ISMS

© Христо Тужаров,  

април 2009

 

ТРИСЛОЕН МОДЕЛ НА ПОЛИТИКАТА

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

ПОЛИТИКА НА ИНФОРМАЦИОННА СИГУРНОСТ

СТРУКТУРА НА ПОЛИТИКАТА ЗА СИГУРНОСТ

ТРИСЛОЕН МОДЕЛ НА ПОЛИТИКАТА

СЪДЪРЖАНИЕ НА ПОЛИТИКАТА ЗА СИГУРНОСТ

 ПРОЦЕДУРИ ЗА РЕАЛИЗИРАНЕ НА ПОЛИТИКАТА

Трислоен модел на политиката за сигурност

Политиката за сигурност обикновено се разглежда на три нива – горно, средно и долно ниво.

 

 

Трислоен модел на политиката за сигурност

 

Горно ниво  на трислойния модел на политиката за сигурност

 

Характеристики

  • Разглежда организацията като цяло;

  • Има общ характер;

  • Изготвя се от ръководството на организацията.

Елементи

  • Решение за създаване или актуализация на комплексната програма за информационно сигурност;

  • Формулиране на целите, които преследва организацията в областта на сигурността;

  • Осигуряване на ресурси и база за спазване на съответните закони и стандарти;

Дейности:

  • Управление и координация на ресурсите за защита;

  • Определяне на персонал за защита на критически важни системи;

  • Взаимодействие с други организации, имащи отношение към политиката.

Обхват (варианти)

  • Само най-важните системи;

  • Всички компютърни системи на организацията;

  • Системите на организацията и домашните компютри на сътрудниците;

Задължения на ръководството

  • Да следи организацията да съблюдава съответните закони.

  • Да контролира действията на отговорните за реализиране на политиката лица;

  • Да осигури реализация на политиката, като разработи система за поощрения и наказания.

Средно ниво на трислойния модел на политиката за сигурност

На това ниво се определят въпросите, касаещи отделни направления от дейността по осигуряване на информационна сигурност. За всяко направление трябва да се изяснят следните въпроси:

 

      Описание на направлението – физическа защита, ползване на неофициално програмно осигуряване, достъп до ресурси и т.н.

 

      Област на използване – къде, кога, как по отношение на кого и защо се прилага тази политика на сигурност.

 

     Позиция на организацията – цели на организацията в даденото направление и регламенти за реализирането им.

 

     Роли и задължения – информация за длъжностните лица, отговорни за реализация на политиката и за решаване на възникнали проблеми (разяснения, разрешения, забрани и т.н.)

 

     Изпълнение – общо описание на забранените действия и наказанията при нарушения.

 

     Точки за контакт – длъжностни лица, които трябва да оказват помощ, да разясняват и да дават допълнителна информация.

 

Долно ниво на трислойния модел на политиката за сигурност

 

Характеристики

  • Отнася се за конкретни информационни сервизи;

  • Подробно описание на политиката;

  • Включва два аспекта – цели и правила за изпълнението им.

      Отговаря на въпросите:

  • Кой има право на достъп до обектите, поддържани от сервизите?

  • При какви условия могат да се четат и модифицират данните?

  • Как е организиран отдалечения достъп до сервизите?

      Формулировка на целите

Изхожда се от съображения за конфиденциалност, цялостност и достъпност, като целите трябва да бъдат много конкретни и да свързват обектите на конкретния сервиз и действията с тях.

 

 

Долно ниво на трислойния модел на политиката за сигурност

 

На база целите, се формулират правилата за сигурност, описващи кой, какво и при какви условия може да работи със съответните информационни ресурси. 

 

Колкото по подробни и формализиране са правилата за сигурност, толкова по-лесно може да се осъществи поддръжката им с програмно – технически средства.