1) Политика безопасности 2) ГОСТ 3) ISO 4) Вывод 5) Словарь терминов 6) Литература
Выдержка
Политика безопасности
Политика сохранности организации(англ. organizational security policies)— совокупа управляющих принципов, верховодил, процедур и практических приёмов в области сохранности, какие регулируют управление, охрану и расположение ценной инфы.
В общем случае таковой комплект верховодил представляет собой некоторый функционал программного продукта, который нужен для его применения в конкретной организации. Ежели подступать к политике сохранности наиболее казенно, то она имеется комплект некоторых требований к функционалу системы охраны, закрепленных в ведомственных документах. К примеру, в денежных организациях часто принято, чтоб в продукте предусматривалось пребывание нескольких административных ролей: админ, аудитор и инструктор системы охраны. Такое ролевое управление информационной сохранностью —скорее дань традиции и теоретически дозволяет избежать «сговора» админа и злодея из числа юзеров. Для такого, чтоб подключить этот функционал продукта в профиль охраны, целесообразнее только завести подобающую политику сохранности.
Политика сохранности зависит:
- от конкретной технологии отделки инфы;
- от используемых технических и программных средств;
- от расположения организации;
С каждым зарегистрированным в компьютерной системе субъектом(юзером либо действием, работающим от имени юзера)связана некая информация, несомненно идентифицирующая его. Это может существовать количество либо строчка знаков, именующие этот субъект. Эту информацию именуют идентификатором субъекта. Ежели юзер владеет идентификатор, оформленный в козни, он считается легальным(законным)юзером; другие юзеры относятся к незаконным юзерам. До этого чем заполучить доступ к ресурсам компьютерной системы, юзер обязан войти процесс первичного взаимодействия с компьютерной системой, который подключает идентификацию и аутентификацию.
С процедурами аутентификации и авторизации тесновато связана процедура администрирования действий юзера.
ГОСТ 15408 - «Аспекты оценки сохранности информационных технологий»
Сообразно ГОСТ 15408 «Аспекты оценки сохранности информационных технологий»(КОБИТ), ПБ организации - это одно либо некоторое количество верховодил, процедур, практических приемов либо управляющих принципов в области сохранности, которыми управляется организация в собственной деловитости [3, 8]. ПБ является одним из компонентов среды сохранности, включающей еще законы, эксперимент, особые навыки, познания и опасности сохранности, пребывание которых в данной среде известно либо предполагается. Изложение ПБ организации врубается в такие бумаги, как Профиль охраны и Поручение сообразно сохранности. В предстоящем расположения ПБ употребляются при формулировании Целей сохранности для объекта оценки и его среды. Еще подчеркивается надобность наличия устройств испытания соответствия объекта оценки ПБ.
Тем самым ПБ рассматривается в КОБИТ, до этого только, как одно из базисных начальных критерий для разработки и оценки информационной системы. Но определение её очень неясно, и, желая круг вопросцев, подлежащих формализации в рамках ПБ, очерчен, конкретные индивидуальности разработки этого акта не затрагиваются. Наиболее такого, КОБИТ оставляют за рамками рассмотрения цельный разряд заморочек, обычно включаемых в мнение «политика безопасности»: это и административные меры, и телесная охрана, и вопросцы управления персоналом. Таковой подъезд, обеспечивающий некую доп разносторонность, подчеркивается самими разрабами КОБИТ. Таковым образом, сами сообразно себе КОБИТ не содержат практических советов сообразно разработке ПБ, а являются неким метастан-дартом, дозволяющим формализовать отдельные нюансы ПБ, что мы покажем ниже.
Следует подметить, что некие организационные вопросцы ИБ определены в акте «Общественная методология оценки сохранности информационных технологий», разработанного в рамках интернационального проекта «Общих критериев»(Common Criteria for IT Security Evaluation), но не имеющего покуда нормативного аналога в нашей стране.
Литература
1) ГОСТ Р ИСО/МЭК 15408 2) Щербаков АЛО. Вступление в концепцию и практику компьютерной сохранности. М. ; \\"Издатель Молгачева С. В. \\", 2001. -352 с. 3) Коуров Л. В. Базы снабжения сохранности информационных систем. -Мн. : ИУП, 2002. -60с.
Политика безопасности
Политика безопасности организации (англ. organizational security policies) — совокупность руководящих принципов, правил, процедур и практ