Політика інформаційної безпеки об'єкта

dc.contributor.authorХохлачова, Юлія
dc.contributor.authorHohlachova, Julia
dc.contributor.authorХохлачова, Юлия
dc.date.accessioned2014-09-09T09:46:38Z
dc.date.available2014-09-09T09:46:38Z
dc.date.issued2012
dc.description.abstractenThe aim of developing an official information security policy (ISP) of a particular object in the field of information security is to determine the proper way to use computing and communication resources, and to develop procedures to prevent or respond to violations of safety. To achieve this goal, we should start from the standard canons development ISP, but, of course, be specific to a particular item. One of the main motivations Development ISP object is to obtain assurance that the activities of protection built economically and technically sound manner. Politics usually consists of two parts: general principles and specific rules of work. Information system security object can be considered secure if all operations are performed in accordance with strictly defined rules to ensure immediate protection of facilities, resources and operations. The basis for the formation protection requirements is a list of threats. When these requirements are known, can be identified by appropriate rules to protect that define the functionality and protection. The more stringent requirements to protect the more relevant rules, the more effective its mechanisms and the more secure is information system. Data Security information objects will be effective when the design and implementation of an information security system is an object according to stages: risk analysis, implementation of security policies, support for security policy. Organizational ISP describes the procedure for granting and use of user access and user reporting requirements for their actions in matters of security. For information networks are the random and deliberately created a credible threat that must be considered when determining the ISP. Based on the above-mentioned exemplary algorithm developed to assess the risk of information. Implementing Object ISP begins with calculation of financial losses and the selection of appropriate tools to perform these tasks. It is necessary to take into account such factors as the absence of conflict of selected products, suppliers reputation protection, the possibility of obtaining information about safeguards and guarantees provided. With the support of ISP need constant monitoring incursions intruders, detect flaws and "holes" in the system of protection of object information record cases of unauthorized access to sensitive data. Thus the primary responsibility for maintaining the network ISP (facility information) on the system administrator. Necessary to determine the nature of activities that begin in case of violations ISP. For these actions were swift and accurate should organize an investigation. Then you have to make adjustments to the system of protection. The type and severity of adjustment depends on the type of violation that happened. Thus, the sequence of the response depends not only on the type of violation, but also on the type of offender, it should be thought out well before the first incident. Each object must predefine set of administrative sanctions applied to local users who violate third party's ISP or object. In addition, care must be taken appropriate action to protect third party. In developing the ISP should consider all the legal provisions applicable to such situations. Policy object must have procedures for interacting with external organizations, which include law enforcement agencies, other organizations, teams "quick response" media. In proceedings must be determined who is entitled to such contacts, and how they occur. Apart from the political provisions necessary to consider and describe the procedures to be performed in case of violations of security. For all types of violations should be harvested procedures. ISP of the object must be complemented and are in compliance with all criteria listed changes and value of the information to be protected.uk
dc.description.abstractruЦелью разработки официальной политики информационной безопасности (ПИБ) конкретного объекта в области информационной безопасности является определение правильного способа использования вычислительных и коммуникационных ресурсов, а также разработка процедур, которые предотвращают или реагируют на нарушения режима безопасности. Для достижения этой цели следует отталкиваться от стандартных канонов разработки ПИБ, но и, конечно же, учитывать специфику конкретного объекта. Один из главных побудительных мотивов разработки ПИБ объекта заключается в получении уверенности, что деятельность по защите информации построена экономически и технически оправданным способом. Политика обычно состоит из двух частей: общих принципов и конкретных правил работы. Информационную систему объекта защиты можно считать защищенной, если все операции выполняются согласно строго определенным правилам, обеспечивающим непосредственную защиту объектов, ресурсов и операций. Основу для формирования требований к защите составляет список угроз. Когда такие требования известны, могут быть выделены соответствующие правила обеспечения защиты, определяющие необходимые функции и средства защиты. Чем строже требования к защите и больше соответствующих правил, тем эффективнее ее механизмы и тем более защищенной оказывается информационная система. Защита информации на информационном объекте будет эффективным, когда проектирование и реализация системы защиты информационного объекта происходит согласно этапам: анализ рисков; реализация политики безопасности, поддержка политики безопасности. Организационная ПИБ описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Для информационных сетей можно выделить случайные и намеренно создаваемые вероятные угрозы, которые необходимо учитывать при определении ПИБ. На основании выше указанного разработан примерный алгоритм работы по оценке информационных рисков. Реализация ПИБ объекта начинается с проведения расчета финансовых потерь и выбора соответствующих средств для выполнения этих задач. При этом необходимо учесть такие факторы как бесконфликтность работы выбранных средств, репутация поставщиков средств защиты, возможность получения полной информации о механизмах защиты и предоставленные гарантии. При поддержке ПИБ требуется постоянное наблюдение за вторжениями злоумышленников, выявления недостатков и "дыр" в системе защиты объекта информации, учет случаев несанкционированного доступа к конфиденциальным данным. При этом основная ответственность за поддержание ПИБ сети (объекта информации) лежит на системном администраторе. Необходимо заранее определить характер действий, которые начинаются в случае выявления нарушений ПИБ. Чтобы эти действия были быстрыми и правильными следует организовать расследование. После этого нужно внести коррективы в систему защиты. Тип и серьезность корректив зависит от типа нарушения, которое произошло. Таким образом, последовательность соответствующих действий зависит не только от типа нарушения, но и от вида нарушителя, она должна быть продумана задолго до первого инцидента. Каждый объект должен заранее определить набор административных санкций, примененных к местным пользователям, нарушающим ПИБ посторонней организации или объекта. Кроме того, необходимо позаботиться о защите от ответных действий посторонней организации. При разработке ПИБ следует учитывать все юридические положения, применимые к подобным ситуациям. Политика безопасности объекта должна иметь процедуры для взаимодействия с внешними организациями, в число которых входят правоохранительные органы, другие организации, команды "быстрого реагирования", средства массовой информации. В процедурах должно быть определено, кто имеет право на такие контакты, и как именно они происходят. Кроме политических положений, необходимо продумать и описать процедуры, выполняемые в случае выявления нарушений режима безопасности. Для всех видов нарушений должны быть заготовлены соответствующие процедуры. ПИБ объекта должна дополняться и изменяться согласно со всеми перечисленными критериями изменений и ценности информации, подлежащей защите.uk
dc.description.abstractukМетою розробки офіційної політики інформаційної безпеки (ПІБ) конкретного об’єкта в області інформаційної безпеки є визначення правильного способу використання обчислювальних і комунікаційних ресурсів, а також розробка процедур, що запобігають чи реагують на порушення режиму безпеки. Для досягнення цієї мети варто відштовхуватися від стандартних канонів розробки ПІБ, але й, звичайно ж, враховувати специфіку конкретного об’єкта. Один з головних спонукальних мотивів розробки ПІБ об’єкта полягає в одержанні впевненості, що діяльність з захисту інформації побудована економічно і технічно виправданим способом. Політика звичайно складається з двох частин: загальних принципів і конкретних правил роботи. Інформаційну систему об’єкта захисту можна вважати захищеною, якщо всі операції виконуються згідно зі строго визначеними правилами, що забезпечують безпосередній захист об’єктів, ресурсів і операцій. Основу для формування вимог до захисту складає список загроз. Коли такі вимоги відомі, можуть бути визначені відповідні правила забезпечення захисту, що визначають необхідні функції і засоби захисту. Чим суворіші вимоги до захисту і більше відповідних правил, тим ефективніші її механізми і тим більше захищеною виявляється інформаційна система. Захист інформації на інформаційному об’єкті буде ефективним, коли проектування та реалізація системи захисту інформаційного об’єкта відбувається згідно з етапами: аналіз ризиків; реалізація політики безпеки; підтримка політики безпеки. Організаційна ПІБ описує порядок надання і використання прав доступу користувачів, а також вимоги звітності користувачів за свої дії в питаннях безпеки. Для інформаційних мереж можна виділити випадкові та навмисно створювані ймовірні загрози, які необхідно враховувати при визначенні ПІБ. На підставі вище зазначеного розроблено зразковий алгоритм роботи з оцінки інформаційних ризиків. Реалізація ПІБ об’єкта починається з проведення розрахунку фінансових втрат і вибору відповідних засобів для виконання цих задач. При цьому необхідно врахувати такі фактори як безконфліктність роботи обраних засобів, репутація постачальників засобів захисту, можливість одержання повної інформації про механізми захисту і надані гарантії. При підтримці ПІБ потрібно постійне спостереження за вторгненнями зловмисників, виявлення вад і "дір" у системі захисту об’єкта інформації, облік випадків несанкціонованого доступу до конфіденційних даних. При цьому основна відповідальність за підтримку ПІБ мережі (об’єкта інформації) лежить на системному адміністраторі. Необхідно заздалегідь визначити характер дій, що починаються у випадку виявлення порушень ПІБ. Щоб ці дії були швидкими й правильними варто організувати розслідування. Після цього потрібно внести корективи в систему захисту. Тип і серйозність коректив залежить від типу порушення, яке сталося. Таким чином, послідовність відповідних дій залежить не тільки від типу порушення, але й від виду порушника; вона повинна бути продумана адовго до першого інциденту. Кожний об’єкт повинен заздалегідь визначити набір адміністративних санкцій, застосованих до місцевих користувачів, які порушують ПІБ сторонньої організації чи об’єкта. Крім того, необхідно подбати про захист від відповідних дій сторонньої організації. При розробці ПІБ варто враховувати всі юридичні положення, які застосовуються до подібних ситуацій. Політика безпеки об’єкта повинна мати процедури для взаємодії з зовнішніми організаціями, у число яких входять правоохоронні органи, інші організації, команди "швидкого реагування", засобів масової інформації. У процедурах повинно бути визначено, хто має право на такі контакти, і як саме вони відбуваються. Крім політичних положень, необхідно продумати й описати процедури, що виконуються у випадку виявлення порушень режиму безпеки. Для всіх видів порушень мають бути заготовлені відповідні процедури. ПІБ об’єкта має доповнюватися і змінюватися згідно з усіма перерахованими критеріями змін і цінності інформації, що підлягає захисту.uk
dc.format.pagerangeС. 23-29uk
dc.identifier.citationХохлачова Ю. Політика інформаційної безпеки об'єкта / Юлія Хохлачова // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні : науково-технічний збірник. – 2012. – Вип. 2(24). – С. 23–29. – Бібліогр.: 3 назви.uk
dc.identifier.urihttps://ela.kpi.ua/handle/123456789/8581
dc.language.isoukuk
dc.publisherНТУУ "КПІ"uk
dc.publisher.placeКиївuk
dc.source.nameПравове, нормативне та метрологічне забезпечення системи захисту інформації в Україні: науково-технічний збірникuk
dc.status.pubpublisheduk
dc.subjectІнформаційна безпекаuk
dc.subjectполітика інформаційної безпекиuk
dc.subjectзахист інформаціїuk
dc.subjectінформаційна системаuk
dc.subject.udc004.681.003uk
dc.titleПолітика інформаційної безпеки об'єктаuk
dc.title.alternativeInformation security policy objectuk
dc.title.alternativeПолитика информационной безопасности объектаuk
dc.typeArticleuk
thesis.degree.level-uk

Файли

Контейнер файлів
Зараз показуємо 1 - 1 з 1
Вантажиться...
Ескіз
Назва:
24_p23.pdf
Розмір:
345.42 KB
Формат:
Adobe Portable Document Format
Ліцензійна угода
Зараз показуємо 1 - 1 з 1
Ескіз недоступний
Назва:
license.txt
Розмір:
1.71 KB
Формат:
Item-specific license agreed upon to submission
Опис: