Управление активами

Loading...

Из курса от партнера National Research University Higher School of Economics

Менеджмент информационной безопасности

11 оценки

National Research University Higher School of Economics

Менеджмент информационной безопасности

11 оценки

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

Из урока

Политика безопасности организации

Добро пожаловать на четвертую неделю курса! Данный модуль пригодится Вам для того, чтобы познакомить Вас с политикой безопасности организации. После окончания этой недели Вы сможете: сформулировать основные принципы разработки и внедрения политики безопасности организации; перечислить основные вопросы, которые необходимо рассмотреть в политике безопасности организации; сформулировать принципы, которые необходимо зафиксировать в политике безопасности организации; подготовить план мероприятий по внедрению и поддержанию политики безопасности организации. Смотрите видеоролики и в случае возникновения вопросов присоединяйтесь к обсуждению на форуме недели, желаем успехов в освоении материала!

Понятие политики безопасности3:03

Назначение и содержание политики безопасности6:34

Вопросы, рассматриваемые в политике безопасности3:09

Организационные аспекты информационной безопасности7:46

Управление активами6:07

Безопасность, связанная с управлением персоналом6:05

Физическая безопасность7:25

Управление доступом8:25

Вопросы эксплуатации информационных систем6:08

Управление инцидентами и непрерывностью бизнеса6:43

Соответствие требованиям обязательств организации3:21

Жизненный цикл политики безопасности7:33

Познакомьтесь с преподавателями

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Еще один раздел

политики безопасности желательно посвятить вопросу управления активами.

Целью такого раздела является обеспечение защиты активов организации от любых

нежелательных воздействий: разрушения, похищения, уничтожения,

несанкционированного использования, компрометации.

Под активами, напомню, понимаются в самом широком смысле любые объекты,

которые представляют ценность для организации, то есть информация,

устройства, которые работают на контролируемой территории, и,

в общем-то, любые подобные объекты имущества организации,

которые так или иначе представляют для нее какую-то ценность.

Все эти объекты попадают в определение понятия актива.

В данном случае речь идет в первую очередь об объектах информации,

то есть о каких-то файлах, документах и устройствах,

связанных с обработкой, хранением и передачей информации.

Основными рекомендациями для реализации эффективного и безопасного

управления активами являются следующие советы.

Во-первых, желательно учесть все активы и назначить конкретного

владельца для каждого из них.

Желательно, чтобы за каждое устройство, за каждый файл,

за каждый документ кто-то отвечал, и был бы некий владелец,

который может разрешать другим лицам доступ к этим объектам либо не разрешать.

В противном случае в ситуации, когда получен несанкционированный доступ

к тому или иному объекту, сложно найти лицо, которое, например,

предоставило этот доступ либо допустило утечку информации, проявило

халатность или осуществило иное нарушение требований политики безопасности.

Поэтому для каждого актива желательно наличие владельца.

Вторая рекомендация заключается в назначении лица, ответственного за

поддержку соответствующих мер, то есть некоего администратора,

который мог бы в рамках своих основных должностных обязанностей контролировать

работоспособность принятых мер защиты информации, соблюдение требований по

защите информации сотрудниками и в том числе руководителями всех уровней,

а в случае если по той или иной причине данные меры не работают,

предпринимать требуемые действия, как-то реагировать и добиваться того,

чтобы эти меры снова работали.

Нельзя исключать ситуации, когда просто для облегчения собственных

задач пользователи информационной системы либо даже руководители

низшего и среднего звена будут такие меры стараться игнорировать по той причине,

что это замедляет процессы деятельности, например, замедляет вопросы согласования

каких-то документов, требует дополнительных действий,

требующих времени, таких как, допустим, выработка электронной цифровой подписи,

зашифровывание передаваемой по локальной сети информации,

если это требуется, это может вносить какие-то дополнительные ошибки в работу,

если сотрудники не слишком опытные, каким-то образом создавать им трудности.

Вот для того чтобы не было соблазна игнорировать эти меры по защите

информации, желательно наличие такого лица-контролера,

и это лицо должно поддерживать работоспособность данных средств.

В данном разделе, посвященном управлению активами,

желательно сформулировать следующие положения.

Во-первых, вопросы инвентаризации активов,

то есть процедуру составления и актуализации их описи,

описание значимости активов, а также, что существенно, сбор необходимой информации,

необходимой для скорейшего восстановления актива в случае инцидента.

Если речь идет о каких-то информационных объектах, то есть документах, файлах,

то желательно записать все реквизиты, возможно иметь информацию о наличии

резервной копии, для того чтобы в случае нарушения доступности данного актива,

то есть его, например, уничтожения или серьезного повреждения,

можно было бы максимально оперативно из резервной копии его восстановить и,

таким образом, восстановить, собственно, сам актив и, возможно,

работоспособность системы, если актив является критичным.

Также желательно сформулировать вопросы владения активами,

то есть для каждого актива, связанного со средствами обработки информации,

также назначить владельца, то есть не только для объектов информации,

но и для средств обработки информации назначить владельца.

В данном случае не обязательно конкретное лицо, возможно,

определенную часть организации, то есть отдел,

но в любом случае у каждого такого актива должен быть конкретный владелец,

который отвечает за его безопасность и работоспособность.

Имеется в виду информационная безопасность в аспектах целостности,

доступности, конфиденциальности и при этом работоспособность как защита от

повреждений.

В этом же разделе желательно рассмотреть вопросы приемлемого использования активов,

то есть правил такого использования, обязательных или рекомендуемых к

исполнению для всех сотрудников, подрядчиков и представителей третьих лиц.

Иными словами, сформулировать регламенты, по которым все лица,

так или иначе взаимодействующие с организацией,

могут использовать активы так, чтобы не нанести им никакого ущерба.

Также важно рассмотреть вопросы классификации информации для определения

уровней важности и необходимости обеспечения защиты на основе их ценности,

требований законов, важности для организации.

То есть желательно создать несколько уровней важности информации,

например: информация, составляющая государственную тайну,

информация, составляющая коммерческую тайну, персональные данные и информация,

не являющаяся конфиденциальной.

Здесь вы можете вспомнить схему,

которая иллюстрировала работу мандатной системы контроля доступа.

Есть несколько уровней, и в зависимости от уровня не только обеспечивается доступ

различных субъектов, но и применяются более серьезные меры защиты информации.

[МУЗЫКА] [МУЗЫКА]

[МУЗЫКА]

Ознакомьтесь с нашим каталогом

Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.

Coursera делает лучшее в мире образование доступным каждому, предлагая онлайн-курсы от ведущих университетов и организаций.

© Coursera Inc., 2018 Все права защищены.

Загрузить из App Store

Загрузить в Google Play