административный уровень информационной безопасности презентация

Административный уровень информационной безопасности

Политика безопасности верхнего уровня решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы; формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей; обеспечение базы для соблюдения законов и правил; формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Британский стандарт BS 7799:1995: вводный; организационный; классификационный; штатный; раздел, освещающий вопросы физической защиты; управляющий раздел; раздел, описывающий правила разграничения доступа к производственной информации; раздел, характеризующий порядок разработки и сопровождения систем; раздел, описывающий меры, направленные на обеспечение непрерывной работы организации; юридический раздел.

Политика безопасности среднего уровня Роли и обязанности. Область применения Законопослушность. Точки контакта. Позиция организации по данному аспекту. Описание аспекта.

Политика безопасности нижнего уровня Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения. Вопросы, на которые следует дать ответ в политике безопасности нижнего уровня: кто имеет право доступа к объектам, поддерживаемым сервисом? при каких условиях можно читать и модифицировать данные? как организован удаленный доступ к сервису?

Программа безопасности Цели программы верхнего уровня: управление рисками (оценка рисков, выбор эффективных средств защиты); координация деятельности в области информационной безопасности, пополнение и распределение ресурсов; стратегическое планирование; контроль деятельности в области информационной безопасности. Цель программы нижнего уровня - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов.

Синхронизация программы безопасности с жизненным циклом систем Этапы жизненного цикла информационного сервиса Закупка. Инициация. Установка. Выведение из эксплуатации. Эксплуатация.

Управление рисками Управление рисками включает в себя два вида деятельности, которые чередуются циклически: оценка (измерение) рисков; выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия: ликвидация риска (например, за счет устранения причины); уменьшение риска (например, за счет использования дополнительных защитных средств); принятие риска (и выработка плана действия в соответствующих условиях); переадресация риска (например, путем заключения страхового соглашения).

Этапы процесса управления рисками Выбор анализируемых объектов и уровня детализации их рассмотрения. Выбор методологии оценки рисков. Идентификация активов. Анализ угроз и их последствий, выявление уязвимых мест в защите. Оценка рисков. Выбор защитных мер. Реализация и проверка выбранных мер. Оценка остаточного риска.