Автор: Пользователь скрыл имя, 16 Декабря 2011 в 13:29, реферат
Под угрозой (в общем смысле) обычно понимают потенциально возможное событие (воздействие, процесс или явление), которое может привести к нанесению ущерба чьим-либо интересам. Под угрозой безопасности АС обработки информации понимается возможность воздействия на АС, которое прямо или косвенно может нанести ущерб ее безопасности.
В настоящее время известен обширный перечень угроз информационной безопасности АС, содержащий сотни позиций. Рассмотрение возможных угроз информационной безопасности проводится с целью определения полного набора требований к разрабатываемой системе зашиты.
Политика верхнего уровня должна четко определять сферу своего влияния. В нее могут быть включены не только все компьютерные системы организации, но и домашние компьютеры сотрудников, если политика регламентирует некоторые аспекты их использования. Возможна и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике
должны быть определены обязанности
должностных лиц по выработке
программы безопасности и по проведению
ее в жизнь, т. е. политика может служить
основой подотчетности
Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией. Примеры таких вопросов -- отношение к доступу в Internet (проблема сочетания свободы получения информации с защитой от внешних угроз), использование домашних компьютеров и т. д.
Нижний уровень политики безопасности относится к конкретным сервисам. Она включает два аспекта -- цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть более детальной.
Главным компонентом политики безопасности организации является базовая политика безопасности.
Базовая политика безопасности устанавливает, как организация обрабатывает информацию, кто может получить к ней доступ и как это можно сделать.
Нисходящий подход, реализуемый базовой политикой безопасности, дает возможность постепенно и последовательно выполнять работу по созданию системы безопасности, не пытаясь сразу выполнить ее целиком. Базовая политика позволяет в любое время ознакомиться с политикой безопасности в полном объеме и выяснить текущее состояние безопасности в организации.
Структура и состав политики безопасности зависит от размера и целей компании. Обычно базовая политика безопасности организации поддерживается набором специализированных политик и процедур безопасности.
Потенциально существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназначаются для каждой организации, другие -- специфичны для определенных компьютерных окружений.
Процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Политики безопасности только описывают, что должно быть защищено и каковы основные правила защиты. Процедуры безопасности определяют, как защитить ресурсы и каковы механизмы исполнения политики, т. е. как реализовывать политики безопасности.
По существу
процедуры безопасности представляют
собой пошаговые инструкции для
выполнения оперативных задач. Часто
процедура является тем инструментом,
с помощью которого политика преобразуется
в реальное действие. Например, политика
паролей формулирует правила
конструирования паролей, правила
о том, как защитить пароль и как
часто его заменять. Процедура
управления паролями описывает процесс
создания новых паролей, их распределения,
а также процесс
Процедуры безопасности детально определяют действия, которые нужно предпринять при реагировании на конкретные события; обеспечивают быстрое реагирование в критической ситуации; помогают устранить проблему единой точки отказа в работе, если, например, во время кризиса работник неожиданно покидает рабочее место или оказывается недоступен.
Список литературы
1. Защита информации и конфиденциальные данные. Романова Д.А. - М.: Ника, 2009.
2. Защита компьютерной информации. Эффективные методы и средства. В. Шаньгин. - М.: Просвет, 2006.
3. Компьютерная безопасность. А.А. Демидова. - Саратов, 2010.
4. Конфиденциальность данных. Р.А. Рахманинов. - М.: Петросан, 2007.
5. Криптография
и другие методы защиты
6. Основы защиты информации. Р.Я. Николаенко. - М.: Просвещение, 2000.
7. Теоретические аспекты защиты информации. П.А. Александров. - Пенза, 2007.
Размещено на Allbest.ru
Информация о работе Информационная безопасность: анализ угроз информационной безопасности