Информационная безопасность



              

Категорирование информации и информационных


Владимир Антонович Галатенко (доктор физико-математических наук)
Информационный бюллетень JET INFO

Минимальные (базовые) требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы. Результаты категорирования важны при выборе регуляторов безопасности, обеспечивающих выполнение требований, сформулированных на основе анализа рисков ().

Рисунок 2. Уровни информационной безопасности

Минимальные требования безопасности () охватывают административный, процедурный и программно-технический уровни ИБ и формулируются следующим образом.

Рисунок 3. Базовые требования безопасности к информации и ИС.

  • Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.
  • В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных.
  • Применительно к закупке систем и сервисов в компании необходимо:

    • выделить достаточный объем ресурсов для адекватной защиты ИС;
    • при разработке систем учитывать требования ИБ;
    • ограничивать использование и установку программного обеспечения;
    • обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.
  • В области сертификации, аккредитации и оценки безопасности в организации следует проводить:

    • постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности;
    • периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность;
    • разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС;
    • авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.
  • В области кадровой безопасности необходимо:




    Содержание  Назад  Вперед