Назначение и содержание политики безопасности

Loading...

来自 National Research University Higher School of Economics 的课程

Менеджмент информационной безопасности

8 个评分

National Research University Higher School of Economics

Менеджмент информационной безопасности

8 个评分

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

从本节课中

Политика безопасности организации

Добро пожаловать на четвертую неделю курса! Данный модуль пригодится Вам для того, чтобы познакомить Вас с политикой безопасности организации. После окончания этой недели Вы сможете: сформулировать основные принципы разработки и внедрения политики безопасности организации; перечислить основные вопросы, которые необходимо рассмотреть в политике безопасности организации; сформулировать принципы, которые необходимо зафиксировать в политике безопасности организации; подготовить план мероприятий по внедрению и поддержанию политики безопасности организации. Смотрите видеоролики и в случае возникновения вопросов присоединяйтесь к обсуждению на форуме недели, желаем успехов в освоении материала!

Понятие политики безопасности3:03

Назначение и содержание политики безопасности6:34

Вопросы, рассматриваемые в политике безопасности3:09

Организационные аспекты информационной безопасности7:46

Управление активами6:07

Безопасность, связанная с управлением персоналом6:05

Физическая безопасность7:25

Управление доступом8:25

Вопросы эксплуатации информационных систем6:08

Управление инцидентами и непрерывностью бизнеса6:43

Соответствие требованиям обязательств организации3:21

Жизненный цикл политики безопасности7:33

与讲师见面

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Рассмотрим

назначение и содержание политики безопасности организации.

Как правило, политика безопасности разрабатывается с целью обеспечения

управления и поддержки высшим руководством информационной безопасности в соответствии

с требованиями бизнеса и соответствующими законами и нормами.

Далее по ходу сегодняшней лекции будет неоднократно встречаться упоминание слова

бизнес, это термин, используемый в государственном стандарте.

Там в большинстве формулировок используется это понятие.

Под ним можно подразумевать для расширения применимости данных понятий

сферу деятельности организации.

Если речь идёт, например, о государственном органе,

о какой-то государственной организации, работающей, например,

с персональными данным, об органе власти, то, разумеется, там речь идёт не о

бизнесе в узком понимании, а о некой сфере деятельности организации.

Для создания эффективной политики безопасности можно дать следующие

рекомендации.

Высшее руководство должно установить чёткое направление политики,

соответствующее целям бизнеса, демонстрировать её соблюдение и поддержу.

Это означает, что должна быть не только на словах,

но и на деле поддержка со стороны руководства всех принятых им же решений.

Не должно быть такой ситуации, когда согласно какому-то регламенту нечто

запрещено, но на деле это практикуется и никоим образом не осуждается.

В организации должно быть назначено лицо, ответственное за информационную

безопасность, консультирующее сотрудников по связанным с ней вопросам.

Иными словами, не очень понятные или неоднозначные моменты политики

безопасности и вообще информационной безопасности не должны оставаться на

понимание конечные сотрудников, конечных исполнителей.

Должен быть некий человек, специально назначенный специалист в области

информационной безопасности или причастный к разработке политики безопасности,

способный дать квалифицированную консультацию по всем вопросам,

с ней связанным.

Для того чтобы политика безопасности действительно было эффективной и достигала

поставленных перед ней целей, весьма эффективно и весьма желательно налаживать

контакты с внешними специалистами по безопасности, отдельными экспертами,

разработчиками различных средств для защиты информации,

например, антивирусных средств, например,

систем по обнаружению атак и подобных средств защиты информации,

криптографических средств, представителями уполномоченных органов,

для того чтобы быть в курсе отраслевых тенденций, то есть появления новых

стандартов или разработки новых стандартов, появления новых угроз,

новых методик работы нарушителей и подобных новостей, сообщений,

подобной информации, которая позволит организации и её службе безопасности быть

всегда на адекватном уровне готовности по отношению к актуальным угрозам.

И, наконец, следует поддерживать многопрофильный подход к обеспечению

информационной безопасности.

Такая рекомендация означает, что информационная безопасность должна

обеспечиваться разными мерами и на нескольких уровнях,

то есть представлять как бы несколько эшелонов защиты информации.

Как правило, политика безопасности рассматривается на трёх уровнях

детализации, как мы и говорили в одной из предыдущих лекций, рассматривая политику

безопасности как одну из организационных мер защиты информации, точнее,

как одну из административных мер.

На верхнем уровне, как правило, принимаются решения,

касающиеся организации в целом, в терминах целостности,

доступности и конфиденциальности информации.

На среднем уровне принимаются решения,

касающиеся ответственности за соблюдение политики безопасности,

обучения персонала, назначения ответственных лиц, и подобные вопросы.

Ну и, наконец,

на нижнем уровне принимаются решения по конкретным системам и сервисам.

Политика безопасности может быть как самостоятельным документом либо составлять

часть документа по общей политике.

При этом политика безопасности в актуальной, доступной и понятной форме

должна быть доведена до сведения всех пользователей информационной системы.

Это требование довольно очевидно и логично, поскольку политика безопасности,

будучи некой совокупностью представлений, регламентов, касающихся обеспечения

информационной безопасности, не будет работать, если будет просто опубликована,

подписана и дальше, допустим, заперта в сейф вместе с пакетом уставных документов.

Она должна жить вполне своей особенной жизнью,

то есть она должна быть известна всем сотрудникам, они должны понимать,

зачем она нужна, почему её требования именно таковы, а не какие-то другие,

чем грозит её нарушение не только лично им в плане дисциплинарной ответственности,

а всей организации с точки зрения потери каких-то активов,

с точки зрения финансовых потерь и ущерба, и таким образом

у самих пользователей должна быть мотивация следовать политике безопасности.

Как правило, в документ, содержащий политику безопасности, включают следующие

разделы: определение информационной безопасности, её цели и сферы действия,

цели и принципы информационной безопасности в соответствии с целями

функционирования организации, описание подхода к установлению мер обеспечения

информационной безопасности, включая описание оценки и управления рисками,

краткое разъяснение наиболее существенных для организации принципов, например,

принципов соблюдения каких-то законов, каких-то договорных обязательств

перед другими организациями, по какой причине доступ к информации

определяется и устанавливается таким образом, а не иным, по какой причине,

например, вводится биометрическая аутентификация пользователей,

по какой причине следует соблюдать те или иные правила использования средств

вычислительной техники и подобные принципы.

Они желательны к объяснению в политике безопасности.

Далее определение обязанностей сотрудника в области информационной безопасности

включается в политику безопасности и ссылки на дополняющие документы, более

детальные политики, например, касающиеся конкретных средств защиты информации,

правила использования автоматизированной системы, и так далее, подобные документы.

[МУЗЫКА] [МУЗЫКА]

[МУЗЫКА]

探索我们的目录

免费加入并获得个性化推荐、更新和优惠。

Coursera 致力于普及全世界最好的教育，它与全球一流大学和机构合作提供在线课程。

© 2018 Coursera Inc. 保留所有权利。

通过 App Store 下载

通过 Google Play 获取