Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Толкование политики безопасности

Важно определить, кто будет интерпретировать политику безопасности. Это может быть отдельное лицо или подразделение. Вне зависимости от того, насколько хорошо она написана, политика безопасности время от времени нуждается в разъяснении, а заодно и в пересмотре.

Гласность политики безопасности

Письменный документ с изложением политики должен быть доступен не только руководителям и сотрудникам, ответственным за информационную безопасность, он должен быть доступен всем сотрудникам организации. Более того, обеспечение доступа к документу еще не гарантия его действенности.

После того как положения политики безопасности записаны и одобрены, необходимо начать активный процесс, гарантирующий, что политика воспринята и обсуждена. Почтовую рассылку нельзя признать достаточной мерой. Прежде чем политика вступит в силу, следует отвести время для дискуссий, чтобы все заинтересованные пользователи могли высказать свое мнение и указать на недостатки политики. В идеале политика должна соблюдать баланс между безопасностью и производительностью труда, удобством работы.

Целесообразно провести собрания, чтобы выслушать пожелания пользователей и заодно убедиться в правильном понимании ими предложенной политики. (Творцы политики порой бывают несколько косноязычны.) В собраниях должны участвовать все: от высшего руководства до младших специалистов. Безопасность - забота общая.

Помимо усилий по оглашению политики на начальном этапе, необходимо постоянно напоминать о ней. Опытные пользователи нуждаются в периодических напоминаниях, новичкам ее нужно разъяснять, вводя в курс дела. Прежде чем допускать сотрудника к работе, разумно получить его подпись под свидетельством о том, что он прочитал и понял политику безопасности. В ситуациях, чреватых судебным разбирательством после нарушения политики, бумага с подписью может оказаться весьма кстати.

Организация системы безопасности

 

Управлять информационной безопасностью невозможно без соответствующих структур. Для инициирования и контроля за реализацией информационной безопасности внутри организации должна быть создана определенная структура управления. Она должна включать как штатные, так и внештатные органы управления.


Инфраструктура информационной безопасности

Для согласования политики информационной безопасности, распределения функций, координирования мер безопасности в организации следует проводить совещания руководящих лиц. В случае необходимости, нужно обеспечить возможность получения консультаций специалистов и сделать эту информацию доступной для всех. Для отслеживания основных тенденций в области стандартизации, критериев оценки, а также для определения наиболее подходящих пунктов транспортного соединения в случае инцидентов, затрагивающих проблемы безопасности, должны быть установлены контакты с внешними специалистами по обеспечению безопасности. Следует всячески поощрять многопрофильные подходы к обеспечению информационной безопасности, например, совместную работу аудиторов, пользователей и администраторов в этом направлении.

Совещание руководящих лиц по информационной безопасности

Ответственность за обеспечение информационной безопасности несут все руководящие сотрудники. Следует предусмотреть необходимость проведения совещаний высших руководящих лиц для обеспечения четкого руководства и поддержки инициатив по проведению мероприятий безопасности. В случае отсутствия достаточного количества вопросов для проведения регулярных совещаний по безопасности рекомендуется включать эти вопросы в повестку дня других регулярных совещаний.

Обычно на таких совещаниях рассматриваются следующие вопросы:

• обзор и согласование политики информационной безопасности и распределение ответственности;

• мониторинг основных рисков, которым подвергаются информационные ресурсы;

• анализ инцидентов, затрагивающих проблемы безопасности;

• одобрение основных инициатив и планов по повышению уровня информационной безопасности.

Рекомендуется, чтобы один из руководителей нес основную ответственность за координацию политики информационной безопасности.

Координация информационной безопасности

В крупной организации следует координировать меры информационной безопасности на многопрофильных совещаниях.

На таком совещании в присутствии представителей всех подразделений следует координировать реализацию мер информационной безопасности. Типичными вопросами такого совещания могут быть:

согласование специфических функций и ответственности за информационную безопасность в пределах организации;

согласование определенных методологий и процедур обеспечения информационной безопасности, например, оценки рисков, системы классификации мер безопасности;

согласование и поддержка инициатив в отношении информационной безопасности в пределах организации, например, программы по распространению знаний об информационной безопасности;

обеспечение того, чтобы безопасность стала частью процесса информационного планирования; координация реализации специфических мер информационной безопасности для новых систем или услуг; обеспечение наглядности поддержки мер информационной безопасности в организации.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...