Лекции по информационной безопасности.

должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт ВS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

·      вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

·      организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

·      классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

·      штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информаци­онной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безо­пасности и т.п.);

·      раздел, освещающий вопросы физической защиты;

·      управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

·      раздел, описывающий правила разграничения доступа к произ­водственной информации;

·      раздел, характеризующий порядок разработки и сопровожде­ния систем;

·      раздел, описывающий меры, направленные на обеспечение не­прерывной работы организации;

·      юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов — отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних

угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения,

последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами