Автор работы: Пользователь скрыл имя, 29 Марта 2012 в 00:17, курсовая работа
Предлагаемый британский стандарт подготовлен BSFD/12 (Управление Информационной безопасностью). Он предназначен для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание системы информационной безопасности внутри своих организаций. Поэтому его можно рассматривать в качестве основы для определения стандартов информационной безопасности организаций.
Предисловие
Введение
Что такое информационная безопасность?
Почему необходимо защищаться?
Сруктура документа
Все ли средства управления безопасностью применимы?
Ключевые средства контроля
Задание требований к информационной безопасности организации
Оценка рисков нарушения безопасности
Факторы, необходимые для успеха
Разработка собственных рекомендаций
Раздел 0 Общие положения
Назначение
Информативные ссылки
Термины и определения
Раздел 1 Политика безопасности
Политика информационной безопасности
Раздел 2 Организация защиты
Инфраструктура информационной безопасности
Безопасность доступа сторонних организаций
Идентификация рисков, связанных с подключениями сторонних организаций
Условия безопасности в контрактах, заключенных со сторонними организациями
Раздел 3 Классификация ресурсов и их контроль
Ответственность за ресурсы
Классификация информации
Раздел 4 Безопасность персонала
Безопасность в должностных инструкциях и при выделении ресурсов
Обучение пользователей
Реагирование на события, таящие угрозу безопасности
Раздел 5 Физическая безопасность и безопасность окружающей среды
Защищенные области
Защита оборудования
Раздел 6 Администрирование компьютерных систем и вычислительных сетей
Операционные процедуры и обазанности
Планирование систем и их приемка
Защита от вредоносного программного обеспечения
Обслуживание систем
Сетевое администрирование
Оперирование с носителями информации и их защита
Обмен данными и программами
Раздел 7 Управление доступом к системам
Производственные требования к управлению доступом к системам
Управление доступом пользователей
Обязанности пользователей
Управление доступом к сети
Управление доступом к компьютерам
Управление доступом к приложениям
Слежение за доступом к системам и их использованием
Раздел 8 Разработка и сопровождение информационных систем
Требования к безопасности систем
Безопасность в прикладных системах
Защита файлов прикладных систем
Безопасность в среде разработки и рабочей среде
Раздел 9 Планирование бесперебойной работы организации
Вопросы планирования бесперебойной работы организации
Раздел 10 Выполнение требований
Выполнение правовых требований
Проверка безопасности информационных систем
Аудит систем
д) Необходимо явно идентифицировать информационные ресурсы для проведения проверок и сделать их доступными.
е) Необходимо определить требования к специальной или дополнительной обработке и согласовать их с поставщиками услуг.
ж) Все случаи доступа следует отслеживать и фиксировать в контрольном журнале для справок.
з) Все процедуры, требования и обязанности необходимо задокументировать.
Защита средств аудита систем
Доступ к средствам аудита систем, т.е. к программам и файлам данных необходимо защищать, чтобы предотвратить их возможное несанкционированное использование или компрометацию. Такие средства следует изолировать от разрабатываемых и рабочих систем, и их не следует хранить в библиотеках магнитных лент и на рабочих местах пользователей, если они не обеспечены надлежащей дополнительной защитой.