Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

— изложения намерений руководства, поддерживающих цели и принципы ИБ в соответствии со стратегией и целями бизнеса;

— процессов управления изменениями и исключениями.

В худшем случае, политика ИБ должна поддерживаться специализированными политиками, направленными на внедрение управления ИБ и созданными специально для целевых групп внутри организации или выполнения конкретных задач.

Примерами таких задач могут быть:

— управление доступом;

— классификация активов;

— физическая и экологическая безопасность;

— следующие требования к пользователям:

• использование активов;

• чистый стол и чистый экран;

• политика коммуникаций;

• мобильные устройства и удалённая работа;

• ограничения на установку ПО;

— передача информации;

— защита от вредоносного ПО;

— управление техническими уязвимостями;

— управление средствами криптографии;

— безопасность коммуникаций;

— защита персональных данных;

— взаимоотношения с поставщиками.

Эти политики должна быть доведены до сведения персонала в рамках всей организации и сторонних организаций в актуальной, доступной и понятной форме путем проведения инструктажей и тренингов.

Если какие-либо политики ИБ должны применяться за пределами организации, в них не должна содержаться конфиденциальная информация.

В качестве названий политик ИБ могут использоваться такие термины, как стандарт, руководство или правила.

Пересмотр

Меры и средства

Политика ИБ должны быть пересмотрены через запланированные промежутки времени или в случае изменений с целью обеспечения ее постоянной пригодности, адекватности и эффективности.

Рекомендации по реализации

Политика ИБ должна иметь владельца, который утвержден руководством в качестве ответственного за разработку, пересмотр и оценку. Пересмотр заключается в оценке возможностей по улучшению политики ИБ организации и подхода к УИБ в ответ на изменения организационной среды, обстоятельств бизнеса, правовых условий или технической среды.

При пересмотре политики ИБ следует учитывать результаты пересмотров методов управления, для чего должны существовать определенные процедуры, в том числе график или период пересмотра.

<p>2. Организация ИБ</p>

Организацию ИБ определяют следующие составляющие:

— внутренняя организация;

— мобильные устройства и удалённая работа.

2.1. Внутренняя организация

Цель: Создать структуру управления для инициирования и управления внедрением и обеспечением ИБ в организации.

Внутренняя организация сферы ИБ предполагает следующие мероприятия:

— определение ответственности;

— разделение обязанностей;

— контакт с властями;

— контакт со специальными группами.

Определение ответственности

Меры и средства

Все ответственности в поле ИБ должны быть определены и закреплены.

Рекомендации по реализации

Закрепление ответственности должно соответствовать политике ИБ. Ответственности за защиту индивидуальных активов и осуществления процессов ИБ должны быть определены. Ответственности за действия по управлению рисками ИБ и, в частности, принятие остаточного риска должны быть определены. Эти ответственности должны быть дополнительно детализированы, при необходимости, для специфических мест и средств обработки информации.

Ответственные лица могут делегировать некоторые задачи безопасности другим. Впрочем они все равно несут за это ответственность, поэтому должны обеспечить правильное оформление такого делегирования.

Сферы ответственности должны быть зафиксированы.

В частности, необходимо учесть следующее:

— активы и процессы ИБ должны быть идентифицированы и определены;

— личная ответственность за каждый актив и процесс ИБ должна быть обозначена и ее детали задокументированы;

— уровни авторизации должны быть определены и задокументированы;

— назначенные быть ответственными в сфере ИБ должны быть компетентными и в курсе всех событий в этой сфере;

— координация и контроль аспектов ИБ взаимотношений с поставщиками должны быть идентифицированы и задокументированы.

Многие организации назначают отдельного менеджера по ИБ, возлагая на него всю ответственность за разработку и внедрение ИБ и поддержку актуальности мер и средств ИБ. Одной из распространенных практик является назначение владельца каждого актива, отвечающего за его безопасность.

Разделение обязанностей

Меры и средства

Противоречивые обязанности и зоны ответственности должны быть разделены для снижения возможностей несанкционированного изменения или неправильного использования активов организации.

Рекомендации по реализации

Перейти на страницу:

Похожие книги

Веб-аналитика: анализ информации о посетителях веб-сайтов
Веб-аналитика: анализ информации о посетителях веб-сайтов

Компании в веб-пространстве тратят колоссальные средства на веб-аналитику и оптимизацию своих веб-сайтов, которые, в свою очередь, приносят миллиарды долларов дохода. Если вы аналитик или работаете с веб-данными, то эта книга ознакомит вас с новейшими точками зрения на веб-аналитику и то, как с ее помощью сделать вашу компанию весьма успешной в веб. Вы изучите инструментальные средства и показатели, которые можно использовать, но что важнее всего, эта книга ознакомит вас с новыми многочисленными точками зрения на веб-аналитику. Книга содержит много советов, приемов, идей и рекомендаций, которые вы можете взять на вооружение. Изучение веб-аналитики по этой уникальной книге позволит познакомиться с проблемами и возможностями ее современной концепции. Написанная практиком, книга охватывает определения и теории, проливающие свет на сложившееся мнение об этой области, а также предоставляет поэтапное руководство по реализации успешной стратегии веб-аналитики.Эксперт в данной области Авинаш Кошик в присущем ему блестящем стиле разоблачает укоренившиеся мифы и ведет по пути к получению действенного понимания аналитики. Узнайте, как отойти от анализа посещаемости сайта, почему основное внимание следует уделять качественным данным, каковы методы обретения лучшего понимания, которое поможет выработать мировоззрение, ориентированное на мнение клиента, без необходимости жертвовать интересами компании.- Изучите все преимущества и недостатки методов сбора данных.- Выясните, как перестать подсчитывать количество просмотренных страниц, получить лучшее представление о своих клиентах.- Научитесь определять ценность показателей при помощи тройной проверки "Ну и что".- Оптимизируйте организационную структуру и выберите правильный инструмент аналитики.- Изучите и примените передовые аналитические концепции, включая анализ SEM/PPC, сегментацию, показатели переходов и др.- Используйте решения с быстрым началом для блогов и электронной торговли, а также веб-сайтов мелкого бизнеса.- Изучите ключевые компоненты платформы экспериментирования и проверки.- Используйте анализ конкурентной разведки для обретения понимания и принятия мер.Здесь также находятся:- Десять шагов по улучшению веб-аналитики.- Семь шагов по созданию управляемой данными культуры в организации.- Шесть способов замера успеха блога.- Три секрета создания эффективной веб-аналитики.- Десять признаков великого веб-аналитика.

Авинаш Кошик

ОС и Сети, интернет