Please enable JavaScript.
Coggle requires JavaScript to display documents.
Організаційний рівень архітектури сфери захисту інформації та…
Організаційний рівень архітектури сфери захисту інформації та інформаційної безпеки
У результаті опису меж дії КСЗІ може бути складений документ, в якому:
зафіксовані межі і структура ІС;
перераховані ресурси, які підлягають захисту ІС;
показана система оцінки цінності критеріїв.
побудова КСЗІ
Структура органу публічного управління (ОПУ). Опис чинної структури і змін, які передбачається внести у зв’язку з розробкою або модернізацією ІС.
Розміщення коштів на підтримку ІС та інфраструктури. Модель ієрархії програмних та апаратних засобів ІС.
Ресурси ІС, що підлягають захисту. Рекомендується розглянути основні ресурси ІС: програмно-апаратні складові техніки. Такі інформаційні ресурси являють цінність з точки зору роботи організації. Для їх оцінки повинна бути обрана система критеріїв і методологія оцінок за цими критеріями.
Технологія обробки інформації та оцінка потреб. Для вирішення таких завдань повинні бути побудовані моделі обробки даних ІС в термінах інформаційних ресурсів.
Визначення керівних документів і стандартів, що використовуються в ІБ. Такі основні положення включають:
антивірусний захист програм;
питання резервного копіювання даних;
проведення ремонтних та відновлювальних робіт;
інформування про інциденти щодо ІБ.
управління доступом до засобів ІС, програм і даних;
Визначення підходів до управління ризиками ІБ.
Порядок сертифікації на відповідність стандартам ІБ. У цьому випадку необхідно визначити періодичність проведення нарад за тематикою ІБ на рівні керівництва. До нарад доцільно включати періодичний перегляд положень політики ІБ, порядок навчання наявних категорій користувачів ІС з питань ІБ та основи функціонування КСЗІ.
Адміністративний рівень протидії загрозам безпеки будується на основі аналізу ризиків, які визнаються реальними для ІС ОДУ. Коли ризики проаналізовані та стратегія ЗІ є визначеною, тоді складається програма, реалізація якої повинна забезпечити ІБ. Під цю програму виділяються ІР, призначаються відповідальні особи, визначається порядок контролю виконання завдань тощо
Можна виділити такі групи організаційних (процедурних) заходів:
управління персоналом на рівні певної організації або в системі публічного управління;
фізичний захист ІС;
підтримка працездатності ІС на рівні певної організації або в системі публічного управління;
реагування на порушення режиму безпеки на рівні певної організації або в системі публічного управління;
планування відновлювальних робіт на організаційному рівні певної організації або в системі публічного управління.
