Информационная безопасность » Полная модель классификации субъектов http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 Полная модель классификации субъектов http://www.microfinance.uz/polnaya-model-klassifikacii-subektov/ http://www.microfinance.uz/polnaya-model-klassifikacii-subektov/#comments Thu, 28 Aug 2008 13:42:10 +0000 admin http://www.microfinance.uz/2008/08/28/polnaya-model-klassifikacii-subektov/ Рассмотрим более сложную западную модель, предложенную в книге “Handbook of Information Security Management” (“Руководство по управлению информационной безопасности”).
Владелец информации — бизнес-менеджер, который ответственен за информационные активы предприятия. Обязанности следующие:
□ устанавливать первичную классификацию информации и периодически проверять, что эта классификация отвечает производственным задачам;
□ определять работу механизмов безопасности в соответствии с классификацией;         □ анализировать актуальность прав доступа к информационным активам;
• определение требований безопасности, резервного копирования и критериев доступа к информационным активам;
□ выполнять или назначать исполнителей для следующих операций:
• санкционирование запросов на доступ от других бизнес-подразделений;
• резервное копирование;
• восстановление данных;
□ санкционировать различные действия по фактам нарушения безопасности.
Хранитель информации — обычно специалист по информационным технологиям, основная задача которого — резервное копирование и восстановление данных. Обязанности следующие:
□ производить резервное копирование в соответствии с требованиями, установленными владельцем информации;
□ при необходимости восстанавливать потерянные или поврежденные данные;
□ производить необходимые мероприятия по обеспечению сохранности и доступности данных из резервных копий;
□ обеспечивать учет хранения в соответствии с требованиями владельца информации.
Владелец приложения — руководитель бизнес-подразделения, который полностью ответственен за выполнение производственных или иных функций, обслуживаемых приложением. Имеет следующие обязанности:
□ устанавливать критерии доступа пользователей и требования к доступности для приложения;
□ контролировать адекватность использования механизмов безопасности приложения (то есть, если информация, скажем, “совершенно секретная”, то и механизм безопасности не может быть таким же, как для просто “секретной” информации);
□ исполнять или поручать исполнение следующего:
• ежедневное администрирование безопасности;
• рассмотрение отдельных запросов на доступ;
• анализ случаев нарушения безопасности;
• рассмотрение и утверждение всех изменений к приложению до их установки на реальную систему;
• подтверждение актуальности прав доступа пользователей в рамках приложения.

Администратор пользователей — непосредственный руководитель сотрудников. В его полной ответственности — учетные данные пользователей и информационные ресурсы работников предприятия (то есть системы, приложения, данные и т. п.). В случаях, когда для выполнения операций привлечены не работники предприятия (контрактники, консультанты и т. д.), в его ведении находится их деятельность и информационные ресурсы, используемые ими. Администратор пользователей обычно отвечает за привлечение сторонних организаций. Обязанности:
□ информировать администратора безопасности об увольнении пользователя для удаления учетных записей пользователя, их отключения или временного блокирования;
□ информировать администратора безопасности о служебных перемещениях пользователей, если это влечет изменение форм или прав доступа;
□ докладывать в службу информационной безопасности обо всех происшествиях по безопасности или подозрении на такие происшествия;
□ контролировать актуальность пользовательской учетной информации;
□ формировать и предоставлять первичные пароли для новых пользователей;
П проводить обучение пользователей в вопросах политики безопасности, ее процедурам, стандартам и т. п.
Администратор безопасности — сотрудник предприятия, который имеет соответствующие полномочия в системе управления доступом. Он устанавливает механизмы безопасности, администрирует учетные записи пользователей и права доступа к информационным ресурсам. Он подотчетен либо бизнес-подразделению, либо службе информационной безопасности внутри подразделения информационных технологий. Имеет следующие обязанности:
□ разбираться в различных средах обработки данных и в результатах предоставления доступа к ним;
□ контролировать тот факт, что запросы на доступ соответствуют общей линии использования информации и правилам безопасности;
□ администрировать права доступа в соответствии с критериями, установленными владельцем информации;
□ создавать и удалять учетные записи пользователей, установленные администратором пользователей;
□ администрировать систему в рамках своей работы и функциональных обязанностей;

]]> http://www.microfinance.uz/polnaya-model-klassifikacii-subektov/feed/ 0