Организационно-административное обеспечение информационной безопасности
Оценка рисков
Что делать, когда политику безопасности нарушают
Толкование политики безопасности
Распределение ответственности за информационную безопасность
Независимая ревизия состояния информационной безопасности
Отчетность по ресурсам
Отражение мер безопасности в должностных инструкциях
Сообщение о сбоях программного обеспечения
Возникновение и история развития проблемы защиты информации
Основные положения теории нечетких множеств
Неформальные методы оценивания
Неформальные методы поиска оптимальных решений
Угрозы безопасности автоматизированной системы обработки информации
Причины, виды и каналы утечки информации
Модели безопасности
Модель пятимерного пространства безопасности Хардстона
Средства разграничения доступа
ISACA
Практика проведения аудита КИС
Пути снижения рисков
Потенциальные угрозы
Обязательные правила
Пути снижения рисков
Использование средств удаленной диагностики
Перечень правовых актов Республики Беларусь, касающихся информационной безопасности
Навигация
Толкование политики безопасности
Интеллектуальные компьютерные технологии защиты информации
214673
знака
1
таблица
8
изображений
1.2.6 Толкование политики безопасности
Важно определить, кто будет интерпретировать политику безопасности. Это может быть отдельное лицо или подразделение. Вне зависимости от того, насколько хорошо она написана, политика безопасности время от времени нуждается в разъяснении, а заодно и в пересмотре.
1.2.7 Гласность политики безопасности
Письменный документ с изложением политики должен быть доступен не только руководителям и сотрудникам, ответственным за информационную безопасность, он должен быть доступен всем сотрудникам организации. Более того, обеспечение доступа к документу еще не гарантия его действенности.
После того как положения политики безопасности записаны и одобрены, необходимо начать активный процесс, гарантирующий, что политика воспринята и обсуждена. Почтовую рассылку нельзя признать достаточной мерой. Прежде чем политика вступит в силу, следует отвести время для дискуссий, чтобы все заинтересованные пользователи могли высказать свое мнение и указать на недостатки политики. В идеале политика должна соблюдать баланс между безопасностью и производительностью труда, удобством работы.
Целесообразно провести собрания, чтобы выслушать пожелания пользователей и заодно убедиться в правильном понимании ими предложенной политики. (Творцы политики порой бывают несколько косноязычны.) В собраниях должны участвовать все: от высшего руководства до младших специалистов. Безопасность - забота общая.
Помимо усилий по оглашению политики на начальном этапе, необходимо постоянно напоминать о ней. Опытные пользователи нуждаются в периодических напоминаниях, новичкам ее нужно разъяснять, вводя в курс дела. Прежде чем допускать сотрудника к работе, разумно получить его подпись под свидетельством о том, что он прочитал и понял политику безопасности. В ситуациях, чреватых судебным разбирательством после нарушения политики, бумага с подписью может оказаться весьма кстати.
1.3 Организация системы безопасности
Управлять информационной безопасностью невозможно без соответствующих структур. Для инициирования и контроля за реализацией информационной безопасности внутри организации должна быть создана определенная структура управления. Она должна включать как штатные, так и внештатные органы управления.
1.3.1 Инфраструктура информационной безопасности
Для согласования политики информационной безопасности, распределения функций, координирования мер безопасности в организации следует проводить совещания руководящих лиц. В случае необходимости, нужно обеспечить возможность получения консультаций специалистов и сделать эту информацию доступной для всех. Для отслеживания основных тенденций в области стандартизации, критериев оценки, а также для определения наиболее подходящих пунктов транспортного соединения в случае инцидентов, затрагивающих проблемы безопасности, должны быть установлены контакты с внешними специалистами по обеспечению безопасности. Следует всячески поощрять многопрофильные подходы к обеспечению информационной безопасности, например, совместную работу аудиторов, пользователей и администраторов в этом направлении.
1.3.2 Совещание руководящих лиц по информационной безопасности
Ответственность за обеспечение информационной безопасности несут все руководящие сотрудники. Следует предусмотреть необходимость проведения совещаний высших руководящих лиц для обеспечения четкого руководства и поддержки инициатив по проведению мероприятий безопасности. В случае отсутствия достаточного количества вопросов для проведения регулярных совещаний по безопасности рекомендуется включать эти вопросы в повестку дня других регулярных совещаний.
Обычно на таких совещаниях рассматриваются следующие вопросы:
• обзор и согласование политики информационной безопасности и распределение ответственности;
• мониторинг основных рисков, которым подвергаются информационные ресурсы;
• анализ инцидентов, затрагивающих проблемы безопасности;
• одобрение основных инициатив и планов по повышению уровня информационной безопасности.
Рекомендуется, чтобы один из руководителей нес основную ответственность за координацию политики информационной безопасности.
1.3.3 Координация информационной безопасности
В крупной организации следует координировать меры информационной безопасности на многопрофильных совещаниях.
На таком совещании в присутствии представителей всех подразделений следует координировать реализацию мер информационной безопасности. Типичными вопросами такого совещания могут быть:
согласование специфических функций и ответственности за информационную безопасность в пределах организации;
согласование определенных методологий и процедур обеспечения информационной безопасности, например, оценки рисков, системы классификации мер безопасности;
согласование и поддержка инициатив в отношении информационной безопасности в пределах организации, например, программы по распространению знаний об информационной безопасности;
обеспечение того, чтобы безопасность стала частью процесса информационного планирования; координация реализации специфических мер информационной безопасности для новых систем или услуг; обеспечение наглядности поддержки мер информационной безопасности в организации.
Похожие работы
... (о чем речь пойдет далее). Анализ действующего Уголовного кодекса РФ показывает, что законодатель выделил из всего объема информационных отношений как подлежащие специальной охране отношения, возникающие в области компьютерной информации. В главу о преступлениях в сфере компьютерной информации введены термины и понятия, которых ранее не было не только в уголовно-правовой терминологии, но и в ...
... эта система будет неполной без интегрирования с ней системы видеонаблюдения, которая обеспечит визуальный просмотр времени и попыток несанкционированного доступа к информации и обеспечит идентификацию личности нарушителя. 2.4 Разработка системы видеонаблюдения объекта защиты Целевыми задачами видеоконтроля объекта защиты является: 1) обнаружение: - общее наблюдение за обстановкой; - ...
... техникой всех отраслей человеческой деятельности остро ставит вопрос о технологическом обеспечении информационных систем и технологий. Технологическое обеспечение реализует информационные процессы в автоматизированных системах организационного управления с помощью ЭВМ и других технических средств. Разработка технологического обеспечения требует учета особенностей структуры экономических систем. ...
... питания, уничтожители бумажных документов Заключение Цель курсового исследования достигнута путём реализации поставленных задач. В результате проведённого исследования по теме "Методы защиты информации в телекоммуникационных сетях" можно сделать ряд выводов: Проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Они ...
0 комментариев