47445 (665814), страница 2
Текст из файла (страница 2)
Суперотключение. Названа по имени программы, использовавшейся в ряде компьютерных центров, обходившей системные меры защиты и использовавшейся при аварийных ситуациях. Владение этим "мастер-ключом" дает возможность в любое время получить доступ к компьютеру и информации, находящейся в нем.
Три принятии решений администраторы ИС сталкиваются с проблемой выбора вариантов решений по организации ЗИ на основе учета принципов деятельности организации, соотношения важности целей и наличия ресурсов. Эти решения включают определение ого, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.
Политика информационной безопасности - набор законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области ЗИ. На основе ПИБ строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.
В соответствии с предложенным в книге подходом олитика (МЕРЫ) информационной безопасности 303) реализуется соответствующей СТРУКТУРОЙ органов (002) на основе нормативно-методической АЗЫ (001) с использованием программно-технических методов и СРЕДСТВ (004), определяющих архитектуру системы защиты.
Для конкретной ИС политика безопасности должна быть индивидуальной. Она зависит от технологии обработки информации, используемых программных и технических средств, структуры организации и т.д.
Следует рассматривать такие направления защиты ИС:
010 Защита объектов информационной системы;
020 Защита процессов, процедур и программ обработки информации;
030 Защита каналов связи;
040 Подавление побочных электромагнитных излучений;
050 Управление системой защиты.
Очевидно, что каждое из указанных НАПРАВЛЕНИЙ должно быть детализировано в зависимости от особенностей структуры ИС.
Кроме этого ПИБ должна описывать следующие ЭТАПЫ создания СЗИ:
100 Определение информационных и технических ресурсов, подлежащих защите;
200 Выявление полного множества потенциально возможных угроз и каналов утечки информации;
300 Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
400 Определение требований к системе защиты;
500 Осуществление выбора средств защиты информации и их характеристик;
600 Внедрение и организация использования выбранных мер, способов и средств защиты;
700 Осуществление контроля целостности и управление системой защиты.
Принципы политики безопасности (003).
Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
1. Невозможность миновать защитные средства;
2. Усиление самого слабого звена;
3. Недопустимость перехода в открытое состояние;
4. Минимизация привилегий;
5. Разделение обязанностей;
6. Многоуровневая защита;
7. Разнообразие защитных средств;
8. Простота и управляемость информационной системы;
9. Обеспечение всеобщей поддержки мер безопасности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
