Администрирование систем безопасности

Администрирование систем безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации уровней защиты, взаимодействие с другими администраторами для обеспечения согласованной работы по профилям защиты. Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).

Основные задачи администрирования ИС

  • Основная цель организации администрирования ИС – реализация на процедурном уровне задачи обеспечения политики информационной безопасности.
  • Инструменты администрирования – программные и аппаратные средства, обеспечивающие выполнение политики безопасности.

Политика безопасности

  • Политика безопасности – совокупность документированных решений, принимаемых на различных уровнях руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.
  • Политика безопасности вырабатывается на основе анализа рисков защищенности системы.

Программа безопасности верхнего уровня

  • Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации.
  • Цели программы:

▫ Управление рисками (оценка рисков, выбор эффективных решений);

▫ Координация деятельности в области информационной безопасности ▫ Стратегическое планирование

▫ Контроль деятельности в области информационной безопасности.

  • Контроль деятельности в области ИБ должен гарантировать, во-первых, что действия организации не противоречат законам, во-вторых, что состояние безопасности в организации соответствует требованиям и реагировать на случаи нарушений. Программы безопасности процедурного (служебного) уровня
  • Цель программы процедурного уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов.
  • На нижнем уровне осуществляется выбор механизмов защиты, технических и программных средств.
  • Ответственность за реализацию программ нижнего уровня обычно несут администраторы соответствующих сервисов.