Опубликован: 03.09.2003 | Доступ: свободный | Студентов: 8700 / 2419 | Оценка: 4.21 / 3.93 | Длительность: 20:03:00
ISBN: 978-5-9556-0053-6
Лекция 15:

Британский стандарт BS 7799

< Лекция 14 || Лекция 15: 12345 || Лекция 16 >

Регуляторы безопасности и реализуемые ими цели. Часть 1. Регуляторы общего характера

Мы приступаем к рассмотрению десяти групп регуляторов безопасности, выделенных в стандарте BS 7799.

К первой группе отнесено то, что связано с политикой безопасности, а именно:

  • документально оформленная политика;
  • процесс ревизии политики.

Цель регуляторов этой группы - определить стратегию управления безопасностью и обеспечить ее поддержку.

Рекомендуемая структура документированной политики изложена в курсе "Основы информационной безопасности" [ 91 ] .

Вторая группа регуляторов безопасности касается общеорганизационных аспектов. По сравнению с первой она более многочисленна и наделена внутренней структурой. Ее первая подгруппа - инфраструктура информационной безопасности - преследует цель управления безопасностью в организации и включает следующие регуляторы:

  • создание форума по управлению информационной безопасностью ;
  • меры по координации действий в области информационной безопасности;
  • распределение обязанностей в области информационной безопасности;
  • утверждение руководством (административное и техническое) новых средств обработки информации;
  • получение рекомендаций специалистов по информационной безопасности;
  • сотрудничество с другими организациями (правоохранительными органами, поставщиками информационных услуг и т.д.);
  • проведение независимого анализа информационной безопасности.

Регуляторы второй подгруппы - безопасность доступа сторонних организаций - предназначены для обеспечения безопасности вычислительных и информационных ресурсов, к которым имеют доступ сторонние организации. Этих регуляторов два:

  • идентификация рисков, связанных с подключениями сторонних организаций, и реализация соответствующих защитных мер;
  • выработка требований безопасности для включения в контракты со сторонними организациями.

Цель третьей подгруппы - обеспечение информационной безопасности при использовании услуг внешних организаций. Предлагается выработать требования безопасности для включения в контракты с поставщиками информационных услуг.

Очень важна третья группа регуляторов безопасности - классификация активов и управление ими. Необходимым условием обеспечения надлежащей защиты активов является их идентификация и классификация. Должны быть выработаны критерии классификации, в соответствии с которыми активы тем или иным способом получают метки безопасности.

Регуляторы четвертой группы - безопасность персонала - охватывают все этапы работы персонала, и первый из них - документирование ролей и обязанностей в области информационной безопасности при определении требований ко всем должностям. В соответствии с этими требованиями должны производиться отбор новых сотрудников, заключаться соглашения о соблюдении конфиденциальности, оговариваться в контрактах другие условия.

Для сознательного поддержания режима информационной безопасности необходимо обучение всех пользователей, регулярное повышение их квалификации.

Наряду с превентивными, стандарт предусматривает и меры реагирования на инциденты в области безопасности, чтобы минимизировать ущерб и извлечь уроки на будущее. Предусмотрены уведомления (доклады) об инцидентах и замеченных уязвимостях, нештатной работе программного обеспечения. Следует разработать механизмы оценки ущерба от инцидентов и сбоев и дисциплинарного наказания провинившихся сотрудников.

Пятая группа регуляторов направлена на обеспечение физической безопасности и безопасности окружающей среды. Она включает три подгруппы:

  • организация защищенных областей;
  • защита оборудования;
  • меры общего характера.

Для организации защищенных областей требуется определить периметры физической безопасности, контролировать вход в защищенные области и работу в них, защитить производственные помещения (особенно имеющие специальные требования по безопасности) и места погрузочно/разгрузочных работ, которые, по возможности, надо изолировать от производственных помещений.

Чтобы предупредить утерю, повреждение или несанкционированную модификацию оборудования рекомендуется размещать его в защищенных областях, наладить бесперебойное электропитание, защитить кабельную разводку, организовать обслуживание оборудования, перемещать устройства (в том числе за пределы организации) только с разрешения руководства, удалять информацию перед выведением из эксплуатации или изменением характера использования оборудования.

К числу мер общего характера принадлежат политика чистого рабочего стола и чистого экрана, а также уничтожение активов - оборудования, программ и данных - только с разрешения руководства.

< Лекция 14 || Лекция 15: 12345 || Лекция 16 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Марина Марченкова
Марина Марченкова
Татьяна Гаврилова
Татьяна Гаврилова
Россия, г. Санкт-Петербург
Артем Хмелев
Артем Хмелев
Россия, 5