Информационная безопасность. Макаренко С.И. - 94 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

94
- формулировка административных решений по тем вопросам
реализации программы безопасности, которые должны
рассматриваться на уровне организации в целом.
На верхний уровень выносится управление защитными ресурсами и
координация использования этих ресурсов, выделение специального
персонала для защиты критически важных систем и взаимодействие с
другими организациями, обеспечивающими или контролирующими режим
безопасности.
Политика верхнего уровня имеет дело с тремя аспектами
законопослушности и исполнительской дисциплины.
- Во-первых, организация должна соблюдать существующие законы.
- Во-вторых, следует контролировать действия лиц, ответственных за
выработку программы безопасности.
- Наконец, необходимо обеспечить определенную степень
исполнительности персонала, а для этого нужно выработать систему
поощрений и наказаний.
2. Средний уровень. К данному уровню можно отнести вопросы,
касающиеся отдельных аспектов информационной безопасности, но
важные для различных эксплуатируемых организацией систем. Политика
среднего уровня должна для каждого аспекта освещать следующие темы:
- Описание аспекта. Например, если рассмотреть применение
пользователями неофициального программного обеспечения,
последнее можно определить как ПО, которое не было одобрено
и/или закуплено на уровне организации.
- Область применения. Следует определить, где, когда, как, по
отношению к кому и чему применяется данная политика
безопасности. Например, касается ли политика, связанная с
использованием неофициального программного обеспечения,
организацийубподрядчиков? Затрагивает ли она сотрудников,
пользующихся портативными и домашними компьютерами и
вынужденных переносить информацию на производственные
машины?
- Позиция организации по данному аспекту. Продолжая пример с
неофициальным программным обеспечением, можно представить
себе позиции полного запрета, выработки процедуры приемки
подобного ПО и т.п. Позиция может быть сформулирована и в
гораздо более общем виде, как набор целей, которые преследует
организация в данном аспекте.
- Роли и обязанности. Например, если для использования
неофициального программного обеспечения сотрудникам требуется
разрешение руководства, должно быть известно, у кого и как его
можно получить. Если неофициальное программное обеспечение 
      - формулировка административных решений по тем вопросам
        реализации    программы      безопасности,    которые    должны
        рассматриваться на уровне организации в целом.
     На верхний уровень выносится управление защитными ресурсами и
координация использования этих ресурсов, выделение специального
персонала для защиты критически важных систем и взаимодействие с
другими организациями, обеспечивающими или контролирующими режим
безопасности.
     Политика верхнего уровня имеет дело с тремя аспектами
законопослушности и исполнительской дисциплины.
      - Во-первых, организация должна соблюдать существующие законы.
      - Во-вторых, следует контролировать действия лиц, ответственных за
        выработку программы безопасности.
      - Наконец,    необходимо     обеспечить    определенную    степень
        исполнительности персонала, а для этого нужно выработать систему
        поощрений и наказаний.

    2. Средний уровень. К данному уровню можно отнести вопросы,
касающиеся отдельных аспектов информационной безопасности, но
важные для различных эксплуатируемых организацией систем. Политика
среднего уровня должна для каждого аспекта освещать следующие темы:
     - Описание аспекта. Например, если рассмотреть применение
        пользователями неофициального программного обеспечения,
        последнее можно определить как ПО, которое не было одобрено
        и/или закуплено на уровне организации.
     - Область применения. Следует определить, где, когда, как, по
        отношению к кому и чему применяется данная политика
        безопасности. Например, касается ли политика, связанная с
        использованием неофициального программного обеспечения,
        организаций-субподрядчиков? Затрагивает ли она сотрудников,
        пользующихся портативными и домашними компьютерами и
        вынужденных переносить информацию на производственные
        машины?
     - Позиция организации по данному аспекту. Продолжая пример с
        неофициальным программным обеспечением, можно представить
        себе позиции полного запрета, выработки процедуры приемки
        подобного ПО и т.п. Позиция может быть сформулирована и в
        гораздо более общем виде, как набор целей, которые преследует
        организация в данном аспекте.
     - Роли и обязанности. Например, если для использования
        неофициального программного обеспечения сотрудникам требуется
        разрешение руководства, должно быть известно, у кого и как его
        можно получить. Если неофициальное программное обеспечение



                                   94

Страницы