Similar presentations:
Информационная безопасность: Процедурный уровень информационной безопасности
1. Информационная безопасность: Процедурный уровень информационной безопасности
Чеченский государственный университетИнформационная безопасность:
Процедурный уровень информационной
безопасности
1
Чураев Ибрагим Лечаевич
[email protected]
2. Основные классы мер процедурного уровня
управление персоналом;физическая защита;
поддержание работоспособности;
реагирование на нарушения режима
безопасности;
планирование восстановительных работ.
2
3. Управление персоналом
Управление персоналом начинается с приема новогосотрудника на работу
и даже раньше - с составления описания должности и должностных
инструкций.
Два правила, необходимых, для составления должностных
инструкций:
o разделение обязанностей;
o минимизация привилегий.
3
4. Общие принципы
Принцип разделения обязанностейпредписывает так распределять роли и
ответственность, чтобы один человек не мог
нарушить критически важный для
организации процесс.
Принцип минимизации привилегий
предписывает выделять пользователям только
те права доступа, которые необходимы им для
выполнения служебных обязанностей.
o Назначение этого принципа - уменьшить ущерб от
случайных или умышленных некорректных
действий.
4
5. Физическая защита ИС
Безопасность информационной системы зависит отокружения, в котором она функционирует.
Необходимо принять меры для защиты зданий и
прилегающей территории, поддерживающей
инфраструктуры, вычислительной техники,
носителей данных.
Основной принцип физической защиты,
соблюдение которого следует постоянно
контролировать, формулируется как
"непрерывность защиты в пространстве и
времени".
5
6. Направления физической защиты
физическое управление доступом;противопожарные меры;
защита поддерживающей инфраструктуры;
защита от перехвата данных;
защита мобильных систем.
6
7. Физическое управление доступом
Меры физического управления доступомпозволяют контролировать и при необходимости
ограничивать вход и выход сотрудников и
посетителей.
Контролироваться может всё здание организации, а
также отдельные помещения, например, те, где
расположены серверы, коммуникационная
аппаратура и т.п.
Средства физического управления доступом это:
охрана,
двери с замками, перегородки,
телекамеры, датчики движения
и др.
7
8. Противопожарные меры:
Для предотвращения непоправимого ущербаинформационной системе предприятия
необходимо установить:
o противопожарную сигнализацию и
o средства пожаротушения.
8
9. Защита поддерживающей инфраструктуры
К поддерживающей инфраструктуре применимы такиетребования как:
o защита оборудование от краж и повреждений.
o выбор оборудования с максимальным временем
наработки на отказ и всегда иметь под рукой запчасти.
9
10. Защита от перехвата данных
Посылая по сети данные, следует заранее предполагать, чтокабельная система сети абсолютно уязвима, и любой
подключившийся к сети хакер сможет выловить из нее все
передаваемые секретные данные.
Имеются две технологии решения этой задачи:
Шифрование данных
Использование защищенных протоколов, например SSL (Secure
Sockets Layer)
10
11. Защита мобильных систем
Пароли?
?
11
12. Поддержание работоспособности
12Можно выделить следующие направления повседневной
деятельности:
поддержка пользователей;
поддержка программного обеспечения;
конфигурационное управление;
резервное копирование;
документирование;
регламентные работы (тех обслуживание оборудования).
13. Реагирование на нарушения режима безопасности
13Реакция на нарушения режима безопасности преследует
три главные цели:
локализация инцидента и уменьшение наносимого вреда;
выявление нарушителя;
предупреждение повторных нарушений.
14. Планирование восстановительных работ
Планирование восстановительных работ позволяетподготовиться к авариям, уменьшить ущерб от них и сохранить
способность к функционированию хотя бы в минимальном
объеме.
14
15. Этапы процесса планирования восстановительных работ
выявление критически важных функций организации иустановление приоритетов;
идентификация ресурсов, необходимых для выполнения
критически важных функций;
определение перечня возможных аварий;
разработка стратегии восстановительных работ;
подготовка к реализации выбранной стратегии;
проверка стратегии.
15
16. Защита критичных ресурсов
К критичным ресурсам относятся:персонал;
информационная инфраструктура;
физическая инфраструктура.
16
17. Основные вопросы
1.2.
3.
4.
5.
6.
17
Основные классы мер процедурного уровня
информационной безопасности
Управление персоналом в обеспечении
информационной безопасности
Физическая защита информационных систем
Поддержание работоспособности
информационных систем
Реагирование на нарушения режима безопасности
Планирование восстановительных работ