Уральский государственный технический университет
Опубликован: 14.10.2009 | Доступ: свободный | Студентов: 4315 / 1438 | Оценка: 4.39 / 4.29 | Длительность: 10:28:00
ISBN: 978-5-9963-0237-6
Специальности: Менеджер
Лекция 7:

Менеджмент информационной безопасности на уровне предприятия: основные направления и структура политики безопасности

< Лекция 6 || Лекция 7: 123 || Лекция 8 >

Политика информационной безопасности предприятия: средний уровень

Политики информационной безопасности среднего уровня непосредственно детализируют требования, задачи и правила, обозначенные в политике верхнего уровня, и отдельно описывают основные сферы, в которых необходимо системное осуществление тех или иных организационных и/или технических мероприятий.

Политика информационной безопасности среднего уровня должна содержать следующие основные разделы.

  • Общее описание той сферы деятельности (информационной технологии, аспекта информационной системы, бизнес-процессов предприятия), на которую она распространяется.
  • Область применения политики безопасности – перечень всех лиц, организаций, информационных систем, к которым она применяется или которые исключаются из сферы ее применения.
  • Непосредственное отношение предприятия к данному аспекту информационных технологий и информационной безопасности – основная часть политики безопасности, определяющая конкретные правила, критерии и требования к процедурам обращения информации, элементам информационной инфраструктуры, программным и аппаратным средствам и т.п.
  • Распределение ролей и функций, необходимых для разрешения конкретных вопросов – закрепление за определенными сотрудниками (специалистами, руководителями) обязанностей по выполнению необходимой работы с целью решения задач в рамках данной политики безопасности.
  • Порядок разрешения возникающих вопросов – основные процедуры разрешения появляющихся затруднений в текущей работе и принятия решений о возможных исключениях из общих правил, а также перечень лиц (подразделений), ответственных за непосредственную работу с персоналом предприятия по вопросам, относящимся к данной политике безопасности.

Одной из основ для реализации мероприятий в сфере информационной безопасности и детальной разработки политики безопасности является укрупненная классификация информационных ресурсов, имеющихся у предприятия. Все имеющиеся у предприятия информационные объекты (и соответствующие элементы информационной инфраструктуры), как правило, могут быть разделены на пять или шесть основных групп по уровню своей значимости и конфиденциальности.

  1. Критически важная (абсолютно секретная) информация – информация, требующая особых гарантий безопасности.
  2. Важная информация (информация, составляющая коммерческую тайну) – информация, используемая только внутри предприятия, нарушение конфиденциальности которой может нанести серьезный ущерб самому предприятию или его партнерам.
  3. Значимая (конфиденциальная) информация – информация, предназначенная для использования ограниченным кругом сотрудников и руководителей предприятия.
  4. Персональная информация – информация о сотрудниках, не подлежащая разглашению.
  5. Информация для внутреннего использования – информация для использования внутри предприятия, нарушение конфиденциальности которой не может нанести вреда.
  6. Прочая информация – открытая информация, конфиденциальность которой не имеет особого значения для деятельности предприятия.

Во всем объеме политик среднего уровня необходимо выделить два их основных вида.

  1. Политики, относящиеся к определенным сферам деятельности предприятия и соответствующим информационным потокам (финансам, коммерческой деятельности и т.п.).
  2. Политики, относящиеся к определенным аспектам использования информационных технологий, организации информационных потоков и организации работы персонала на всем предприятии – вне зависимости от той сферы, где используются эти технологии или занят персонал.

К политикам первого типа могут относиться:

  • политики обращения с информацией, составляющей государственную тайну;
  • политики обращения с результатами НИОКР, конструкторской и технологической документацией, составляющей "ноу-хау" предприятия или его партнеров
  • и другие.

Политики безопасности такого типа уточняют и дополняют общие для всего предприятия правила, распространяющиеся на все остальные информационные системы и объекты, и, соответственно, имеют наибольший приоритет. Они, например, могут содержать:

  • специальные требования к резервному копированию информации (такие как более высокая частота резервного копирование и использование более надежных носителей для этого);
  • специальные требования к идентификации и аутентификации пользователей (такие как комбинирование биометрической идентификации и идентификации при помощи паролей);
  • специальные требования к копировально-множительной технике, используемой для работы с конфиденциальной информацией;
  • специальные требования к помещениям, в которых проводятся совещания по секретной тематике и обрабатывается соответствующая информация (толщина и материал стен, расположение помещений в зданиях, защищенность окон, надежность дверей и запоров, а также охранной и пожарной сигнализации, обследования на предмет выявления подслушивающих устройств и т.п.)
  • и другие.

К политикам второго типа могут относиться:

  • политика опубликования открытых информационных материалов, в том числе политика организации веб-сайта предприятия и его внутреннего информационного портала (в части предотвращения возможных утечек и искажений информации);
  • политика использования сети Интернет (в части предотвращения возможных утечек информации);
  • политики использования отдельных информационных и коммуникационных технологий, в том числе общие для всего предприятия правила использования мобильных компьютеров и КПК, удаленного доступа к корпоративными информационным системам, а также использования личных компьютеров сотрудников предприятия в служебных целях;
  • классификации информационных систем, информационных ресурсов и объектов информации с точки зрения их значимости и усилий, которые необходимо предпринимать для их защиты;
  • политика приобретения, установки, модификации и обновления программного обеспечения, а также аутсорсинга разработки и проектирования программного обеспечения;
  • политика закупки аппаратных средств информационных систем, систем информационной безопасности;
  • политика использования пользователями собственного программного обеспечения (т.е. ПО, самостоятельно разрабатываемого предприятием);
  • общие для всего предприятия правила использования паролей и других средств персональной идентификации;
  • политика использования электронно-цифровой подписи и инфраструктуры публичных ключей;
  • политика (регламент) обеспечения внутриобъектового режима и физической защищенности информационных активов;
  • политика доступа к внутренним информационным ресурсам сторонних пользователей (организаций);
  • общий для всего предприятия порядок привлечения к ответственности за нарушение определенных правил информационной безопасности.
< Лекция 6 || Лекция 7: 123 || Лекция 8 >
Андрей Стрельников
Андрей Стрельников

Какой документ выдается по программе профпереподготовки Управление ИТ-инфраструктурой? В разделе Дипломы указан сертификат, аналогичный бесплатным курсам.

Алексей Емельянов
Алексей Емельянов
Александр Санчиров
Александр Санчиров
Россия, Москва
Александр Климов
Александр Климов
Россия, Московское высшее техническое училище им. Н. Э. Баумана, 1989