ISMS

© Христо Тужаров,  

април 2009

 

СТРУКТУРА НА ПОЛИТИКАТА ЗА СИГУРНОСТ

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

ПОЛИТИКА НА ИНФОРМАЦИОННА СИГУРНОСТ

СТРУКТУРА НА ПОЛИТИКАТА ЗА СИГУРНОСТ

ТРИСЛОЕН МОДЕЛ НА ПОЛИТИКАТА

СЪДЪРЖАНИЕ НА ПОЛИТИКАТА ЗА СИГУРНОСТ

 ПРОЦЕДУРИ ЗА РЕАЛИЗИРАНЕ НА ПОЛИТИКАТА

Структура на политиката за сигурност

Правилната структура на политиката за сигурност осигурява спазването на националните и международни стандарти (например ISO 27001, ISO 17799, ISO 15408),

 

Този подход дава възможност за:

  • Координиране, формализиране и фиксиране изискванията и процедурите за осигуряване на информационна сигурност;

  • Уточняване отговорностите на администраторите и потребителите;

  • Оценка на възможните загуби и сравнението им с направените инвестиции.

 

 

 

 

          Изисквания

Определят принципите и направленията за изпълнение на конкретни действия.

 

          Стандарти

Определят особеностите при изпълнение на действия.

 

          Организационни и нормативно-технически документи

Инструкции, определящи последователността на изпълнение изискванията на стандартите.

 

Основни принципи на политиката за сигурност

При разработката и изпълнението на политиката за сигурност е целесъобразно да се спазват следните принципи:

 

     Невъзможност да се заобикалят средствата за защита

  • Най-често използвания подход за атака;

  • Не се допускат “тайни” модемни входове, тестови линии или други портове, заобикалящи защитата.

     Усилване на най-слабото звено

  • Надеждността на всяка защита зависи от най-слабото звено;

  • Често най слабото звено се явява човека.

       Невъзможност за преход в небезопасно състояние

При всички обстоятелства, включително и извънредни защитното средство или изцяло изпълнява функциите си или напълно блокира достъпа до системата.

 

      Минимизация на привилегиите

Потребителите и администраторите трябва да получават толкова права на достъп, колкото са им необходими за изпълнение на конкретните им задължения.

 

      Разделяне на задълженията

  • Само един потребител или администратор не може наруши критично важен за организацията процес;

  • Предотвратява се злонамерено и неквалифицирано действие.

      Ешелониране на защитата

  • Само едно ниво на защита, никога не е достатъчно надеждно;

  • Необходими са поне три нива:

* Физическа защита;

* Програмно технически средства;

* Протоколиране и аудит.

 

     Прилагане на разнообразие от защитни средства

Разнообразието от защитни средства изисква от нарушителя разнообразни умения.

 

      Простота и управляемост на архитектурата на  информационната система

  • Само за устройство с ограничен брой функции, може да се докаже неговата коректност;

  • Само в проста и управляема система може да се провери взаимодействието на различните и компоненти и реализира централизирано управление.

     Осигуряване всеобща подкрепа на мерките за защита

Необходими са комплексни мерки за осигуряване лоялността на персонала, както и сериозно обучение.