itsmonline
Зарегистрирован: 21.11.2006
Сообщения: 146
|
 Добавлено: Чт Фев 01, 2007 10:41 pm |
  |
|
Домарев В.В. "Безопасность информационных технологий. Методология создания систем защиты"
Определение политики информационной безопасности
При принятии решений администраторы ИС сталкиваются с проблемой выбора вариантов решений по организации ЗИ на основе учета принципов деятельности организации, соотношения важности целей и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.
Политика информационной безопасности — набор законов , правил и практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области ЗИ. На основе ПИБ строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.
В соответствии с предложенным в книге подходом политика (МЕРЫ) информационной безопасности (003) реализуется соответствующей СТРУКТУРОЙ органов (002) на основе нормативно-методической БАЗЫ (001) с использованием программно-технических методов и СРЕДСТВ (004), определяющих архитектуру системы защиты.
Для конкретной ИС политика безопасности должна быть индивидуальной. Она зависит от технологии обработки информации, используемых программных и технических средств, структуры организации т.д.
При этом следует рассматривать следующие направления защиты ИС:
· 010 Защита объектов информационной системы;
· 020 Защита процессов, процедур и программ обработки информации;
· 030 Защита каналов связи;
· 040 Подавление побочных электромагнитных излучений;
· 050 Управление системой защиты.
Совершенно очевидно, что каждое из указанных НАПРАВЛЕНИЙ должно быть детализировано в зависимости от особенностей структуры ИС.
Кроме этого ПИБ должна описывать следующие ЭТАПЫ создания СЗИ:
· 100 Определение информационных и технических ресурсов, подлежащих защите;
· 200 Выявление полного множество потенциально возможных угроз и каналов утечки информации;
· 300 Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
· 400 Определение требований к системе защиты;
· 500 Осуществление выбора средств защиты информации и их характеристик;
· 600 Внедрение и организация использования выбранных мер, способов и средств защиты;
· 700 Осуществление контроля целостности и управление системой защиты.
***
Скачать всю книгу можно здесь http://bezpeka.com/ru/lib/sec/gen/art540.html |
|
Поиск
Пользователи
Регистрация
Профиль
Войти и проверить личные сообщения
Вход