Содержание политики безопасности верхнего уровня.
Верхний уровень политики безопасности определяет решения, затрагивающие организацию в целом. Эти решения носят весьма общий характер и исходят, как правило, от руководства организации.
Примерный список подобных решений может включать в себя следующие элементы:
1. формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
2. формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных лиц за продвижение программы;
3. обеспечение материальной базы для соблюдения законов и правил;
4. формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Политика безопасности верхнего уровня формулирует цели организации в области информационной безопасности в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять целостность данных, определяемая числом случаев потерь, повреждений или искажений данных. Для организации, занимающейся продажами, вероятно, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь будет заботиться о конфиденциальности информации, то есть о ее защите от несанкционированного доступа.
|
|
Для банковских систем характерна триада информационной безопасности – конфиденциальность, целостность и доступность.
На верхний уровень выносится управление ресурсами безопасности и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко определять сферу своего влияния. Это могут быть все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по претворению ее в жизнь. В этом смысле политика является основой подотчетности персонала.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень законопослушности персонала, а для этого нужно выработать систему поощрений и наказаний. Вообще говоря, на верхний уровень следует выносить только те вопросы, решение которых может дать значительную экономию средств или если поступить иначе просто невозможно.
|
|
Содержание политики безопасности среднего уровня.
Средний уровень политики безопасности определяет решение вопросов, касающихся отдельных аспектов информационной безопасности, но важных для различных систем, эксплуатируемых организацией.
Примеры таких вопросов - отношение к доступу в Internet (как сочетать свободу получения информации с защитой от внешних угроз), использование домашних компьютеров и т.д. Политика безопасности среднего уровня должна определять для каждого аспекта информационной безопасности следующие моменты:
§ описание аспекта. Позиция организации может быть сформулирована в достаточно общем виде как набор целей, которые преследует организация в данном аспекте;
|
|
§ область применения. Следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;
§ роли и обязанности. В документ необходимо включить информацию о должностных лицах, отвечающих за претворение политики безопасности в жизнь;
§ санкции. Политика должна содержать общее описание запрещенных действий и наказаний за них;
§ точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит определенное должностное лицо.
Дата добавления: 2018-06-01; просмотров: 585; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!