Назначение и содержание политики безопасности

Loading...

来自 National Research University Higher School of Economics 的课程

Менеджмент информационной безопасности

12 个评分

National Research University Higher School of Economics

Менеджмент информационной безопасности

12 个评分

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

从本节课中

Политика безопасности организации

Добро пожаловать на четвертую неделю курса! Данный модуль пригодится Вам для того, чтобы познакомить Вас с политикой безопасности организации. После окончания этой недели Вы сможете: сформулировать основные принципы разработки и внедрения политики безопасности организации; перечислить основные вопросы, которые необходимо рассмотреть в политике безопасности организации; сформулировать принципы, которые необходимо зафиксировать в политике безопасности организации; подготовить план мероприятий по внедрению и поддержанию политики безопасности организации. Смотрите видеоролики и в случае возникновения вопросов присоединяйтесь к обсуждению на форуме недели, желаем успехов в освоении материала!

Понятие политики безопасности3:03

Назначение и содержание политики безопасности6:34

Вопросы, рассматриваемые в политике безопасности3:09

Организационные аспекты информационной безопасности7:46

Управление активами6:07

Безопасность, связанная с управлением персоналом6:05

Физическая безопасность7:25

Управление доступом8:25

Вопросы эксплуатации информационных систем6:08

Управление инцидентами и непрерывностью бизнеса6:43

Соответствие требованиям обязательств организации3:21

Жизненный цикл политики безопасности7:33

与讲师见面

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Рассмотрим

назначение и содержание политики безопасности организации.

Как правило, политика безопасности разрабатывается с целью обеспечения

управления и поддержки высшим руководством информационной безопасности в соответствии

с требованиями бизнеса и соответствующими законами и нормами.

Далее по ходу сегодняшней лекции будет неоднократно встречаться упоминание слова

бизнес, это термин, используемый в государственном стандарте.

Там в большинстве формулировок используется это понятие.

Под ним можно подразумевать для расширения применимости данных понятий

сферу деятельности организации.

Если речь идёт, например, о государственном органе,

о какой-то государственной организации, работающей, например,

с персональными данным, об органе власти, то, разумеется, там речь идёт не о

бизнесе в узком понимании, а о некой сфере деятельности организации.

Для создания эффективной политики безопасности можно дать следующие

рекомендации.

Высшее руководство должно установить чёткое направление политики,

соответствующее целям бизнеса, демонстрировать её соблюдение и поддержу.

Это означает, что должна быть не только на словах,

но и на деле поддержка со стороны руководства всех принятых им же решений.

Не должно быть такой ситуации, когда согласно какому-то регламенту нечто

запрещено, но на деле это практикуется и никоим образом не осуждается.

В организации должно быть назначено лицо, ответственное за информационную

безопасность, консультирующее сотрудников по связанным с ней вопросам.

Иными словами, не очень понятные или неоднозначные моменты политики

безопасности и вообще информационной безопасности не должны оставаться на

понимание конечные сотрудников, конечных исполнителей.

Должен быть некий человек, специально назначенный специалист в области

информационной безопасности или причастный к разработке политики безопасности,

способный дать квалифицированную консультацию по всем вопросам,

с ней связанным.

Для того чтобы политика безопасности действительно было эффективной и достигала

поставленных перед ней целей, весьма эффективно и весьма желательно налаживать

контакты с внешними специалистами по безопасности, отдельными экспертами,

разработчиками различных средств для защиты информации,

например, антивирусных средств, например,

систем по обнаружению атак и подобных средств защиты информации,

криптографических средств, представителями уполномоченных органов,

для того чтобы быть в курсе отраслевых тенденций, то есть появления новых

стандартов или разработки новых стандартов, появления новых угроз,

новых методик работы нарушителей и подобных новостей, сообщений,

подобной информации, которая позволит организации и её службе безопасности быть

всегда на адекватном уровне готовности по отношению к актуальным угрозам.

И, наконец, следует поддерживать многопрофильный подход к обеспечению

информационной безопасности.

Такая рекомендация означает, что информационная безопасность должна

обеспечиваться разными мерами и на нескольких уровнях,

то есть представлять как бы несколько эшелонов защиты информации.

Как правило, политика безопасности рассматривается на трёх уровнях

детализации, как мы и говорили в одной из предыдущих лекций, рассматривая политику

безопасности как одну из организационных мер защиты информации, точнее,

как одну из административных мер.

На верхнем уровне, как правило, принимаются решения,

касающиеся организации в целом, в терминах целостности,

доступности и конфиденциальности информации.

На среднем уровне принимаются решения,

касающиеся ответственности за соблюдение политики безопасности,

обучения персонала, назначения ответственных лиц, и подобные вопросы.

Ну и, наконец,

на нижнем уровне принимаются решения по конкретным системам и сервисам.

Политика безопасности может быть как самостоятельным документом либо составлять

часть документа по общей политике.

При этом политика безопасности в актуальной, доступной и понятной форме

должна быть доведена до сведения всех пользователей информационной системы.

Это требование довольно очевидно и логично, поскольку политика безопасности,

будучи некой совокупностью представлений, регламентов, касающихся обеспечения

информационной безопасности, не будет работать, если будет просто опубликована,

подписана и дальше, допустим, заперта в сейф вместе с пакетом уставных документов.

Она должна жить вполне своей особенной жизнью,

то есть она должна быть известна всем сотрудникам, они должны понимать,

зачем она нужна, почему её требования именно таковы, а не какие-то другие,

чем грозит её нарушение не только лично им в плане дисциплинарной ответственности,

а всей организации с точки зрения потери каких-то активов,

с точки зрения финансовых потерь и ущерба, и таким образом

у самих пользователей должна быть мотивация следовать политике безопасности.

Как правило, в документ, содержащий политику безопасности, включают следующие

разделы: определение информационной безопасности, её цели и сферы действия,

цели и принципы информационной безопасности в соответствии с целями

функционирования организации, описание подхода к установлению мер обеспечения

информационной безопасности, включая описание оценки и управления рисками,

краткое разъяснение наиболее существенных для организации принципов, например,

принципов соблюдения каких-то законов, каких-то договорных обязательств

перед другими организациями, по какой причине доступ к информации

определяется и устанавливается таким образом, а не иным, по какой причине,

например, вводится биометрическая аутентификация пользователей,

по какой причине следует соблюдать те или иные правила использования средств

вычислительной техники и подобные принципы.

Они желательны к объяснению в политике безопасности.

Далее определение обязанностей сотрудника в области информационной безопасности

включается в политику безопасности и ссылки на дополняющие документы, более

детальные политики, например, касающиеся конкретных средств защиты информации,

правила использования автоматизированной системы, и так далее, подобные документы.

[МУЗЫКА] [МУЗЫКА]

[МУЗЫКА]

探索我们的目录

免费加入并获得个性化推荐、更新和优惠。

Coursera 致力于普及全世界最好的教育，它与全球一流大学和机构合作提供在线课程。

© 2018 Coursera Inc. 保留所有权利。

通过 App Store 下载

通过 Google Play 获取