Организационные аспекты информационной безопасности

Loading...

Из курса от партнера National Research University Higher School of Economics

Менеджмент информационной безопасности

12 оценки

National Research University Higher School of Economics

Менеджмент информационной безопасности

12 оценки

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

Из урока

Политика безопасности организации

Добро пожаловать на четвертую неделю курса! Данный модуль пригодится Вам для того, чтобы познакомить Вас с политикой безопасности организации. После окончания этой недели Вы сможете: сформулировать основные принципы разработки и внедрения политики безопасности организации; перечислить основные вопросы, которые необходимо рассмотреть в политике безопасности организации; сформулировать принципы, которые необходимо зафиксировать в политике безопасности организации; подготовить план мероприятий по внедрению и поддержанию политики безопасности организации. Смотрите видеоролики и в случае возникновения вопросов присоединяйтесь к обсуждению на форуме недели, желаем успехов в освоении материала!

Понятие политики безопасности3:03

Назначение и содержание политики безопасности6:34

Вопросы, рассматриваемые в политике безопасности3:09

Организационные аспекты информационной безопасности7:46

Управление активами6:07

Безопасность, связанная с управлением персоналом6:05

Физическая безопасность7:25

Управление доступом8:25

Вопросы эксплуатации информационных систем6:08

Управление инцидентами и непрерывностью бизнеса6:43

Соответствие требованиям обязательств организации3:21

Жизненный цикл политики безопасности7:33

Познакомьтесь с преподавателями

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Рассмотрение

подробно отдельных элементов политики безопасности начнем с

организационных аспектов информационной безопасности.

Целью данного раздела является осуществление управления информационной

безопасностью в рамках организации, то есть создание такой системы,

в которой информационной безопасностью руководство может эффективно управлять,

контролировать деятельность своих подчиненных, контролировать

их поведение в нестандартных ситуациях и в различных вопросах,

касающихся информационной безопасности.

Основными рекомендациями по эффективному применению организационных аспектов

информационной безопасности являются следующие утверждения: создание

четкой структуры управления для внедрения и контроля обеспечения информационной

безопасности в организации.

Такая структура управления должна быть четко понятна как для руководителей,

так и для сотрудников.

В этом случае каждый из сотрудников организации на любой должности понимает,

каким образом внедряются различные решения по информационной безопасности в

организации, понимает свою роль в обеспечении информационной безопасности и

при соблюдении других условий, то есть в отсутствие каких-то экстремальных ситуаций

на его рабочем месте, в отсутствие у него мотивации действовать злоумышленно

он получает наилучшие возможности, наилучшие предпосылки для того,

чтобы соблюдать все требования политики безопасности и таким образом не

действовать, например, халатно или по недостатку знаний.

Следующая рекомендация — это назначение ответственного лица,

способного консультировать других пользователей.

Об этом уже говорилось.

Действительно, очень трудно переоценить роль наличия такого лица,

поскольку при наличии такого лица в любой спорной ситуации пользователю проще

обратиться за консультацией, нежели принимать решение на свой страх и риск.

А это, опять же, минимизирует вероятность принятия решений на основе

недостатка информации или каких-то халатных решений.

И еще одна рекомендация — это наличие контактов с внешними специалистами.

Здесь речь идет о том, что в случае каких-то серьезных инцидентов должны быть

налаженные контакты со специалистами, которые могут предоставить консультацию

по данной ситуации, например, в случае последствий хакерской атаки предложить

последовательность действий по минимизации ущерба, по восстановлению

работоспособности системы и по расследованию данного инцидента, а также,

возможно, контакты с представителями правоохранительных органов для того,

чтобы эффективно в будущем предотвращать подобные инциденты,

чтобы предоставить некую информацию, в результате которой, возможно, были бы

приняты меры к розыску и предотвращению преступной деятельности нарушителя.

В рамках части политики безопасности, посвященной организационным аспектам,

желательно сформулировать следующие положения.

Во-первых, обязанности руководства: активная поддержка безопасности в

организации с помощью четкого управления,

видимого распределения обязанностей и их утверждения путем назначения и признания.

То есть руководство должно назначить людей, ответственных за

обеспечение информационной безопасности, оказывать им поддержку,

не нарушать демонстративно принятые ими же политики безопасности и признавать эти

требования, то есть руководствоваться ими во всех принимаемых решениях.

Следующее положение, которое рекомендуется сформулировать в этой части политики

безопасности, это вопросы координации деятельности,

связанные с информационной безопасностью, между представителями различных

подразделений с соответствующими ролями и должностными обязанностями.

Желательно, чтобы каждый сотрудник, или как минимум руководитель каждого отдела

четко понимал, к кому он должен обратиться в случае того или иного инцидента

информационной безопасности, кто отвечает за реагирование на такой инцидент,

кто ответственен, например, за оперативную перенастройку средств защиты,

например, изменение настроек на межсетевом экране.

И вот эта вот совокупность обязанностей, относящихся к этой ситуации,

— это есть роль.

То есть должно быть четко известно, кто из сотрудников за какую роль ответственен,

например, за роль администратора средств безопасности, администратора межсетевого

экрана, координатора по реагированию на инциденты информационной безопасности и

подобные роли и соответствующие этим ролям обязанности.

Желательно также сформулировать и распределение обязанностей между

сотрудниками организации, их права и ответственность за несоблюдение требований

политики безопасности, а конкретно рассмотреть следующие аспекты: обязанности

каждого из сотрудников по обеспечению информационной безопасности,

возможность делегирования обязанностей при сохранении ответственности.

Здесь речь идет о том, что сотрудники,

облеченные какими-то обязанностями и отвечающие, например,

за работу тех или иных средств обработки информации или средств защиты информации,

могут либо не могут, в соответствии с тем, как это сформулировано

в политике безопасности, делегировать свои обязанности кому-то из своих подчиненных.

При этом ответственность за результат такого делегирования все равно остается

на лице, которое осуществляет делегирование, то есть на руководителе.

И, наконец, должен быть перечислен круг обязанностей каждого руководителя,

поскольку именно от их согласованных действий во многом зависит эффективность

системы информационной безопасности организации.

Еще весьма желательно сформулировать вопросы получения разрешения

на использование новых средств обработки информации: кто должен согласовать,

кто может позволить или не позволить, кто должен быть непременно извещен.

Например, разрешает начальник отдела,

согласовывает руководитель службы безопасности, а проинформирован должен

быть администратор какого-то конкретного средства безопасности.

Должны быть сформулированы требования в отношении соглашения о конфиденциальности

или неразглашении служебной информации, то есть типовая форма документа,

который подписывает каждый из сотрудников,

так или иначе имеющий отношение к информации, представляющую собой,

например, коммерческую тайну или по иным основаниям являющуюся конфиденциальной.

И еще желательно сформулировать процедуры взаимодействия и контактов с внешними

инстанциями и отдельными специалистами, аспекты взаимодействия с ними.

Здесь речь идет не только о, скажем так,

созидательном взаимодействии с точки зрения реагирования на какие-то инциденты,

но и аспекты взаимодействия с такими организациями, которые

напрямую не связаны с обеспечиванием безопасности информации, а, например,

являются подрядчиками или обеспечивают поддерживающую инфраструктуру, например,

представители энергоснабжающей компании, которые желают провести,

допустим, поверку электросчетчиков, монтаж какой-то сети,

сотрудники организации, которая предоставляет систему кондиционирования,

подобные инженерные системы, систему водоснабжения.

Все они по роду деятельности время от времени испытывают необходимость

попасть на объекты информатизации, то есть в пределы контролируемой зоны.

И вот аспекты взаимодействия с ними: куда их можно пускать,

какие при этом должны быть оформлены допуски, должен ли их сопровождать

сотрудник службы безопасности, где их можно оставить наедине делать свою работу,

— должны быть прописаны в данном разделе политики безопасности.

[МУЗЫКА] [МУЗЫКА]

[МУЗЫКА]

Ознакомьтесь с нашим каталогом

Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.

Coursera делает лучшее в мире образование доступным каждому, предлагая онлайн-курсы от ведущих университетов и организаций.

© Coursera Inc., 2018 Все права защищены.

Загрузить из App Store

Загрузить в Google Play