Навигация
Пример управленческой политики организации
43905
знаков
1
таблица
0
изображений
3. Пример управленческой политики организации
В предыдущем разделе я показал как нужно разрабатывать, внедрять и сопровождать политики безопасности. Далее я приведу пример управленческой политики в виде ролей и обязанностей персонала, который непосредственно связан с ИБ.
Роли и обязанности (общие положения)
Детально их обязанности будут описаны ниже.
― Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с пользователями.
― Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
― Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, что их защита построена в соответствии с общей политикой безопасности.
― Пользователи обязаны использовать локальную сеть в соответствии с политикой безопасности; подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.
Роли и обязанности (детальное изложение)
Руководители подразделений обязаны:
― Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.
― Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.
― Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем.
― Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу; увольнение и т. п.).
― Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за его безопасность и имеющего достаточную квалификацию для выполнения этой роли.
Администраторы локальной сети обязаны:
― Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.
― Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.
― Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.
― Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.
― Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.
Пользователи обязаны:
― Знать и соблюдать законы, правила, принятые в нормативных документах, политику безопасности, процедуры безопасности.
― Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.
― Использовать механизм защиты файлов и должным образом задавать права доступа.
― Выбирать хорошие пароли; регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам (стратегически важным решением будет разработка отдельной политики управления паролями, руководствуясь которой пользователи бы выбирали свои пароли).
― Помогать другим пользователям соблюдать меры безопасности. Указывать им на замеченные упущения с их стороны.
― Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.
― Не использовать слабости в защите сервисов и локальной сети в целом.
― Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.
― Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.
― Обеспечивать резервное копирование информации с жесткого диска своего компьютера.
― Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут использоваться.
― Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.
― Знать слабости, которые используются для неавторизованного доступа.
― Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.
― Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий [1].
Заключение
Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации. Для того чтобы ПБ оставалась эффективной, необходимо осуществлять непрерывный контроль ее исполнения, повышать осведомленность сотрудников организации в вопросах ИБ и обучать их выполнению правил, предписываемых ПБ. Регулярный пересмотр и корректировка правил ПБ необходимы для поддержания ее в актуальном состоянии.
Разработка и внедрение ПБ в организации – процесс коллективного творчества, в котором должны участвовать представители всех подразделений, затрагиваемых производимыми изменениями. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ. Этот специалист координирует деятельность рабочей группы по разработке и внедрению ПБ на протяжении всего жизненного цикла, включающего в себя проведение аудита безопасности, разработку, согласование, внедрение, обучение, контроль исполнения, пересмотр и корректировку ПБ.
Для разработки эффективной ПБ, помимо профессионального опыта, знания нормативной базы в области ИБ и писательского таланта, необходимо также учитывать основные факторы, влияющие на эффективность ПБ, и следовать основным принципам разработки ПБ, к числу которых относятся: минимизация влияния на производительность труда, непрерывность обучения, контроль и реагирование на нарушения безопасности, поддержка руководства организации и постоянное совершенствование ПБ [6].
Литература
1. Кирсанов К.А., Малявина А.В., Попов Н.В. «Информационная безопасность: Учебное пособие». – М.:МАЭП, ИИК «Калита», 2000.
2. http://www.securitylab.ru/
3. http://www.rcb.ru/
4. http://www.cnews.ru/
5. http://www.bezpeka.com/ - Украинский Информационный Центр Безопасности
6. http://www.globaltrust.ru/
7. http://www.citforum.ru/
8. http://www.crime-research.ru/ - Центр исследования проблем компьютерной преступности
9. Зайцев Л.Г., Соколова М.И. Стратегический менеджмент: Учебник. – М.: Юристъ, 2002.
Похожие работы
... информации в обществе // Вестник МГУ. - Сер.10. - 1995. - №2; Средства массовой информации постсоветской России. - М, 2002; 24. Бусленко Н.И. Политико-правовые основы обеспечения информационной безопасности Российской Федерации в условиях демократических реформ. - Дисс. … д-ра полит. наук. - Ростов на Дону, 2003; 25. Информационная безопасность российского государства: социально-политические и ...
... основа деятельности; системность. [3] Нам представляется, что эти принципы могут быть дополнены. Во-первых, принципом непрерывности, который предполагает, что функционирование комплексной системы обеспечения экономической безопасности предприятия должно осуществляться постоянно. Во-вторых, принципом обязательной дифференциацией мер. Имеется в виду, что выбор мер по преодолению возникших угроз ...
... ; создание правовой базы для функционирования в Российской Федерации системы региональных центров обеспечения информационной безопасности; правовое регулирование развития негосударственного компонента в формировании информационного общества и обеспечении информационной безопасности Российской Федерации. §2.2 Направления развития законодательства Не перечисляя принятые законы и другие ...
... предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений; · создание и формирование целенаправленной политики безопасности информации предприятия. 2.3 Мероприятия и средства по совершенствованию системы информационной безопасности Для выполнения поставленных целей и решению задач необходимо провести мероприятия на уровнях информационной безопасности. ...
0 комментариев