Polityka bezpieczeństwa

Nasza ocena:

5
Pobrań: 259
Wyświetleń: 2086
Komentarze: 0
Notatek.pl

Pobierz ten dokument za darmo

Podgląd dokumentu
Polityka bezpieczeństwa - strona 1 Polityka bezpieczeństwa - strona 2 Polityka bezpieczeństwa - strona 3

Fragment notatki:


Ochrona zasobów  Obejmuje ochronę:   Systemów komputerowych,   Ludzi,   Oprogramowania,   Informacji.    Zagrożenia :   Przypadkowe,   Celowe.  Zagrożenia celowe  Pasywne :   monitorowanie,   podgląd,    Aktywne :   powielanie programów,   oszustwa,   wymuszanie przerw w pracy systemu,   wykorzystanie sprzętu służbowego do celów  prywatnych,   ujawnianie i usuwanie informacji poufnych.  Zagrożenia przypadkowe  Zewnętrzne:   temperatura, wilgotność,   wyładowania atmosferyczne,   awarie (zasilania, klimatyzacji, wodociągowe),   katastrofy   kataklizmy,    Wewnętrzne:   błędy administratora,   defekty programowe lub sprzętowe,   błędy użytkowników,   zgubienie, zniszczenie danych.  Definicja  Polityka bezpieczeństwa  (ang.  security  policy ) jest zbiorem spójnych, precyzyjnych i  zgodnych z obowiązującym prawem  przepisów, reguł i procedur, według których  dana organizacja buduje, zarządza oraz  udostępnia zasoby i systemy informacyjne i  informatyczne. Określa ona, które zasoby i w  jaki sposób mają być chronione  [wikipedia.org]   Polityka bezpieczeństwa (PB) obejmuje swoim  zakresem nie tylko sieć komputerową  przedsiębiorstwa czy instytucji, ale także  całość  zagadnień związanych z bezpieczeństwem   danych będących w dyspozycji firmy    Polityka bezpieczeństwa organizacji definiuje  poprawne i niepoprawne  - w sensie  bezpieczeństwa - sposoby wykorzystywania kont  użytkowników i danych przechowywanych w  systemie   PB powinna być dokumentem  spisanym    PB należy  przedstawić pracownikom , tak aby była  ona zrozumiana   PB zazwyczaj jest konkretnym rozwiązaniem  specyficznym dla rozważanej firmy, czyli  trudno  uogólniać  zasady tworzenia polityki  Zakres PB  1. Cel i zakres dokumentu.  2. Definicja bezpieczeństwa informacji.  3. Oświadczenie o intencjach.  4. Wyjaśnienie terminologii użytej w polityce, podstawowe definicje,  założenia.  5. Analiza ryzyka.  6. Określenie ogólnych i szczególnych obowiązków w odniesieniu do  zarządzania bezpieczeństwem informacji.  7. Określenie działów organizacyjnych oraz stanowisk odpowiedzialnych  za wdrażanie i przestrzeganie zasad polityki.  8. Wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa,  odpowiedzialne osoby, zakres szkolenia.  9. Sposób zgłaszania, konsekwencje i odpowiedzialność za naruszenia  polityki bezpieczeństwa.  10. Zakres rozpowszechniania dokumentu.  Zakres PB (cd.) 

(…)


• Fizyczne zabezpieczenie pomieszczeń
Obszary chronione
• Strefy ochronne
• Wycofywanie, niszczenie starych podzespołów
komputerowych
• Zapewnienie odpowiednich źródeł zasilania
• Stosowanie sprzętu zapasowego (awaryjnego)
Zabezpieczenie transmisji
• Określenie głównych i awaryjnych dróg transmisji.
• Zabezpieczanie dokumentów elektronicznych.
• Zabezpieczenie sieci telekomunikacyjnej i
telefonicznej.
Zabezpieczenia programowe
Kontrola dostępu do systemu, ochrona plików i bazy
danych.
• Zastosowania narzędzi kryptograficznych.
• Użycie mechanizmów separacji (firewall).
• Użycie mechanizmów wykrywania włamań (IDS, IPS).
• Użycie programów antywirusowych.
• Użycie programów do monitorowania działań
użytkowników systemów informatycznych.
Szkolenia pracowników
• Mechanizmy bezpieczeństwa będą skuteczne…

Transmisji
Emisji
Programowe
Zabezpieczenia organizacyjne

Określenie specjalnych obszarów chronionych.

Ograniczenie wymiany dokumentów.

Opracowanie regulaminów i procedur pracy.

Utworzenie procedur awaryjnych.

Ograniczenie ryzyka błędów ludzkich (wprowadzenie
procedur kontrolnych, bilansowanie).

Opracowanie procedur przyjmowania urządzeń
(kontrola jakości, gwarancja, serwis, certyfikacja
… pracy
systemu.
16. Określenie zasad dokonywania uaktualnień
oprogramowania.
17. Określenie zasad korzystania z usługi outsourcing.
18. Określenie zasad serwisowania sprzętu.
Strategie bezpieczeństwa
Strategie bezpieczeństwa spisane w formie
dokumentu tworzą plan ochrony, który jest
opracowywany przez osoby opiekujące się systemem
informatycznym.
Plan ochrony powinien zawierać:
 opis realizacji metod kontroli dostępu do systemu i
zasobów,
 opis metod okresowego lub stałego monitorowania
systemu,
 dokładny opis metod reagowania na wykrycie
zagrożenia,
 opis metod likwidacji skutków zagrożeń.
Zasada poziomu bezpieczeństwa – celem projektanta
powinno być zapewnienia maksymalnie dostatecznej
ochrony i odpowiednio duże zmniejszenie ryzyka
wystąpienia zagrożeń, a nie zbudowanie zabezpieczeń
idealnych…
... zobacz całą notatkę



Komentarze użytkowników (0)

Zaloguj się, aby dodać komentarz