Область применения. В этом разделе описывается где, когда, как, поотношению к кому и чему применяется даннаяполитика ИБ. Например, затрагивает ли политика ИБ, связанная с использованием неофициальных программ, субподрядчиков? Касается ли она пользователей, эксплуатирующих портативные или домашние компьютеры и вынужденных переносить информацию на компьютеры организации? Позиция организацииподанному аспекту. Продолжая пример с неофициальными программами, можно представить себе позиции полного запрета, выработки процедуры приемки подобных программ и т. п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться. Роли и обязанности.
В документ политики ИБ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальные программы использовать нельзя, следует знать, кто следит за выполнением данного правила.Законопослушность. Политика ИБ должна содержать общее описание запрещенных действий и наказаний за них. Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост. 2, 3, 4, 5]2.
3. Нижний уровень политики ИБПолитика ИБнижнего уровня относится к конкретныминформационным сервисам. Она включает в себя два основных аспекта — цели и правила их достижения. В отличие от политик ИБверхнего и среднего уровней, политика.
ИБ нижнего уровня должна быть определена более детально. Есть много аспектов, которые являются специфичными для определенных видов услуг, которые невозможнорегламентировать единым образом в рамках всей организации. В то же время, эти аспектыявляются важными для обеспечения ИБ, поэтому относящиеся к ним решения должны приниматься на управленческом, а не на техническом уровне. Приведем примеры вопросов, которые должны быть решены в политике ИБ нижнего уровня:
определение пользователей, которые имеют право доступа к объектам, поддерживаемым определенным сервисом;
определение условий, при которых можно читать и модифицировать данные;
организация удаленного доступа к определенному сервису. При определениизадач политики ИБ нижнего уровня необходимо исходить из соображений целостности, доступности и конфиденциальности информации, а также необходимо учесть тот аспект, что определяемыезадачи должны связывать между собой объекты сервиса и действия с ними. Из поставленных задач политики ИБ выводятся правила безопасности, которые должны описыватьпользователей и правила их взаимодействия с информационными объектами. С одной стороны, чем подробнее правила, чем более формально они изложены, тем проще соблюдать их выполнение программно-техническими средствами. С другой стороны, слишком строгие правила могут препятствовать работе пользователей, поэтому есть вероятность того, что их придется часто пересматривать. Руководству организации и сотрудникам необходимо найти разумныйкомпромисс, при котором за приемлемую цену будет обеспечен приемлемый уровень безопасности, и при этом сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаютсяправа доступак объектам ввиду особой важности данного вопроса. 1, 3, 4, 5]3.Жизненный циклполитики ИБОбщий жизненный цикл политики ИБ состоит из следующих основных этапов:
Предварительное исследование состояния ИБ. Разработка политики ИБ. Внедрение разработанных политик ИБ. Анализ соблюдения требований внедренной политики ИБ и формулирование требований по ее дальнейшему совершенствованию. На этом же этапе осуществляется возврат к первому этапу — начинается новый цикл совершенствования. Цикл, состоящий из указанных этапов, может повторяться несколько раз с целью совершенствования организационных мер в сфере защиты информации и устранения выявляемых недоработок. Жизненный цикл развития и совершенствования политики ИБорганизации представлен на рис.
2.Рис.
2.Жизненный цикл политики ИБ[1, 2, 5]Заключение.
В рамках данной работы были решены следующие задачи:
1. Изучены основные теоретические аспекты политики ИБ: Дано определение понятию «политика ИБ»;Определены основные цели политики ИБ;Выделены мероприятия, проводимые в рамках разработки ИБ;Сформулированы основные принципы разработки политики ИБ: иерархичность и законность, четкость и однозначность, доступность и простота.
2. Изучена структура политики ИБ, дана характеристика ее уровней:
Верхний уровень представляет собой декларацию руководителей организации о целесообразностиведения целенаправленной работы по защите информационных ресурсов;
Средний уровень включают в себя детализацию требований, задач и правил, сформулированных в политике ИБ верхнего уровня. Нижний уровень относится к конкретныминформационным сервиса и определяет цели и правила их достижения.
3. Рассмотрены основные этапы жизненного цикла политики ИБ: предварительное исследование состояния ИБ;разработка политики ИБ;внедрение разработанных политик ИБ;анализ соблюдения требований внедренной политики ИБ. Таким образом, можно заключить, что все поставленные в работе задачи решены, следовательно, можно констатировать, что цель данной работы — изучение общей структуры политики информационной безопасности — достигнута.
Список использованных источников
.
Политика информационной безопасности в контексте серии ГОСТ ИСО/МЭК 27 001- Электронные данные — [режим доступа] -.
http://pkulkov.informationsecurity.club/security-policy-in-iso27001/Политика информационной безопасности организации- Электронные данные — [режим доступа] -.
http://itsec.by/politika-informacionnoj-bezopasnosti-organizacii/Политика информационной безопасности Организации- Электронные данные — [режим доступа] -.
http://www.dataved.ru/2010/03/information-security.htmlСоветов, Б. Я. Информационные технологии: учеб.
для бакалавров: учеб. для студентов вузов. Санкт-Петербургский гос. электротехн. ун-т. — 6-е изд. — М.: Юрайт, 2012. — 263 с. Защита информации и информационная безопасность: учеб.; Рос. гос. торг.
экон. ун-т ФГОУ ВПО Омский ин-т (филиал), Академия военных наук. — Омск, 2011. — 426 с.
