Физическая безопасность

Loading...

From the course by National Research University Higher School of Economics

Менеджмент информационной безопасности

8 ratings

National Research University Higher School of Economics

Менеджмент информационной безопасности

8 ratings

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

From the lesson

Политика безопасности организации

Добро пожаловать на четвертую неделю курса! Данный модуль пригодится Вам для того, чтобы познакомить Вас с политикой безопасности организации. После окончания этой недели Вы сможете: сформулировать основные принципы разработки и внедрения политики безопасности организации; перечислить основные вопросы, которые необходимо рассмотреть в политике безопасности организации; сформулировать принципы, которые необходимо зафиксировать в политике безопасности организации; подготовить план мероприятий по внедрению и поддержанию политики безопасности организации. Смотрите видеоролики и в случае возникновения вопросов присоединяйтесь к обсуждению на форуме недели, желаем успехов в освоении материала!

Понятие политики безопасности3:03

Назначение и содержание политики безопасности6:34

Вопросы, рассматриваемые в политике безопасности3:09

Организационные аспекты информационной безопасности7:46

Управление активами6:07

Безопасность, связанная с управлением персоналом6:05

Физическая безопасность7:25

Управление доступом8:25

Вопросы эксплуатации информационных систем6:08

Управление инцидентами и непрерывностью бизнеса6:43

Соответствие требованиям обязательств организации3:21

Жизненный цикл политики безопасности7:33

Meet the Instructors

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

Ещё один раздел политики безопасности

следует посвятить вопросу физической безопасности объекта информатизации.

Целью положений данного объекта является предотвращение неавторизованного

физического доступа, повреждения и воздействия в отношении помещений,

оборудования и информации организации.

Для эффективного решения данной цели основными рекомендациями являются

следующие утвреждения.

Это принцип размещения важной для организации информации в зонах

безопасности, оборудованных средствами контроля доступа и соответствующими

защитными средствами, а также принцип обеспечения для всего объекта в целом

и его отдельных зон уровня защищённости, соразмерного выявленных рискам.

То есть, с одной стороны, создание защищённых зон, например, тех,

в которых обсуждается конфиденциальная информация или в которых существуют и

функционируют критичные элементы аппаратного обеспечения

объекта информатизации, то есть, например, серверная или какие-то прочие помещения,

в которых находится важное оборудование, и, с другой стороны, обеспечение для

каждого такого помещения, для каждой такой зоны именно того уровня защищённости,

который отвечает выявленным рискам, то есть, например, наверное,

экономически не обосновано применять максимальный уровень защиты к той зоне,

в которой часто бывают посетители, не являющиеся пользователями информационной

системы, где не обрабатывается никакая конфиденциальная информация,

где нету контроля доступа и подобным образом снижена

концентрация информации, которая требует защиты.

Напротив, повышение уровня защищённости оправдано для тех зон,

где обрабатывается конфиденциальная информация или где хранятся носители,

содержащие такую информацию.

В разделе, посвящённом физической безопасности,

рекомендуется сформулировать вопросы защиты зон, содержащих информацию,

и средства обработки информации, а также использование средств физической защиты и

организации периметров безопасности, то есть принять конкретные решения по тому,

какие конкретно зоны будут защищаться и какими мерами

организационно-технической защиты информации.

Здесь же следует сформулировать вопросы контроля и управления доступом

на контролируемую территорию, вопросы учёта доступа, выдачи пропусков,

сопровождение посетителей в определённых случаях и подобные вопросы.

Здесь стоит отметить, что по мере обсуждения различных

разделов политики безопасности мы с вами будем встречать вопросы,

относящиеся к ранее рассмотренным нами категориям мер защиты информации.

Это как раз свидетельствует о том, что политика безопасности как-то обобщает

и систематизирует использование всех этих средств, превращая их, действительно,

в единую политику и единую систему.

Именно благодаря этому достигается эффективность защиты информации.

В этом же разделе следует сформулировать вопросы защиты зданий,

производственных помещений и оборудования от различных

несанкционированных воздействий, которые могут нанести им ущерб.

Здесь же следует рассмотреть вопросы физической защиты от ущерба в случае

реализации природных, техногенных или антропогенных аварий,

стихийных бедствий и аналогичных ситуаций.

Следует предусмотреть либо возможность предотвращения таких явлений,

насколько это допустимо, либо как можно более оперативного восстановления

работоспособности системы в случае, если такие ситуации всё же реализуются.

В этом же разделе следует сформулировать рекомендации по работе в зонах

безопасности как для сотрудников, так и для лиц, которые посещают эти зоны

безопасности по роду деятельности, но при этом являются представителями третьих лиц,

различные представители технических службы, организаций, обеспечивающих

поддерживающую инфраструктуру, и к этому же разделу относятся вопросы

контроля зон доступа посторонних лиц, то есть контроля таких зон,

в которых могут оказываться лица, не являющиеся сотрудниками организации.

Например, зон, в которых разгружается или, наоборот,

загружается продукция организации,

где бывают грузчики других организаций, куда, может быть,

заезжает транспорт, водители которого не являются сотрудниками организации,

куда приходят посетители или клиенты, с которыми взаимодействует организация,

и подобных зон, в которых находятся посторонние лица.

В разделе, посвящённом физической безопасности, также следует сформулировать

вопросы размещения и защиты оборудования организации от вредоносных воздействий,

антропогенных, техногенных, стихийных, а также вопросы защиты

оборудования организации от сбоев поддерживающей инфраструктуры, например,

системы обеспечения резервного питания и подобных системы, и вопросы

защиты кабельных сетей от перехвата информации или их повреждения, разрушения.

Это могут быть какие-то организационные меры, связанные, например, с наблюдением

за неповреждённостью таких кабельных сетей, возможно, какие-то средства

физической защиты, то есть создание неких преград на пути злоумышленника.

Если речь идёт о перехвате информации, то различные меры технической

защиты информации, например, экранирование таких кабельных сетей.

К этому же разделу относятся вопросы технического обслуживания

оборудования организации, которые направлены на снижение

вероятности различных сбоев данного оборудования.

Принципы управлениями рисками при использовании оборудования вне помещений

организации, то есть некий регламент использования оборудования, например,

в случае выезда сотрудников организации на территорию клиента.

В этом случае они, можно сказать, находятся в незащищённой,

неконтролируемой зоне.

Безопасность их находится только в их руках,

они должны принимать повышенные усилия для обеспечения безопасности.

И вот эти самые принципы управления рисками желательно сформулировать

в данном разделе политики безопасности.

К этому же разделу относится вопрос утилизации и повторного использования

оборудования, содержащего важную для организации информацию.

Наверное, уже не секрет, что в ряде случае при небрежной утилизации носителей

информацией, содержавшей когда-либо ранее конфиденциальную информацию, даже в

случае её формального, то есть штатными средствами операционной системы, удаления

существует возможность для нарушителя успешного восстановления такой информации,

что, разумеется, в свою очередь приводит к утечке такой информации.

Поэтому вопросы надёжного удаления информации и, возможно,

утилизации такого оборудования должны быть регламентированы.

И к этому же разделу относятся принципы перемещения имущества организации

также с целью недопустить похищение или повреждение такого имущества, особенно,

относящегося к хранению, обработке или передаче информации.

[МУЗЫКА] [МУЗЫКА]

Explore our Catalog

Join for free and get personalized recommendations, updates and offers.

Coursera provides universal access to the world’s best education, partnering with top universities and organizations to offer courses online.

© 2018 Coursera Inc. All rights reserved.

Download on the App Store

Get it on Google Play