Политика безопасности организации

Loading...

Из курса от партнера National Research University Higher School of Economics

Методы и средства защиты информации

9 оценок

National Research University Higher School of Economics

Методы и средства защиты информации

9 оценок

Целью курса является ознакомление слушателей с основными понятиями защиты информации, основными принципами построения систем защиты информации, а также основными категориями мер защиты информации, их возможностями с точки зрения защиты информации, сильными и слабыми сторонами. В процессе освоения курса слушатели получат навыки выбора решений из различных категорий методов и средств защиты информаций, соответствующих требованиям защиты информации в конкретных информационных системах, оценки соответствия существующих решений таким требованиям, разработки предложений по совершенствованию системы обеспечения информационной безопасности. Для освоения материала курса будут полезны основные знания из общего курса физики, высшей алгебры, теории чисел, информационных технологий. Их наличие позволит понять принципы действия криптографических средств защиты информации, средств технической защиты информации, а также цифровых стеганографических систем. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

Из урока

ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ

Добрый день, уважаемый слушатель! В этом модуле вы познакомитесь более подробно с организационными мерами защиты информации. Узнаете законодательную базу ЗИ в Российской Федерации, а также более детально изучите административные и организационно-технические меры. Желаем успехов в изучении!

Административные меры защиты информации6:20

Управление рисками10:24

Политика безопасности организации5:17

Управление персоналом8:23

Планирование действий в чрезвычайных ситуациях11:40

Познакомьтесь с преподавателями

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Далее рассмотрим политику безопасности организации и ее назначение.

Вообще, политике безопасности организации будет посвящена отдельная лекция

нашего курса, но основные сведения о ней мы обсудим сегодня,

поскольку построение политики безопасности организации относится к административным

мерам защиты информации.

Структурная лекция про политику безопасности будет следовать за

тематическими лекциями, посвященными другим категориям мер защиты информации.

Это обосновано тем, что при построении политики безопасности следует учитывать

все возможные меры защиты информации,

то есть иметь полную картину информации об организации.

Под политикой безопасности информационно-телекомунникационных

технологий, или политика безопасности ИТТ,

по уже известному нам государственному стандарту следует понимать правила,

директивы, сложившуюся практику, которые определяют, как в пределах организации

и ее информационно-телекомунникационных технологий управлять,

защищать и распределять активы, в том числе критичную информацию.

Мы будем использовать в рамках нашей лекции несколько сокращенные

определения этого понятия, а именно политика безопасности организации,

или сокращенно ПБ, — совокупность документированных решений,

принимаемых руководством организации и направленных на защиту информации и

ассоциированных с ней ресурсов.

Целями, которые ставятся перед политикой безопасности, являются:

формирование системы взглядов на проблему обеспечения безопасности информации в

организации и пути ее решения с учетом современных технологий обработки и защиты

информации; формулирование рекомендаций по повышению степени защищенности

информационной системы; выработка общих требований к мерам защиты информации.

То есть перед политикой безопасности ставятся такие цели, как формирование

единой системы взглядов руководства на то, как должна обрабатываться,

храниться и защищаться, что, самое главное, информация в организации.

Из этого должно следовать, какие меры должны быть приняты для обеспечения

адекватного уровня защиты информации, а из них, в свою очередь,

следуют выводы о том, что следует изменить в существующем порядке

обработки информации в организации, то есть должны быть сформулированы

рекомендации по повышению степени защищенности информационной системы.

Политику безопасности, как правило, рассматривают как совокупность трех

уровней — верхнего, то есть решений, касающихся всей организации в целом.

На этом уровне требования к безопасности информации в организации, как правило,

формулируются в терминах целостности, доступности и конфиденциальности,

рассматриваются общие потоки информации в организации.

На среднем уровне рассматривается область применения политики безопасности, а также

обсуждаются вопросы ответственности за ее соблюдение, вопросы обучения персонала,

назначения лиц, которые будут проводить обучение и контроль за исполнением

политики безопасности, распределение ответственности, например, по отделам.

И, наконец, на нижнем уровне политики безопасности принимаются

решения по конкретным системам и сервисам,

выбираются конкретные информационные технологии, которые будут использованы в

информационной системе объекта информатизации.

Примерами элементов политики безопасности верхнего уровня являются, например,

формулировка целей, которые преследует организация в области информационной

безопасности, то есть перечисление, например, категорий информации, которая

обрабатывается на территории объекта информатизации, которая требует защиты,

которая требует принятия специальных мер для обеспечения ее безопасности.

Обеспечение базы для соблюдения законов и прочих нормативных актов,

то есть постулирование опоры на различные законы и подтверждение того,

что политика безопасности и различные мероприятия,

проводимые на территории организации, ни в коем случае не должны им противоречить.

Формулировка административных решений по вопросам, касающихся организации в целом,

также относится к политике безопасности верхнего уровня.

На среднем уровне в политике безопасности могут рассматриваться такие вопросы,

как область применения политики безопасности,

обязанности должностных лиц, отвечающих за ее выполнение, а также

обучение и информирование персонала о политике безопасности организации.

Здесь следует понимать, что от того, в какой мере будут проработаны

именно эти вопросы, во многом зависит эффективность политики безопасности.

Очень важным является, чтобы каждый сотрудник прекрасно понимал то,

чего от него ждет руководство, и был бы, скажем так, морально готов это выполнить,

то есть реализация каких-то требований, которые представлены к данному сотруднику,

не вызывали бы у него внутреннего протеста, каких-то больших неудобств,

не затрудняли бы выполнение им своих должностных обязанностей.

Именно на это и направлено обучение и информирование персонала.

Об управлении персоналом мы поговорим чуть далее.

[МУЗЫКА]

Ознакомьтесь с нашим каталогом

Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.

Coursera делает лучшее в мире образование доступным каждому, предлагая онлайн-курсы от ведущих университетов и организаций.

© Coursera Inc., 2018 Все права защищены.

Загрузить из App Store

Загрузить в Google Play