Элементы политики безопасности информационно-телекоммуникационных технологий организации

 

Политика безопасности ИТТ должна формироваться, исходя из согласованных целей и стратегий безопасности ИТТ организации. Необходимо выработать и сохранять политику безопасности ИТТ, соответствующую законодательству, требованиям регулирующих органов, политике в области бизнеса, безопасности и политике ИТТ.

Чем более организация полагается на ИТТ, тем важнее ее безопасность, которая обеспечивает выполнение бизнес-задач.

В разработке политики безопасности ИТТ организации должны принимать участие представители направлений, связанных с:

- аудитом;

- правом;

- финансами;

- информационными системами (специалисты и пользователи);

- коммунальными службами/инфраструктурой (лица, отвечающие за здания, размещение, электроснабжение и кондиционирование);

- персоналом;

- безопасностью;

- руководством.

Так же перечислено на что должна распространяться политика безопасности ИТТ.

Организации должны оценить свои требования, окружающую среду и уровень развития и определить наиболее отвечающую им специфическую проблему безопасности.

Должен быть назначен ответственный за политику безопасности ИТТ, который должен обеспечивать соответствие политики требованиям и актуальному статусу данной организации.

Организационные аспекты безопасности информационно-телекоммуникационных технологий

 5.1 Служебные обязанности и ответственность

 

Служебные обязанности, подотчетность и ответственность в организации

Эффективная безопасность требует подотчетности, исчерпывающего определения и признания обязанностей в сфере безопасности. Руководство должно отвечать за все аспекты управления безопасностью, включая принятие решений по управлению рисками. Отдельные ее факторы, такие как тип, форма регистрации, размер и структура организации, повлияют на то, на каком уровне будут определены эти обязанности.

В пункте рассмотрен пример организации безопасности информационно-телекоммуникационной системы.

Совет по безопасности информационно-телекоммуникационных технологий

В совет по безопасности ИТТ должны входить люди, обладающие достаточной квалификацией, чтобы давать консультации и рекомендации в отношении стратегий, определять требования, формулировать политику, разрабатывать программу безопасности, проверять их выполнение и руководить администратором безопасности ИТТ. Совет может уже существовать в рамках организации или, что предпочтительнее, может быть создан отдельный совет по безопасности ИТТ. Дальше перечислены обязанности совета.

 

Администратор безопасности информационно-телекоммуникационных технологий

Ответственность за безопасность ИТТ должна быть возложена на конкретного администратора. Администратор безопасности ИТТ должен играть роль центра для всех направлений безопасности ИТТ в рамках организации; тем не менее, администратор безопасности ИТТ может делегировать другому сотруднику некоторые свои полномочия. Такой сотрудник может взять на себя дополнительно обязанности администратора безопасности ИТТ, хотя в средних и крупных организациях рекомендуется организовывать специальную должность. И дальше обязанности администратора.

Администраторы безопасности должны иметь соответствующую подготовку для проведения специальных мероприятий и применения специальных средств защиты.

Пользователи информационно-телекоммуникационных технологий

 

Пользователи ИТТ отвечают за:

- использование ИТТ-ресурсов в соответствии с политикой, директивами и процедурами;

- защиту бизнес-активов в соответствии с политикой, директивами и процедурами безопасности ИТТ.

5.2 Организационные принципы

Обязательства

Для обеспечения безопасности активов организации должны существовать обязательства руководства организации в отношении обеспечения безопасности ИТТ. Дальше Обязательства руководства организации в отношении задач безопасности.

Следует пропагандировать цели безопасности во всей организации. Каждый сотрудник, работающий на постоянной основе или по контракту, должен знать о своих обязанностях, ответственности, о вкладе в безопасность ИТТ и ему должны быть предоставлены полномочия для их достижения.

Последовательный подход

 

Необходим последовательный подход ко всей деятельности по планированию, реализации и управлению безопасностью ИТТ. Безопасность должна быть обеспечена на протяжении всего жизненного цикла информации и ИТТ - от планирования до приобретения, тестирования и эксплуатации.