работа над ошибками
7 заметок с тегом

политика

Материализация

22 апреля 2010, 20:29
Проекты материализовались с другой стороны. Поскольку меня не приглашали — я был на конференции.
политика   проекты   технопарк

Межвузовский технопарк

19 марта 2010, 0:16
В связи с прозвучавшей от заказчика программы строительства технопарка в Новосибирске идеей «Межвузовского технопарка» хочется мягко напомнить о приоритете: три года назад она была просчитана нами и даже утверждена в Минсвязи и Минэкономразвития, бюджетные заявки были подписаны, но на строительство не выделено ни копейки, а управляющая компания в Академгородке была признана пупоглавенствующей и приритетнейшей. И вот теперь, по прошествии пяти лет с начала программы она собирается выделить под «межвузовский бизнес-инкубатор» аж 600 (sic!) кв.м в 2 часах изматывающей езды от Большого Новосибирска на переполненном общественном транспорте.

Что ж, бешеной собаке сто вёрст — не крюк.

Корпус же к городе достроен помимо этих «академических» планов, правда в нём уже никогда не будет 14 000 тыс. кв.м «Межвузовского технопарка „Большой Новосибирск“ которые заложены в проекте — государева ложка дорога к обеду. В качестве компромисса готов предложить в аренду 300 кв.м в центре Новосибирска, плюс небезвоздмездные консультации о том как на самом деле надо строить этот бизнес.

Впрочем, в ответе даже не сомневаюсь. )))

Яйца! Яйца! Яйца!

20 января 2010, 8:02
В очередной раз представлены эскизы технопарка в Академгородке. Ждём 26-го для выставления этого паноптикума во всей шири и кури.
политика   технопарк

Идеи завладевают корабельными крысами

12 января 2010, 16:26
Одна из проблем коммунизма состояла в том, что в попытке «набрать массу» он катастрофически быстро перешёл разумную грань между «техническим количеством» и «идеологическим качеством» — вес баласта строящегося ковчега превзошёл его тоннаж. Нельзя утяжелять проект сверх меры людьми, которые видят в нём только средство для решения своих проблем, не читают и не понимают теории. Дохлые крысы топят любой корабль.
Start Up   политика   проекты

О перечне информации конфиденциального характера

11 января 2010, 21:36
Проблема университета сейчас состоит в том, что обязательная академическая свобода натыкается на суровую необходимость в том числе нести обязательства по обособлению, присвоению, не раскрытию не самой информации, а методологии и структуры её организации. И тут назревает очередной «бунт на корабле», на этот раз — за права «не оформлять», «иметь право автора», «не регистрировать и не отчитываться за использование».

Политика информационной безопасности, версия № 0.11/090512

8 июня 2009, 22:19
Разработка «Политики информационной безопасности» дошло до этапа с которого начинают доработки юридических тонкостей и разработка соподчиненных регламентов.

В своей не утвержденной редакции она выглядит

Политика информационной безопасности

ABSTRACT:

Политика информационной безопасности (в дальнейшем — политика ) является универсальным документом высокого уровня, представляющим свод обобщенных правил и терминов, без специфических деталей реализации. Техническая и организационная реализация информационной безопасности регулируется подчиненными политике регламентами и техническими документами. Политика является изложением целей , которые должны быть достигнуты решением технологических и организационных задач.

Правовая основа

1. Федеральный закона № 152-ФЗ «О персональных данных» от 27.07.2006.
2. Кодекс об административных правонарушениях РФ
3. Уголовный кодекс РФ
4. федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
5. Доктрина информационной безопасности Российской федерации от 9 сентября 2000 г. № Пр-1895
6. Конституция Российской Федерации от 12 декабря 1993 г.

Редакция политики безопасности

Настоявший документ является незавершенной версией* № 0.11/090512
Рабочая группа текущей версии:
разработка концепции, структуры и содержания
А.Л. Ивлев
рассмотрение и критика
В.А. Арсентьев
А.Г. Дворников
С.Н. Новиков

*Примечание: Завершенной считается версия согласованная с юридическим, кадровым и финансовым отделом и утвержденная лицом ответственным за проведение политики информационной безопасности. Утвержденные версии начинаются с нечётного номера. Версии на основе утвержденной и находящиеся в разработке — четный. Не прошедшая визирование и согласование версия начинается с нуля. В дробной части первый разряд — рассмотренная разработчиками версия ревизии. Второй (через косую черту) — год, месяц и число начала разработки (ревизии).

Термины и определения

Запись . Последовательность символов, записанная на любом носителе (лист бумаги, жесткий диск, компакт-диск и т. п.) с использованием любых нотаций (естественный язык, математические формулы, двоичные символы и т. п.).
Информационная среда университета. В дальнейшем — «информационная среда». Совокупность физических и нематериальных объектов, позволяющих накапливать (шкафы, сейфы, компьютерные системы, жесткие диски, оптические носители и т. п.), передавать (сетевые устройства, кабельная система, внутренняя почта и т. п.) обрабатывать и тиражировать (программное обеспечение, компьютеры, принтеры, копировальные устройства и т. п.), находящиеся во владении университета на праве собственности или управляемые им на основании других прав и позволяющие применить к ним политику информационной безопасности.
Внешняя среда. Совокупность физических и нематериальных объектов, взаимодействующих с информационной средой по каналам передачи записей. Правила взаимодействия регулируются политикой информационной безопасности.
Объекты частично или временно включаемые в информационную среду. В дальнейшем — «временные объекты». Физические или нематериальные объекты, которые могут быть частично включены в информационную среду в процессе осуществления деятельности университета (носимые электронные устройства, программное обеспечение, средства связи, фото копировальные аппараты и т. п.). Их включение может происходить с передачей существенной информации (IP-адреса внутренней сети университета, установка программ, внесение данных и т. п.), без нее (подключение по каналам общего пользования к информационным ресурсам: файловым хранилищам, серверам и голосовым каналам и т. п.) и путем не фиксируемых связей (фотографирование, аудио/видео запись, сканирование и т. п.). Включённые в информационную среду временные объекты требуют наличия дополнительных прав для применения к ним политики информационной безопасности.
Аутентификация. Процесс регистрации и опознавания лица имеющего доступ к информационной системе. Осуществляется на основании записей, являющихся неотъемлемой частью информационной среды.
Авторизация. Процесс получения прав на чтение, изменение и использование объектов информационной системы. Осуществляется на основании записей, являющихся неотъемлемой частью информационной среды.
Объект информационной структуры. В дальнейшем — «постоянные объект». Физические и нематериальные объекты, которые, в зависимости от их роли в системе, позволяют: проводить процедуры аутентификации и авторизации, изменять установленные правила функционирования информационной системы; используются для перевода нематериальных объектов в материальную форму и обратно (ноутбуки, носители информации, фотокопировальные устройства, фото/видео аппаратура, коммуникационное оборудование и т. п.); являются существенными с точки зрения обеспечения управления университетом или представляют собой объект нематериальной собственности вне зависимости от оценки его стоимости. Все постоянные объекты приобретены или созданы за счет средств университета и применение к ним политики информационной безопасности не требует наличия дополнительных прав у университета по отношению к этим объектам. Вне зависимости от того, где находится постоянный объект, он считается автоматически влюченным в информационную среду университета.
Твердая копия. Зафиксированная на носителе запись, считывание которой возможна без использования специальных инструментов и технологий (отпечатанный на принтере лист, рукопись и т. п.).
Мягкая копия. Дубликат объекта, существующий в цифровом виде как в информационной системе университета, так и вне её, и позволяющий получить объект идентичный исходному немедленно или после преобразования (распаковка программного сжатия, расшифровка, преобразование и т. п.)
Сотрудник (университета). Физическое лицо, прошедшее процедуры аутентификации и авторизации информационной системы университета в соответствии с установленной процедурой допуска. Ключевым условием обеспечения информационной безопасности является учёт сотрудников.
Лицо, ответственное за информационную безопасность. Далее — «ответственное лицо». Сотрудник университета отвечающий за проведение политики безопасности и несущий ответственность за её нарушение.
Степень ответственности за информационную безопасность. Далее — «степень ответственности». Обязанности ответственного лица закрепленные за ним в соответствии в политикой информационной безопасности.
Неопределенный круг лиц. Далее «неопределенные лица». Любые физические и юридические лица, потенциально способные получить доступ к существенным записям, позволяющим им пройти процедуры аутентификации и авторизации с целью изменения конфигурации компьютерного, технологического и сетевого оборудования, считывания и изменения объектов информационной системы, получения твердых копий объектов из защищаемой информационной системы университета.
Риск. Оценка последствий и вероятности происхождения в определенном временном интервале инцидента связанного с потерей, искажением или доступностью неопределенному кругу лиц копий объектов информационной системы находящихся вне защищаемой информационной среды.
Инструменты проведения политики информационной безопасности. Далее — «инструменты». Любые средства, имеющие своей целью обеспечение информационной безопасности: технические, программные, организационные, просветительские и пр.
Структура информационных объектов. Далее — «структура». Взаимосвязанные постоянные и временные объекты, которые можно описать по принципу подчиненности управления. (например: «Сервер» — «Программное обеспечение сервера» — «сетевая инфраструктура» — «клиент» — «программное обеспечение клиента» — «периферийное оборудование клиента» — «временно подключаемые устройства» — «программное обеспечение временно подключаемых устройств» и т. п. «Ректор» — «Проректор по ...» — «Подразделение» и т. п.)
Защищаемая инфраструктура. Совокупность объектов информационной инфраструктуры, имеющая структуру и включаемая в систему информационной безопасности в соответствии с определенным для нее регламентом (соподчиненным регламентом)
Нематериальные активы. Записи, являющиеся объектами информационной инфраструктуры, реальную или потенциальную стоимость которых можно рассчитать в соответствии с принятой методикой расчёта и выразить в денежном эквиваленте с целью учёта и управления.
Доступность. Гарантированный доступ к объектам информационной инфраструктуры, обеспечивающий выполнение университетом своих функций в условиях соблюдения политики информационной безопасности. Управление доступностью решается при помощи аутентификации и авторизации объектов и пользователей информационной структуры.
Информационные потоки. Далее «потоки». Движение постоянных и временных объектов по информационной структуре, играющие роль в управлении университета и являющееся существенным с точки зрения организации коммерциализации, капитализации и управления нематериальными активами. Организуются как в сетях принадлежащих университету, так и в сетях используемых на университетом на правах сетей общего пользования.
Сети. Объекты информационной инфраструктуры организующие управление доступом к постоянным и временным объектам информационной инфраструктуры. Собственные сети — материальная инфраструктура и адресное пространство (активное и пассивное сетевое оборудование; структурированная кабельная система; сети подкласса «С» и т. п.), принадлежащие университету на праве собственности или оперативного управления. Частные сети и сети общего пользования — материальная инфраструктура и адресное пространство выделяемое поставщиками услуг для хранения и передачи информации университета, в том числе между подсистемой университета и другими, не принадлежащими ему на праве собственности или оперативного управления подсистемами (активное и пассивное сетевое оборудование, сети, серверы, сети класса «А» и «Б» и т. п.)
Непреднамеренное нарушение информационной безопасности. Нарушение информационной безопасности университета связанное со случайными действиями сотрудников или неопределенного круга лиц принёсшее и не принёсшее убытки и иные последствия, отразившиеся на конкурентоспособности университета, причиной которого стало неправильное функционирование или не задокументированное свойство постоянных или временных объектов информационной среды (программ, сетевых устройств и т. п.)
Цикл защиты. Далее «цикл». Комплекс периодических мероприятий, определяющий порядок защиты объектов, включаемых в информационную среду университета, позволяющий однозначно определить круг лиц ответственных за разработку технических и организационных инструментов, выполнение регламентов и аудит информационной безопасности.
Оптимальный уровень информационной безопасности. Далее «оптимальный уровень безопасности». Комплекс технических, организационных и методических мероприятий, позволяющий оценивать, управлять и планировать развитие университета с учётом коммерциализации и капитализации объектов нематериальной собственности находящихся под защитой комплекса информационной безопасности.

Цели

Главной целью исполнения политики информационной безопасности является создание системы защиты нематериальной собственности университета, обеспечивающей ему достижение и сохранение максимального уровня конкурентоспособности в сравнении с другими российскими и зарубежными вузами.
Политика информационной безопасности нацелена на:
1) Уменьшение и минимизацию рисков утери, изменения или неконтролируемого распространения информационных объектов университета вследствие непреднамеренных или целенаправленных действий сотрудников или неопределенного круга лиц.
3) Обеспечение соответствия информационной безопасности университета действующему российскому и международному законодательству.
3) Поддержание информационной безопасности университета с оптимальными затратами, в соответствии с технологической политикой, на уровне, соответствующем текущему уровню угрозы.
3) Определение ответственности за соблюдение и исполнение политики информационной безопасности.
4) Обеспечение процедур контроля и аудита информационной безопасности университета.
5) Обеспечение права собственности университета на нематериальные активы, представленных в виде объектов информационной среды.

Задачи

Под задачей обеспечения информационной безопасности понимается завершенный цикл защиты информационной инфраструктуры университета в целом или составляющие его циклы защиты связанных или отдельных элементов, включённых в качестве защищаемых объектов.
Основными задачами, решаемыми при проведении политики информационной безопасности являются:
1) Организация разработки, совершенствования и выполнения регламентов защиты информационной инфраструктуры.
2) Организация мероприятий по строгому и неукоснительному соблюдению режимов учёта авторизации и аутентификации сотрудников.
3) Постоянный контроль и аудит всех доступных объектов информационной структуры, в том числе с целью включения их в информационную среду и организации их дальнейшей защиты.
4) Оптимизация существующей информационной инфраструктуры университета и прогнозирование её развития с учётом требований поддержания информационной безопасности на максимальном уровне при оптимальных затратах.

Инструменты

Инструменты проведения политики информационной безопасности:
1) Технические и программные средства, обеспечивающие защиту информационных объектов.
2) Организационные мероприятия.
3) Просветительские мероприятия разъясняющие политику информационной безопасности в университете и во внешней среде.

Ответственность

Ответственность за проведение политики информационной безопасности формируется на основании следующих правил:
1) Ответственность распространяется по принципу соподчинённости подразделений университета, имеет иерархическую структуру: ответственность за вышележащие информационные объекты не может быть возложена на нижележащие структуры, и наоборот — ответственность за нижележащие объекты может быть возложена на вышестоящие структуры.
2) Вся полнота ответственности лежит на ректоре университета, который, по своему усмотрению и по своей доверенности, может распределять эту ответственность на остальных сотрудников.
3) Соблюдение политики информационной безопасности является непременным условием действующего контракта и должностных обязанностей сотрудника.
3) Сотрудник не может отказаться от возложенных на него права и обязанности следовать политике информационной безопасности, за исключением случаев противоречащих действующему законодательству.
4) Ответственность за нарушение политики информационной безопасности возникает вне зависимости от умысла.
5) Тяжесть ответственности за нарушение политики информационной безопасности определяется ректором университета и не может противоречить действующему законодательству.

Объект информационной системы

19 марта 2009, 11:18
Что такое «объект информационной системы»? Ответ на этот вопрос является ключевым для политики информационной безопасности, поскольку не дав абсолютно точного определения, нельзя будет в дальнейшем разрабатывать технические документы, регламентирующие защиту.

Моё определение

«Объект информационной структуры. В дальнейшем — „объект“. Запись, которая в зависимости от её роли в системе позволяет: проводить процедуры аутентификации и авторизации, изменять установленные правила функционирования информационной системы; являющаяся существенной с точки зрения обеспечения управления университетом; представляющая объект нематериальной собственности, вне зависимости от оценки его стоимости».

Определение хромает, поскольку не учитывается монолитность информационной структуры: с точки зрения безопасности она не может быть разделена на материальную (оборудование) и нематериальную (информация) без потери свойств и перехода к абстракции.