deHack.ru » Разработка системы защиты информации » Политика информационной безопасности организации

Политика информационной безопасности организации

Политика безопасности - это совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обеспечения безопасности информации.

Для того, чтобы сформировать и определить Вашу политику информационной безопасности, Вам понадобятся следующие исходные данные:

  • Необходимо определить информацию которая подлежит защите и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией
  • Определить топологии средств автоматизации (физической и логической)
  • Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа
  • Определить угрозы безопасности информации и создать модель нарушителя
  • Обнаружить и описать известные угроз и уязвимости
  • Расположить угрозы по убыванию уровня уровня риска (провести анализ рисков)

Так же, необходимо описать общую характеристику и специализацию организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня уровня риска).

Необходимо описать организационно-штатню структуру организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений). Так же составляется общее описание рабочего процесса,
технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполненяется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации.

Должны быть описаны так же следующие данные:

Используемые на предприятии средства вычислительной техники и программное обеспечение

  • Сведения об используемых СВТ (описание аппаратных средств, коммуникационного оборудования удаленного доступа)
  • Сведения об используемом общем ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение)
  • Сведения об используемом специальном ПО (наименование и назначение, фирма разработчик, аппаратные требования, функциональные возможности, размещение)

Организация и структура информационных потоков и их взаимодействие

  • Топология ЛВС
  • Схема коммуникационных связей
  • Структура и состав потоков данных (еречень входных информационных объектов и их источники, перечень выходных информационных объектов и их получатели, перечень внутренних информационных объектов)
  • Организация хранения данных

Общая характеристика автоматизированных систем организации

  • Расположение ЛВС
  • Технические и программные средства ЛВС (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации)
  • Технические и программные средства доступа к ЛВС из сетей общего доступа
  • Принадлежность и типы каналов связи
  • Сетевые протоколы удаленного доступа

Угрозы информационной безопасности

  • Сведения о распределении обязанностей и инструкциях по обработке и защите информации
  • Вероятные угрозы (угроза, ее вероятность и возможный ущерб)
  • Применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты)
  • Страницы: 1 2 все
    Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе