Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Политика и программа информационной безопасности

Содержание

Основные понятияК административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние
Политика и программа ИБ.Синхронизация программы безопасности с жизненным циклом систем[ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ][Институт ИИБС, Кафедра ИСКТ][Шумейко Е.В.] Основные понятияК административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством Основные понятияОсновой программы является политика безопасности, отражающая подход организации к защите своих Основные понятияТермин Основные понятияПод политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством Основные понятияИС организации и связанные с ней интересы субъектов - это сложная Основные понятияЧтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту Политика безопасностиС практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях Политика безопасности формулировка целей, которые преследует организация в области информационной безопасности, определение Политика безопасностиДля политики верхнего уровня цели организации в области информационной безопасности формулируются Политика безопасностиНа верхний уровень выносится управление защитными ресурсами и координация использования этих Политика безопасностиВ политике должны быть определены обязанности должностных лиц по выработке программы Политика безопасностиВообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение Политика безопасности организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за Политика безопасности управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями; Политика безопасностиК среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, Политика безопасностиПолитика среднего уровня должна для каждого аспекта освещать следующие темы: Описание Политика безопасностиОбласть применения. Следует определить, где, когда, как, по отношению к кому Политика безопасностиПозиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, Политика безопасностиРоли и обязанности. В Политика безопасностиЗаконопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за Политика безопасностиПолитика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает Политика безопасностиПриведем несколько примеров вопросов, на которые следует дать ответ в политике Политика безопасностиПри формулировке целей политики нижнего уровня можно исходить из соображений целостности, Политика безопасностиИз целей выводятся правила безопасности, описывающие, кто, что и при каких Программа безопасностиПосле того, как сформулирована политика безопасности, можно приступать к составлению программы Программа безопасностиПрограмму верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У Программа безопасностиВ рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, Программа безопасностиПри этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно Программа безопасностиЦель программы нижнего уровня - обеспечить надежную и экономичную защиту конкретного Синхронизация программы безопасности с жизненным циклом системЕсли синхронизировать программу безопасности нижнего уровня Синхронизация программы безопасности с жизненным циклом системВ жизненном цикле информационного сервиса можно Синхронизация программы безопасности с жизненным циклом систем Эксплуатацию. На данном этапе сервис Синхронизация программы безопасности с жизненным циклом систем На этапе инициации оформляется понимание Синхронизация программы безопасности с жизненным циклом систем какого рода информация предназначается для Синхронизация программы безопасности с жизненным циклом систем каковы характеристики персонала, имеющие отношение Синхронизация программы безопасности с жизненным циклом системЭтап закупки - один из самых Синхронизация программы безопасности с жизненным циклом системРазумеется, особое внимание должно уделяться вопросам Синхронизация программы безопасности с жизненным циклом системКогда продукт закуплен, его необходимо установить. Синхронизация программы безопасности с жизненным циклом системВо-вторых, новый сервис нуждается в процедурных Синхронизация программы безопасности с жизненным циклом системПериод эксплуатации - самый длительный и Синхронизация программы безопасности с жизненным циклом системДля борьбы с эффектом медленных изменений Синхронизация программы безопасности с жизненным циклом системПрограммы, вероятно, просто стираются, если иное Синхронизация программы безопасности с жизненным циклом системИнформационные технологии развиваются очень быстро, и
Слайды презентации

Слайд 2 Основные понятия
К административному уровню информационной безопасности относятся действия

Основные понятияК административному уровню информационной безопасности относятся действия общего характера, предпринимаемые

общего характера, предпринимаемые руководством организации.

Главная цель мер административного

уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Слайд 3 Основные понятия
Основой программы является политика безопасности, отражающая подход

Основные понятияОсновой программы является политика безопасности, отражающая подход организации к защите

организации к защите своих информационных активов. Руководство каждой организации

должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Слайд 4 Основные понятия
Термин "политика безопасности" является не совсем точным

Основные понятияТермин

переводом английского словосочетания "security policy", однако в данном случае

калька лучше отражает смысл этого понятия, чем лингвистически более верные "правила безопасности". Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Слайд 5 Основные понятия
Под политикой безопасности мы будем понимать совокупность

Основные понятияПод политикой безопасности мы будем понимать совокупность документированных решений, принимаемых

документированных решений, принимаемых руководством организации и направленных на защиту

информации и ассоциированных с ней ресурсов.

Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).

Слайд 6 Основные понятия
ИС организации и связанные с ней интересы

Основные понятияИС организации и связанные с ней интересы субъектов - это

субъектов - это сложная система, для рассмотрения которой необходимо

применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее.

Слайд 7 Основные понятия
Чтобы рассматривать ИС предметно, с использованием актуальных

Основные понятияЧтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить

данных, следует составить карту информационной системы. Эта карта, разумеется,

должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.

Слайд 8 Политика безопасности
С практической точки зрения политику безопасности целесообразно

Политика безопасностиС практической точки зрения политику безопасности целесообразно рассматривать на трех

рассматривать на трех уровнях детализации. К верхнему уровню можно

отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

Слайд 9 Политика безопасности
формулировка целей, которые преследует организация в

Политика безопасности формулировка целей, которые преследует организация в области информационной безопасности,

области информационной безопасности, определение общих направлений в достижении этих

целей;
обеспечение базы для соблюдения законов и правил;
формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Слайд 10 Политика безопасности
Для политики верхнего уровня цели организации в

Политика безопасностиДля политики верхнего уровня цели организации в области информационной безопасности

области информационной безопасности формулируются в терминах целостности, доступности и

конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

Слайд 11 Политика безопасности
На верхний уровень выносится управление защитными ресурсами

Политика безопасностиНа верхний уровень выносится управление защитными ресурсами и координация использования

и координация использования этих ресурсов, выделение специального персонала для

защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

Слайд 12 Политика безопасности
В политике должны быть определены обязанности должностных

Политика безопасностиВ политике должны быть определены обязанности должностных лиц по выработке

лиц по выработке программы безопасности и проведению ее в

жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Слайд 13 Политика безопасности
Вообще говоря, на верхний уровень следует выносить

Политика безопасностиВообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное

минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную

экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

Слайд 14 Политика безопасности
организационный, содержащий описание подразделений, комиссий, групп

Политика безопасности организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих

и т.д., отвечающих за работы в области информационной безопасности;


классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
раздел, освещающий вопросы физической защиты;


Слайд 15 Политика безопасности
управляющий раздел, описывающий подход к управлению

Политика безопасности управляющий раздел, описывающий подход к управлению компьютерами и компьютерными

компьютерами и компьютерными сетями;
раздел, описывающий правила разграничения

доступа к производственной информации;
раздел, характеризующий порядок разработки и сопровождения систем;
раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Слайд 16 Политика безопасности
К среднему уровню можно отнести вопросы, касающиеся

Политика безопасностиК среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной

отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых

организацией систем. Примеры таких вопросов - отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Слайд 17 Политика безопасности
Политика среднего уровня должна для каждого аспекта

Политика безопасностиПолитика среднего уровня должна для каждого аспекта освещать следующие темы:

освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение

пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

Слайд 18 Политика безопасности
Область применения. Следует определить, где, когда, как,

Политика безопасностиОбласть применения. Следует определить, где, когда, как, по отношению к

по отношению к кому и чему применяется данная политика

безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

Слайд 19 Политика безопасности
Позиция организации по данному аспекту. Продолжая пример

Политика безопасностиПозиция организации по данному аспекту. Продолжая пример с неофициальным программным

с неофициальным программным обеспечением, можно представить себе позиции полного

запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Слайд 20 Политика безопасности
Роли и обязанности. В "политический" документ необходимо

Политика безопасностиРоли и обязанности. В

включить информацию о должностных лицах, ответственных за реализацию политики

безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Слайд 21 Политика безопасности
Законопослушность. Политика должна содержать общее описание запрещенных

Политика безопасностиЗаконопослушность. Политика должна содержать общее описание запрещенных действий и наказаний

действий и наказаний за них.

Точки контакта. Должно быть

известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Слайд 22 Политика безопасности
Политика безопасности нижнего уровня относится к конкретным

Политика безопасностиПолитика безопасности нижнего уровня относится к конкретным информационным сервисам. Она

информационным сервисам. Она включает в себя два аспекта -

цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.

Слайд 23 Политика безопасности
Приведем несколько примеров вопросов, на которые следует

Политика безопасностиПриведем несколько примеров вопросов, на которые следует дать ответ в

дать ответ в политике безопасности нижнего уровня:

кто

имеет право доступа к объектам, поддерживаемым сервисом?
при каких условиях можно читать и модифицировать данные?
как организован удаленный доступ к сервису?

Слайд 24 Политика безопасности
При формулировке целей политики нижнего уровня можно

Политика безопасностиПри формулировке целей политики нижнего уровня можно исходить из соображений

исходить из соображений целостности, доступности и конфиденциальности, но нельзя

на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Слайд 25 Политика безопасности
Из целей выводятся правила безопасности, описывающие, кто,

Политика безопасностиИз целей выводятся правила безопасности, описывающие, кто, что и при

что и при каких условиях может делать. Чем подробнее

правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

Слайд 26 Программа безопасности
После того, как сформулирована политика безопасности, можно

Программа безопасностиПосле того, как сформулирована политика безопасности, можно приступать к составлению

приступать к составлению программы ее реализации и собственно к

реализации.
Чтобы понять и реализовать какую-либо программу, ее нужно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней - верхнего, или центрального, который охватывает всю организацию, и нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.

Слайд 27 Программа безопасности
Программу верхнего уровня возглавляет лицо, отвечающее за

Программа безопасностиПрограмму верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации.

информационную безопасность организации. У этой программы следующие главные цели:


управление рисками (оценка рисков, выбор эффективных средств защиты);
координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
стратегическое планирование;
контроль деятельности в области информационной безопасности.

Слайд 28 Программа безопасности
В рамках программы верхнего уровня принимаются стратегические

Программа безопасностиВ рамках программы верхнего уровня принимаются стратегические решения по обеспечению

решения по обеспечению безопасности, оцениваются технологические новинки. Информационные технологии

развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам.

Слайд 29 Программа безопасности
При этом следует поддерживать контакты с внешними

Программа безопасностиПри этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых,

контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри

организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Следует подчеркнуть, что программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, а также иметь определенный штат и бюджет.

Слайд 30 Программа безопасности
Цель программы нижнего уровня - обеспечить надежную

Программа безопасностиЦель программы нижнего уровня - обеспечить надежную и экономичную защиту

и экономичную защиту конкретного сервиса или группы однородных сервисов.

На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Слайд 31 Синхронизация программы безопасности с жизненным циклом систем
Если синхронизировать

Синхронизация программы безопасности с жизненным циклом системЕсли синхронизировать программу безопасности нижнего

программу безопасности нижнего уровня с жизненным циклом защищаемого сервиса,

можно добиться большего эффекта с меньшими затратами. Программисты знают, что добавить новую возможность к уже готовой системе на порядок сложнее, чем изначально спроектировать и реализовать ее. То же справедливо и для информационной безопасности.

Слайд 32 Синхронизация программы безопасности с жизненным циклом систем
В жизненном

Синхронизация программы безопасности с жизненным циклом системВ жизненном цикле информационного сервиса

цикле информационного сервиса можно выделить следующие этапы:

Инициация.

На данном этапе выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение.

Закупка.На данном этапе составляются спецификации, прорабатываются варианты приобретения, выполняется собственно закупка.

Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию.

Слайд 33 Синхронизация программы безопасности с жизненным циклом систем
Эксплуатацию.

Синхронизация программы безопасности с жизненным циклом систем Эксплуатацию. На данном этапе

На данном этапе сервис не только работает и администрируется,

но и подвергается модификациям.

Выведение из эксплуатации. Происходит переход на новый сервис.

Рассмотрим действия, выполняемые на каждом из этапов, более подробно.

Слайд 34 Синхронизация программы безопасности с жизненным циклом систем
На

Синхронизация программы безопасности с жизненным циклом систем На этапе инициации оформляется

этапе инициации оформляется понимание того, что необходимо приобрести новый

или значительно модернизировать существующий сервис; определяется, какими характеристиками и какой функциональностью он должен обладать; оцениваются финансовые и иные ограничения.

С точки зрения безопасности важнейшим действием здесь является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться. Требуется сформулировать ответы на следующие вопросы:

Слайд 35 Синхронизация программы безопасности с жизненным циклом систем
какого

Синхронизация программы безопасности с жизненным циклом систем какого рода информация предназначается

рода информация предназначается для обслуживания новым сервисом?

каковы

возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?

каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?

есть ли какие-либо особенности нового сервиса (например, территориальная распределенность компонентов), требующие принятия специальных процедурных мер?

Слайд 36 Синхронизация программы безопасности с жизненным циклом систем
каковы

Синхронизация программы безопасности с жизненным циклом систем каковы характеристики персонала, имеющие

характеристики персонала, имеющие отношение к безопасности (квалификация, благонадежность)?

каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис?

Результаты оценки критичности являются отправной точкой в составлении спецификаций. Кроме того, они определяют ту меру внимания, которую служба безопасности организации должна уделять новому сервису на последующих этапах его жизненного цикла.

Слайд 37 Синхронизация программы безопасности с жизненным циклом систем
Этап закупки

Синхронизация программы безопасности с жизненным циклом системЭтап закупки - один из

- один из самых сложных. Нужно окончательно сформулировать требования

к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, обслуживание, обучение персонала.

Слайд 38 Синхронизация программы безопасности с жизненным циклом систем
Разумеется, особое

Синхронизация программы безопасности с жизненным циклом системРазумеется, особое внимание должно уделяться

внимание должно уделяться вопросам совместимости нового сервиса с существующей

конфигурацией. Подчеркнем также, что нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.

Слайд 39 Синхронизация программы безопасности с жизненным циклом систем
Когда продукт

Синхронизация программы безопасности с жизненным циклом системКогда продукт закуплен, его необходимо

закуплен, его необходимо установить. Несмотря на кажущуюся простоту, установка

является очень ответственным делом. Во-первых, новый продукт следует сконфигурировать. Как правило, коммерческие продукты поставляются с отключенными средствами безопасности; их необходимо включить и должным образом настроить. Для большой организации, где много пользователей и данных, начальная настройка может стать весьма трудоемким и ответственным делом.

Слайд 40 Синхронизация программы безопасности с жизненным циклом систем
Во-вторых, новый

Синхронизация программы безопасности с жизненным циклом системВо-вторых, новый сервис нуждается в

сервис нуждается в процедурных регуляторах. Следует позаботиться о чистоте

и охране помещения, о документах, регламентирующих использование сервиса, о подготовке планов на случай экстренных ситуаций, об организации обучения пользователей и т.п.

После принятия перечисленных мер необходимо провести тестирование. Его полнота и комплексность могут служить гарантией безопасности эксплуатации в штатном режиме.

Слайд 41 Синхронизация программы безопасности с жизненным циклом систем
Период эксплуатации

Синхронизация программы безопасности с жизненным циклом системПериод эксплуатации - самый длительный

- самый длительный и сложный. С психологической точки зрения

наибольшую опасность в это время представляют незначительные изменения в конфигурации сервиса, в поведении пользователей и администраторов. Если безопасность не поддерживать, она ослабевает. Пользователи не столь ревностно выполняют должностные инструкции, администраторы менее тщательно анализируют регистрационную информацию. То один, то другой пользователь получает дополнительные привилегии. Кажется, что в сущности ничего не изменилось; на самом же деле от былой безопасности не осталось и следа.

Слайд 42 Синхронизация программы безопасности с жизненным циклом систем
Для борьбы

Синхронизация программы безопасности с жизненным циклом системДля борьбы с эффектом медленных

с эффектом медленных изменений приходится прибегать к периодическим проверкам

безопасности сервиса. Разумеется, после значительных модификаций подобные проверки являются обязательными.

При выведении из эксплуатации затрагиваются аппаратно-программные компоненты сервиса и обрабатываемые им данные. Аппаратура продается, утилизируется или выбрасывается. Только в специфических случаях необходимо заботиться о физическом разрушении аппаратных компонентов, хранящих конфиденциальную информацию.

Слайд 43 Синхронизация программы безопасности с жизненным циклом систем
Программы, вероятно,

Синхронизация программы безопасности с жизненным циклом системПрограммы, вероятно, просто стираются, если

просто стираются, если иное не предусмотрено лицензионным соглашением.

При

выведении данных из эксплуатации их обычно переносят на другую систему, архивируют, выбрасывают или уничтожают. Если архивирование производится с намерением впоследствии прочитать данные в другом месте, следует позаботиться об аппаратно-программной совместимости средств чтения и записи.

  • Имя файла: politika-i-programma-informatsionnoy-bezopasnosti.pptx
  • Количество просмотров: 129
  • Количество скачиваний: 0