Важную роль играют Стандарты на программные, аппаратные и программно-аппаратные средства защиты. В них фиксируются применяемые типы и конфигурации оборудования, производители, требования к функциональности этих средств для решения конкретных задач обеспечения безопасности. Тактический уровень обеспечивают стандарты анализа рисков и управления информационными рисками.
Методологии, представляющие методы и средства для реализации отдельных видов деятельности (например, проведение аналитических исследований средств обеспечения ИБ с целью обоснования их выбора; обработки статистических данных о событиях и инцидентах безопасности), играют важную роль в обеспечении тактического уровня управления. В частности к таковым относятся методологии классификации данных по степени конфиденциальности и методология анализа информационных рисков.
Процедуры применения политик ИБ по отдельным направлениям деятельности (например, использования электронной почты и др.) развивают и уточняют те положения Политики ИБ. которые имеют к ней прямое отношение, вводят ограничения на некоторые технические параметры (например, допустимый объем почтового ящика пользователя, максимальный объем почтового сообщения), прописывают роли и ответственность пользователей и подразделений ИТ и ИБ. В процедурах устанавливается связь с другими документами (Политика ИБ. Стандарты и др.) где первично декларированы те или иные положения, ограничения и принципы, регулируемые процедурами.
Инструкции, определяющие порядок действий администраторов безопасности по настройке оборудования безопасности, по организации и реализации мониторинга состояния защищенности, выявлению и устранению уязвимостей, ведению журналов, позволяющих выявлять инциденты безопасности, по необходимым действиям и применению тех или иных средств безопасности в различных ситуациях, составляют еще одну группу документов тактического уровня управления. Сюда же относятся инструкции, регламентирующие действия пользователей в отношении соблюдения режима безопасности при использовании ими информационных систем.
На уровне операционного управления действуют Стандарты на применяемые средства защиты, в части, определяющей какие параметры и как именно (конкретные значения) должны быть настроены, чтобы удовлетворить требованиям безопасности. Стандартизуется не только настройка параметров специализированных средств
безопасности, но и параметры безопасности общесистемного программного обеспечения.
Регламенты, определяют порядок проведения отдельных видов работ. связанных с обеспечением безопасности, временные рамки выполнения отдельных действий, состав и роли участвующих специалистов, формы и шаблоны представления результатов деятельности с указанием кому они адресованы для принятия решений.
Инструкции для пользователей и администраторов безопасности, системных администраторов и других ИТ специалистов содержат описания конкретных действий, которые необходимо выполнить при использовании ИС и отдельных приложений, настройке параметров безопасности, при проверке правильности функционирования программно-аппаратных средств ИТ и ИБ, при их эксплуатации в штатном режиме, при проведении профилактических работ и т.д.
3.3 Политика Информационной Безопасности
Сложность разработки этого документа заключается в следующем. Он должен быть кратким и понятным широкому кругу специалистов компании, которые по роду своей деятельности могут иметь весьма общее или даже смутное представление о проблемах безопасности. В то же время в Политике ИБ должны найти отражение основополагающие принципы и положения, в максимальной степени отражающие понимание компанией важности обеспечения безопасности и ее озабоченность этими вопросам. Они должны быть такими, чтобы придать поступательное движение в обеспечении информационной безопасности не только на ближайшую, по и как минимум среднесрочную перспективу.
Согласно рекомендациям международных стандартов структура Политики ИБ может быть представлена следующим образом:
1. Термины и определения
2. Введение
3. Цель Политики ИБ
4. Область действия Политики ИБ
5. Положения Политики ИБ
6. Роли и ответственность
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.