Управление доступом

Loading...

From the course by National Research University Higher School of Economics

Менеджмент информационной безопасности

12 ratings

National Research University Higher School of Economics

Менеджмент информационной безопасности

12 ratings

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

From the lesson

Политика безопасности организации

Добро пожаловать на четвертую неделю курса! Данный модуль пригодится Вам для того, чтобы познакомить Вас с политикой безопасности организации. После окончания этой недели Вы сможете: сформулировать основные принципы разработки и внедрения политики безопасности организации; перечислить основные вопросы, которые необходимо рассмотреть в политике безопасности организации; сформулировать принципы, которые необходимо зафиксировать в политике безопасности организации; подготовить план мероприятий по внедрению и поддержанию политики безопасности организации. Смотрите видеоролики и в случае возникновения вопросов присоединяйтесь к обсуждению на форуме недели, желаем успехов в освоении материала!

Понятие политики безопасности3:03

Назначение и содержание политики безопасности6:34

Вопросы, рассматриваемые в политике безопасности3:09

Организационные аспекты информационной безопасности7:46

Управление активами6:07

Безопасность, связанная с управлением персоналом6:05

Физическая безопасность7:25

Управление доступом8:25

Вопросы эксплуатации информационных систем6:08

Управление инцидентами и непрерывностью бизнеса6:43

Соответствие требованиям обязательств организации3:21

Жизненный цикл политики безопасности7:33

Meet the Instructors

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Еще один раздел политики

безопасности рекомендуется посвятить управлению доступом,

как физическому, так и логическому.

То есть, как на территории объекта информатизации,

так и к отдельным объектам информационной системы,

входящей в состав автоматизированной системы объекта информатизации.

Целью управления доступом, разумеется, является организация

доступа субъектов к информации, представляющей ценность для организации.

В случае, если таким доступом управление не будет осуществляться, практически

невозможно найти источники угроз, то есть тех лиц, которые, действуя, например,

злоумышленно либо халатно, являются виновниками тех или иных повреждений

или иного ущерба для информации, относящейся к активам организации.

Рекомендациями по обеспечению эффективного управления

доступом являются следующие принципы.

Во-первых, это обеспечение управляемости доступа к информации,

средствам обработки информации с учетом требований и функций организаций и

задач обеспечения информационной безопасности.

Данный принцип означает, что руководство организации и ее служба безопасности

должны действительно иметь возможность управлять доступом к информации.

Не должно быть никаких неконтролируемых ими путей доступа на контролируемую

территорию, способов получения доступа к информации и подобных уязвимостей,

которыми мог бы воспользоваться нарушитель.

Вторая рекомендация заключается в разработке правил управления доступом с

учетом положений политики безопасности организации,

касающихся обработки и распространения информации.

То есть разработки детализированной системы разграничения доступа.

В данном разделе желательно сформулировать следующие положения.

Во-первых, политика управления доступом, порядок ее обеспечения логическими и

физическими мерами, то есть как распределение прав доступа субъектов к

объектам в информационной системе, так и какими-то физическими мерами,

такими как раздельные помещения в объекте информатизации,

турникеты, пропускная система, охрана, которая контролирует

нахождение сотрудников на своих рабочих местах, и подобными мерами.

Во-вторых, вопросы регистрации и снятия с учета пользователей, предоставления им

полномочий в информационной системе и прекращение таких прав.

То есть вопросы создания, например,

новых учетных записей и прекращение действий таких учетных записей.

Сюда же относится принцип ограничения и контроля предоставления в

использовании привилегий пользователей в информационной системе.

Как правило, под правами подразумевают возможность получения

субъектов к объектам, то есть разрешения или запреты на получение такого доступа,

а под привилегиями — разрешения совершить какое-то действие,

относящееся ко всей информационной системе, например,

запустить программу, либо остановить выполнение какой-то программы,

добавить новое средство в информационную систему либо исключить

какое-то средство из информационной системы, создать новую учетную запись,

прекратить действие учетной записи и подобные действия.

В этом же разделе желательно сформулировать формальный процесс

управления распределением паролей,

поскольку от него зависит надежность парольной системы аутентификации,

и формальный процесс периодического пересмотра прав доступа пользователей.

В связи с изменением полномочий пользователей,

относящихся к их должностным обязанностям, а не к информационной системе,

меняется и состав необходимых им прав доступа в системе.

То есть, возможно, когда-то ранее тот или иной пользователь

системы как сотрудник имел те или иные обязанности, которые были

связаны с необходимостью для него иметь доступ к тому или иному объекту.

Теперь эти обязанности делегированы другому сотруднику,

а это означает, что оставшиеся у него права теперь являются излишними,

в соответствии с принципами минимизации полномочий пользователей в системе,

данные права должны быть у него, например, отменены, и их действие прекращено.

В этом же разделе следует сформулировать обязанности пользователей информационной

системы, а конкретно рассмотреть их обязанности по выбору паролей,

сформулировав соответствующие требования и рекомендации.

Под требования, например, могут подходить условия смены пароля не реже, чем,

допустим, раз в квартал, использование в паролях тех или иных символов,

например, спецсимволов, цифр, заглавных букв.

Требование не использовать при создании нового пароля пароль,

который был использован перед этим, или один из нескольких последних.

А рекомендации могут заключаться в неиспользовании в пароле каких-то

шаблонов, в выборе случайных последовательностей символов,

в длине пароля, в заданных требованиями параметрах, допустим,

от 10 до 15 символов — это требование, а рекомендация — что,

все-таки, лучше больше, чем меньше.

Здесь же следует сформулировать обязанности пользователей по защите

оборудования, оставленного без присмотра.

Здесь речь идет о специальных мерах, которые следует предпринимать

пользователям для того, чтобы в ситуации, когда оборудование остается без присмотра,

оно не стало бы легкой добычей злоумышленника,

действующего не по халатности, а именно по злому умыслу.

Одним из аспектов реализации таких мер по защите оборудования,

оставленного без присмотра, является так называемая политика чистого стола и

чистого экрана, соблюдение которой следует сделать рекомендованным,

если не обязательным для пользователей.

Данная политика заключается в том, что покидая рабочее место или даже

отлучаясь от него на небольшой промежуток времени, пользователю весьма

рекомендуется убирать со стола все документы, относящиеся к его деятельности,

в первую очередь, разумеется, содержащие любую конфиденциальную информацию,

лучше всего в запираемые ящики стола или в сейфы.

И не оставлять на экране компьютера, если вдруг он не заблокирован, или в случае,

если несанкционированный пользователь приближается к рабочему месту,

никаких открытых окон, содержащих конфиденциальную информацию,

никаких запущенных программ, таким образом,

что проходящее мимо лицо может с экрана пользователя что-либо прочесть и,

таким образом, осуществить несанкционированный доступ к информации.

Соблюдение вот этой политики чистого стола и чистого экрана повышает защищенность

информации, и снижает риск ее утечки.

В разделе, посвященном управлению доступом,

также следует сформулировать вопросы управления доступом к сети.

А именно: порядок предоставления пользователям к сетевым услугам в

ситуации, если они уполномочены на их использование в

соответствии с должностными обязанностями, порядок аутентификации пользователей для

внешних соединений, порядок идентификации оборудования в сетях,

меры контроля физического и логического доступа к портам дистанционной диагностики

и конфигурации, а также другие вопросы управления доступом к сети.

Здесь же следует перечислить ряд аспектов,

относящихся к принципам управления доступом в эксплуатируемой системе,

такие как процедура регистрации в системе с учетом требований безопасности,

то есть создание новых учетных записей, процедуру идентификации и аутентификации

пользователя, выбрать, по каким факторам будет осуществлять аутентификация и какие

средства будут при этом задействованы, сформулировать принципы использования

системы управления паролями и другие вопросы доступа к информационной системе.

Также в разделе, посвященном управлению доступом,

следует сформулировать порядок доступа к информации и прикладным программам как

сотрудников, так и любых других лиц, взаимодействующих с организацией,

а также порядок использования мобильных вычислительных устройств и порядок

дистанционной работы сотрудников.

[МУЗЫКА] [МУЗЫКА]

Explore our Catalog

Join for free and get personalized recommendations, updates and offers.

Coursera provides universal access to the world’s best education, partnering with top universities and organizations to offer courses online.

© 2018 Coursera Inc. All rights reserved.

Download on the App Store

Get it on Google Play