Лекции по информационной безопасности


         

в сферу влияния включаются лишь


Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт ВS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

  • вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;


  • организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;


  • классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;


  • штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информаци­онной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безо­пасности и т.п.);


  • раздел, освещающий вопросы физической защиты;


  • управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;


  • раздел, описывающий правила разграничения доступа к произ­водственной информации;


  • раздел, характеризующий порядок разработки и сопровожде­ния систем;


  • раздел, описывающий меры, направленные на обеспечение не­прерывной работы организации;



  • Содержание  Назад  Вперед