проще поддержать их
выполнение программно-техническими средствами. С другой стороны, слишком
жесткие правила могут мешать работе пользователей, вероятно, их придется часто
пересматривать. Руководству предстоит найти разумный компромисс, когда за
приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники
не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа
к объектам ввиду особой важности данного вопроса.
Программа безопасности
После того, как сформулирована
политика безопасности, можно приступать к составлению программы ее реализации и
собственно к реализации.
Чтобы понять и реализовать
какую-либо программу, ее нужно структурировать по уровням, обычно в
соответствии со структурой организации. В простейшем и самом распространенном
случае достаточно двух уровней — верхнего, или центрального, который охватывает
всю организацию, и нижнего, или служебного, который относится к отдельным
услугам или группам однородных сервисов.
Программу верхнего уровня
возглавляет лицо, отвечающее за информационную безопасность организации. У этой
программы следующие главные цели:
· управление
рисками (оценка рисков, выбор эффективных средств защиты);
· координация
деятельности в области информационной безопасности, пополнение и распределение
ресурсов;
· стратегическое
планирование;
· контроль
деятельности в области информационной безопасности.
В рамках программы верхнего уровня
принимаются стратегические решения по обеспечению безопасности, оцениваются
технологические новинки. Информационные технологии развиваются очень быстро, и
необходимо иметь четкую политику отслеживания и внедрения новых средств.
Контроль деятельности в области
безопасности имеет
двустороннюю направленность. Во-первых, необходимо
гарантировать, что действия организации не противоречат законам. При этом
следует поддерживать контакты с внешними контролирующими организациями.
Во-вторых, нужно постоянно отслеживать состояние безопасности внутри
организации, реагировать на случаи нарушений и дорабатывать защитные меры с
учетом изменения обстановки.
Следует подчеркнуть, что программа
верхнего уровня должна занимать строго определенное место в деятельности
организации, она должна официально
приниматься и поддерживаться руководством, а
также иметь определенный штат и бюджет.
Цель программы нижнего уровня —
обеспечить надежную и экономичную защиту конкретного сервиса или группы
однородных сервисов. На этом уровне решается, какие следует использовать
механизмы защиты; закупаются и устанавливаются технические средства;
выполняется повседневное администрирование; отслеживается состояние слабых мест
и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.
Синхронизация программы безопасности с жизненным
циклом систем
Если синхронизировать программу
безопасности нижнего
Главная / безопасность пк / методы защиты информации 