КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Жизненный цикл политики безопасности
Разработка политики безопасности длительный и трудоемкий процесс, требующего высокого профессионализма, отличного знания нормативной базы в области информационной безопасности. Этот процесс обычно занимает многие месяцы. Координатором этого процесса обычно является руководитель отдела информационной безопасности, на которого руководство организации возлагает ответственность за обеспечение информационной безопасности. Жизненный цикл политики безопасности, состоит из пяти последовательных этапов. Первый этап: аудит безопасности - процесс, с которого начинаются любые планомерные действия по обеспечению информационной безопасности в организации. Он включает в себя проведение обследования, идентификацию угроз безопасности, ресурсов, нуждающихся в защите и оценку рисков. В ходе аудита производится анализ текущего состояния информационной безопасности, выявляются существующие уязвимости, наиболее критичные области функционирования и наиболее чувствительные к угрозам бизнес процессы. Второй этап: разработка. Аудит безопасности позволяет собрать и обобщить сведения, необходимые для разработки политики безопасности. На основании результатов аудита определяются основные условия, требования и базовая система мер по обеспечению информационной безопасности в организации, которые позволят уменьшить риски до приемлемой величины. Они оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации. Часто используют существующие наработки и ограничиваются адаптацией типового комплекта политики безопасности к конкретным условиям. Этот путь позволяет сэкономить время и повысить качество разрабатываемых документов. Третий этап: внедрение. Создается проектная группа по внедрению политики безопасности, действующая по согласованному плану в соответствии с установленными сроками выполнения работ. Данной группе приходится сталкиваться с необходимостью решения технических, организационных и дисциплинарных проблем. Часть администраторов, пользователей и персонала могут сознательно либо бессознательно сопротивляться введению новых правил поведения и программно-технических механизмов защиты, которые ограничат свободный доступ к информации. Часто возникают технические проблемы, связанные, например, с отсутствием в используемом программном обеспечении функциональности, необходимой для реализации отдельных положений политики безопасности. В процессе внедрения проводится обучение сопричастных лиц. Четвертый этап: аудит и контроль. Соблюдение положений политики безопасности должно являться обязательным для всех сотрудников организации и должно непрерывно контролироваться. Проведение планового аудита безопасности является одним из основных методов контроля работоспособности политики безопасности, позволяющего оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений политики безопасности и внесение в них необходимых корректировок. Пятый этап: пересмотр и корректировка. Обычно первая версия политики безопасности не в полной мере отвечает потребностям организации. После наблюдения за процессом внедрения и оценки эффективности применения политики безопасности требуется осуществить ряд доработок. Так же непрерывно изменяются используемые технологии и организация бизнес процессов, что приводит к необходимости корректировать существующие подходы к обеспечению информационной безопасности. В большинстве случаев политику безопасности пересматривают ежегодно. Для того чтобы политика безопасности оставалась эффективной, необходимо осуществлять непрерывный контроль ее исполнения, повышать осведомленность сотрудников организации в вопросах информационной безопасности и обучать их выполнению правил, предписываемых политикой безопасности. Регулярный пересмотр и корректировка правил политики безопасности необходимы для поддержания ее в актуальном состоянии. Разработка и внедрение политики безопасности в организации – процесс коллективного творчества, в котором должны участвовать представители всех подразделений, затрагиваемых производимыми изменениями. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение информационной безопасности. Этот специалист координирует деятельность рабочей группы по разработке и внедрению политики безопасности на протяжении всего жизненного цикла, включающего в себя проведение аудита безопасности, разработку, согласование, внедрение, обучение, контроль исполнения, пересмотр и корректировку политики безопасности. Аудит безопасности проводится в соответствии со Стандартом ISO 17799, который позволяет получить количественную оценку комплексной безопасности компании. Существует специальное программное обеспечение, позволяющее самостоятельно выполнить оценку безопасности. Эффективность политики безопасности зависит от следующих факторов: минимизации влияния на производительность труда, непрерывности обучения, контроля и быстрого реагирования на нарушения безопасности, поддержки руководства организации, постоянного совершенствования. Образец политики корпоративной безопасности. Цель: гарантировать использование по назначению компьютеров и телекоммуникационных ресурсов компании ее сотрудниками, независимыми подрядчиками и другими пользователями. Все пользователи компьютеров обязаны использовать компьютерные ресурсы квалифицированно, эффективно, придерживаясь норм этики и соблюдая законы. 1. Политика, ее правила и условия касаются всех пользователей компьютерных и телекоммуникационных ресурсов и служб компании, где бы эти пользователи ни находились. Нарушения этой политики влечет за собой дисциплинарные воздействия, вплоть до увольнения и/или возбуждения уголовного дела. 2. Данная политика по мере необходимости может периодически изменяться и пересматриваться. 3. Руководство компании имеет право, но не обязано проверять любой или все аспекты компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение данной политики. Компьютеры и бюджеты предоставляются сотрудникам компании с целью помочь им более эффективно выполнять свою работу. 4. Компьютерная и телекоммуникационная системы принадлежат компании и могут использоваться только в рабочих целях. Сотрудники компании не должны рассчитывать на конфиденциальность информации, которую они создают, посылают или получают с помощью принадлежащих компании компьютеров и телекоммуникационных ресурсов. 5. Пользователям компьютеров следует руководствоваться перечисленными ниже мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя следующее: компьютеры, серверы, рабочие станции, автономные компьютеры, мобильные компьютеры, программное обеспечение, а также внутренние и внешние сети связи (интернет, коммерческие интерактивные службы и системы электронной почты), к которым прямо или косвенно обращаются компьютерные устройства компании. 6. Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, касающиеся интеллектуальной собственности. 7. Неверные, навязчивые, непристойные, клеветнические, оскорбительные, угрожающие или противозаконные материалы запрещается пересылать по электронной почте или с помощью других средств электронной связи, а также отображать и хранить их на компьютерах компании. Пользователи, заметившие или получившие подобные материалы, должны сразу сообщить об этом инциденте своему руководителю. 8. Все, что создано на компьютере, в том числе сообщения электронной почты и другие электронные документы, может быть проанализировано руководством компании. 9. Пользователям не разрешается устанавливать на компьютерах и в сети компании программное обеспечение без разрешения системного администратора. 10. Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя. 11. Электронная почта от юриста компании или представляющего ее адвоката должна содержать в колонтитуле каждой страницы сообщение: «Защищено адвокатским правом/без разрешения не пересылать». 12. Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов. 13. Запрещается использование без предварительного письменного разрешения компьютерных и телекоммуникационных ресурсов и служб компании для передачи или хранения коммерческих либо личных объявлений, ходатайств, рекламных материалов, политических материалов и любой другой информации, на работу с которой у пользователя нет полномочий или предназначенной для личного использования. 14. Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. Пользователи несут ответственность за все транзакции, которые кто-либо совершит с помощью их пароля. 15. Возможность входа в другие компьютерные системы через сеть не дает пользователям права на подключение к этим системам и на использование их без специального разрешения операторов этих систем. Политика обеспечения безопасности должна быть представлена в форме серьезного печатного документа и должна обязательно включать следующие направления: - оценку риска: идентификацию ценностей, находящиеся в сети, и возможные источники проблем; - ответственность: необходимо указать ответственных за принятие тех или иных мер по обеспечению безопасности; - правила использования сетевых ресурсов: должно быть определено, что пользователи не имеют права употреблять информацию не по назначению и намеренно причинять ущерб сети или информации; - юридические аспекты; - процедуры по восстановлению системы защиты: указать, что должно быть сделано в случае нарушения системы защиты и какие действия будут предприняты против тех, кто стал причиной такого нарушения.
Дата добавления: 2014-01-06; Просмотров: 3257; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |