обеспечения внутриобъектового режима и физической защищенности информационных активов;

политика доступа к внутренним информационным ресурсам сторонних пользователей (организаций);

общий для всего предприятия порядок привлечения к ответственности за нарушение определенных правил информационной безопасности.

8. Лекция: Содержание детализированной политики безопасности
1   ...   5   6   7   8   9   10   11   12   ...   18

Похожие:

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические указания (рекомендации) по организации и проведению...
Внеаудиторная самостоятельная работа студентов – планируемая учебная, учебно-исследовательская, научно-исследовательская работа студентов,...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические рекомендации по выполнению внеаудиторной самостоятельной...
В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические рекомендации по выполнению внеаудиторной самостоятельной...
В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические указания для практических занятий, самостоятельной работы...
Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические указания для практических занятий и самостоятельной...
Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические рекомендации для самостоятельной работы студентов очной...
Методическое пособие предназначено для практических занятий и самостоятельной работы студентов специальностей 110400. 65-«Зоотехния»,...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические рекомендации по организации самостоятельной работы студентов...
Методические рекомендации по организации самостоятельной работы студентов: учебно-метод пособие/В. С. Ширманов, В. Н. Волков, Е....

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические рекомендации для студентов 1 курса всех профессии по...
...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические указания для самостоятельной работы по изучению дисциплины...
Дисциплина «Организация охраны и конвоирования в уголовно-исполнительной системе» изучается на установочных лекциях и семинарах под...

Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов  iconМетодические указания для студентов 1 и II курсов дневного и заочного отделений
Методические указания предназначены для студентов I и II курсов экономических специальностей дневного и заочного отделений. Методические...

Вы можете разместить ссылку на наш сайт:


Все бланки и формы на filling-form.ru




При копировании материала укажите ссылку © 2019
контакты
filling-form.ru

Поиск