Стандарты информационной безопасности
[+]
Опубликован: 03.09.2003 | Доступ: свободный | Студентов: 11219 / 3991 | Оценка: 4.21 / 3.93 | Длительность: 20:03:00
ISBN: 978-5-9556-0053-6
Тема: Безопасность
Специальности: Специалист по безопасности
Теги: CSPP, GSS-API, SPD, аутентификация, безопасность, группа реагирования, защита данных, защита данных пользователя, изделие ит, интерфейсы, компоненты, конфиденциальность, криптографический модуль, оранжевая книга, открытые ключи, политика, политики безопасности, протоколы, профиль защиты, серверы, сервисы, спецификации, стандарты, требования доверия, шифрование
Лекция 15:

Британский стандарт BS 7799
A
|
версия для печати
< Лекция 14 || Лекция 15: 12345 || Лекция 16 >

Регуляторы безопасности и реализуемые ими цели. Часть 1. Регуляторы общего характера

Мы приступаем к рассмотрению десяти групп регуляторов безопасности, выделенных в стандарте BS 7799.

К первой группе отнесено то, что связано с политикой безопасности, а именно:

  • документально оформленная политика;
  • процесс ревизии политики.

Цель регуляторов этой группы - определить стратегию управления безопасностью и обеспечить ее поддержку.

Рекомендуемая структура документированной политики изложена в курсе "Основы информационной безопасности" [ 91 ] .

Вторая группа регуляторов безопасности касается общеорганизационных аспектов. По сравнению с первой она более многочисленна и наделена внутренней структурой. Ее первая подгруппа - инфраструктура информационной безопасности - преследует цель управления безопасностью в организации и включает следующие регуляторы:

  • создание форума по управлению информационной безопасностью ;
  • меры по координации действий в области информационной безопасности;
  • распределение обязанностей в области информационной безопасности;
  • утверждение руководством (административное и техническое) новых средств обработки информации;
  • получение рекомендаций специалистов по информационной безопасности;
  • сотрудничество с другими организациями (правоохранительными органами, поставщиками информационных услуг и т.д.);
  • проведение независимого анализа информационной безопасности.

Регуляторы второй подгруппы - безопасность доступа сторонних организаций - предназначены для обеспечения безопасности вычислительных и информационных ресурсов, к которым имеют доступ сторонние организации. Этих регуляторов два:

  • идентификация рисков, связанных с подключениями сторонних организаций, и реализация соответствующих защитных мер;
  • выработка требований безопасности для включения в контракты со сторонними организациями.

Цель третьей подгруппы - обеспечение информационной безопасности при использовании услуг внешних организаций. Предлагается выработать требования безопасности для включения в контракты с поставщиками информационных услуг.

Очень важна третья группа регуляторов безопасности - классификация активов и управление ими. Необходимым условием обеспечения надлежащей защиты активов является их идентификация и классификация. Должны быть выработаны критерии классификации, в соответствии с которыми активы тем или иным способом получают метки безопасности.

Регуляторы четвертой группы - безопасность персонала - охватывают все этапы работы персонала, и первый из них - документирование ролей и обязанностей в области информационной безопасности при определении требований ко всем должностям. В соответствии с этими требованиями должны производиться отбор новых сотрудников, заключаться соглашения о соблюдении конфиденциальности, оговариваться в контрактах другие условия.

Для сознательного поддержания режима информационной безопасности необходимо обучение всех пользователей, регулярное повышение их квалификации.

Наряду с превентивными, стандарт предусматривает и меры реагирования на инциденты в области безопасности, чтобы минимизировать ущерб и извлечь уроки на будущее. Предусмотрены уведомления (доклады) об инцидентах и замеченных уязвимостях, нештатной работе программного обеспечения. Следует разработать механизмы оценки ущерба от инцидентов и сбоев и дисциплинарного наказания провинившихся сотрудников.

Пятая группа регуляторов направлена на обеспечение физической безопасности и безопасности окружающей среды. Она включает три подгруппы:

  • организация защищенных областей;
  • защита оборудования;
  • меры общего характера.

Для организации защищенных областей требуется определить периметры физической безопасности, контролировать вход в защищенные области и работу в них, защитить производственные помещения (особенно имеющие специальные требования по безопасности) и места погрузочно/разгрузочных работ, которые, по возможности, надо изолировать от производственных помещений.

Чтобы предупредить утерю, повреждение или несанкционированную модификацию оборудования рекомендуется размещать его в защищенных областях, наладить бесперебойное электропитание, защитить кабельную разводку, организовать обслуживание оборудования, перемещать устройства (в том числе за пределы организации) только с разрешения руководства, удалять информацию перед выведением из эксплуатации или изменением характера использования оборудования.

К числу мер общего характера принадлежат политика чистого рабочего стола и чистого экрана, а также уничтожение активов - оборудования, программ и данных - только с разрешения руководства.

Дальше >>
< Лекция 14 || Лекция 15: 12345 || Лекция 16 >

Вопросы и ответы

вопросов: 11
Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

ответить
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

ответить