Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4624 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Балтийский государственный технический университет "ВОЕНМЕХ" им. Д.Ф. Устинова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Информатизация часть 3.docx
Скачиваний:
7
Добавлен:
22.11.2018
Размер:
50.26 Кб
Скачать
►Содержание►

6.4.2. Информационная безопасность

По определению экспертов по информационной безопасности, политика информационной безопасности организации — это внутренний нормативный документ, который имеет трехуровневую иерархию:

• требования — это высокоуровневые положения, которые определяют принципы и направления выполнения действий. Например, для критичных серверов должно выполняться регулярное резервное копирование;

  • стандарты — это детальные положения, которые определяют особенности выполнения действий. Например, для серверов А, Б и В ежедневно должно выполняться инкрементальное резервное копирование и еженедельно — полное резервное копирование;

  • организационно-распорядительные и нормативно-технические документы — это инструкции, определяющие последовательность выполнения требований и стандартов. Например, инструкция по резервному копированию.

Политика безопасности — внутренний стандарт, обязательный для всех, – должна быть выработана таким образом, чтобы решить следующие задачи:

  • зафиксировать единый перечень требований по информационной безопасности для всей организации;

  • распределить зоны ответственности между подразделениями и персоналом организации в части информационной безопасности.

Разработка политики позволит обеспечить ИБ с учетом требований национальных и международных стандартов (например, ISO 17799, ISO 15408), скоординировать, формализовать и зафиксировать требования и процедуры обеспечения ИБ, обосновать и планировать мероприятия по обеспечению ИБ, зафиксировать ответственность администраторов и пользователей, оценить возможные убытки и соразмерить их с затратами.

Однако следует заметить, что хотя политика безопасности информации и позволит оценить и предупредить многие потенциальные проблемы, она не сможет избавить от проблем полностью, поскольку безопасность оперирует вероятностями и оценивает их с заданной долей вероятности.

В любом случае при составлении политики безопасности надо учитывать и человеческий фактор: неправильно понятый и, соответственно, неправильно исполненный стандарт также может служить угрозой безопасности, а сам он превратится просто в кучу бумаги.

Необходимо отметить, что если для частного лица безопасность его домашнего компьютера — это его личное дело, то для компаний — это уже вопрос юридический, поскольку они имеют дело не только, например, с коммерческой тайной, базами данных с личными сведениями о сотрудниках, но зачастую имеют доступ к государственной тайне.

Помимо этого, как отмечает Ю. Малинин, руководитель проектов НОУ «Академия Информационных Систем», в преддверии вступления России в ВТО особую значимость приобретает совершенствование нормативно-правовой базы в области информационных технологий. Сейчас проводится ряд мероприятий для решения этого вопроса как на федеральном, так и региональном уровнях. Так чем же руководствоваться компаниям, какие нормативные акты и стандарты использовать?

6.4.3. Информационное законодательство

С 1 июля 2006 года вступил в силу Федеральный Закон 184 – ФЗ «О техническом регулировании», который изменяет существующую систему стандартизации в Российской Федерации, в том числе и в сфере информационной безопасности. С момента принятия этого закона существуют обязательные стандарты по безопасности, или технические регламенты по безопасности. Основой для их разработки являются международные и национальные стандарты.

Технические регламенты будут вводиться в действие в виде Законов РФ, Указов Президента и постановлений Правительства.

Интеграция России в ВТО не сможет осуществиться без обеспечения соответствия национальных стандартов международным. В настоящее время утверждено 60 международных стандартов в области ИБ. Некоторые из них введены в действие и широко используются в России на основе прямого применения международных стандартов, например ГОСТ Р ИСО/МЭК 7498-2-99, ГОСТ Р ИСО/МЭК 9594-8-98, ГОСТ Р ИСО/МЭК 9294-93.

Особое внимание специалистов в области ИБ приковано к международному стандарту «Критерии оценки безопасности информационных технологий», известному также как «Общие критерии». Согласно международному «Соглашению по взаимному признанию Общих критериев оценки безопасности информационных технологий», оценка по «Общим критериям», проведенная в одной стране, будет официально признана во всех странах (на данный момент – более пятнадцати), подписавших данное соглашение. В России введен в действие стандарт ГОСТ РИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» на основе прямого применения «Общих критериев», и в соответствии с ним сейчас Гостехкомиссией России разрабатываются руководящие документы. На подходе к введению находится другой стандарт — ГОСТ  РИСО/МЭК 17799 «Информационная технология. Кодекс устоявшейся практики по управлению защитой информации».

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности