Информационная безопасность. Макаренко С.И. - 95 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

95
использовать нельзя, следует знать, кто следит за выполнением
данного правила.
- Законопослушность. Политика должна содержать общее описание
запрещенных действий и наказаний за них.
- Точки контакта. Должно быть известно, куда следует обращаться
за разъяснениями, помощью и дополнительной информацией.
Обычно «точкой контакта» служит определенное должностное
лицо, а не конкретный человек, занимающий в данный момент
данный пост.
3. Политика безопасности нижнего уровня относится к конкретным
информационным сервисам. Она включает в себя два аспекта - цели и
правила их достижения, поэтому ее порой трудно отделить от вопросов
реализации. В отличие от двух верхних уровней, рассматриваемая политика
должна быть определена более подробно. Есть много вещей, специфичных
для отдельных видов услуг, которые нельзя единым образом
регламентировать в рамках всей организации. В то же время, эти вещи
настолько важны для обеспечения режима безопасности, что относящиеся к
ним решения должны приниматься на управленческом, а не техническом
уровне.
Приведем несколько примеров вопросов, на которые следует дать ответ
в политике безопасности нижнего уровня:
- кто имеет право доступа к объектам, поддерживаемым сервисом?
- при каких условиях можно читать и модифицировать данные?
- как организован удаленный доступ к сервису?
При формулировке целей политики нижнего уровня можно исходить из
соображений целостности, доступности и конфиденциальности, но нельзя
на этом останавливаться. Ее цели должны быть более конкретными.
Например, если речь идет о системе расчета заработной платы, можно
поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии
позволялось вводить и модифицировать информацию. В более общем случае
цели должны связывать между собой объекты сервиса и действия с ними.
7.3 Программа безопасности
После того, как сформулирована политика безопасности, можно
приступать к составлению программы ее реализации и собственно к
реализации.
Чтобы понять и реализовать какую-либо программу, ее нужно
структурировать по уровням, обычно в соответствии со структурой
организации. В простейшем и самом распространенном случае
достаточно двух уровней –
1. верхнего, или центрального, который охватывает всю
организацию, 
       использовать нельзя, следует знать, кто следит за выполнением
       данного правила.
     - Законопослушность. Политика должна содержать общее описание
       запрещенных действий и наказаний за них.
     - Точки контакта. Должно быть известно, куда следует обращаться
       за разъяснениями, помощью и дополнительной информацией.
       Обычно «точкой контакта» служит определенное должностное
       лицо, а не конкретный человек, занимающий в данный момент
       данный пост.

     3. Политика безопасности нижнего уровня относится к конкретным
информационным сервисам. Она включает в себя два аспекта - цели и
правила их достижения, поэтому ее порой трудно отделить от вопросов
реализации. В отличие от двух верхних уровней, рассматриваемая политика
должна быть определена более подробно. Есть много вещей, специфичных
для отдельных видов услуг, которые нельзя единым образом
регламентировать в рамках всей организации. В то же время, эти вещи
настолько важны для обеспечения режима безопасности, что относящиеся к
ним решения должны приниматься на управленческом, а не техническом
уровне.
     Приведем несколько примеров вопросов, на которые следует дать ответ
в политике безопасности нижнего уровня:
      - кто имеет право доступа к объектам, поддерживаемым сервисом?
      - при каких условиях можно читать и модифицировать данные?
      - как организован удаленный доступ к сервису?
     При формулировке целей политики нижнего уровня можно исходить из
соображений целостности, доступности и конфиденциальности, но нельзя
на этом останавливаться. Ее цели должны быть более конкретными.
Например, если речь идет о системе расчета заработной платы, можно
поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии
позволялось вводить и модифицировать информацию. В более общем случае
цели должны связывать между собой объекты сервиса и действия с ними.

                   7.3 Программа безопасности

     После того, как сформулирована политика безопасности, можно
приступать к составлению программы ее реализации и собственно к
реализации.
     Чтобы понять и реализовать какую-либо программу, ее нужно
структурировать по уровням, обычно в соответствии со структурой
организации. В простейшем и самом распространенном случае
достаточно двух уровней –
       1. верхнего, или центрального, который охватывает всю
          организацию,


                                   95

Страницы