Управление
13 Управление безопасности бизнеса.
Руководство организации должно четко сформулировать требования политики и проявить поддержку требований информационной безопасности путем распространения политики информационной безопасности во всей организации.
Описание политики информационной безопасности
Документ, содержащий описание политики информационной безопасн
ости, должен быть одобрен руководством СМНУ «Калужское», опубликован и, согласно необходимости, распространен среди всех сотрудников данной организации. Этот документ должен выражать поддержку руководства компании и определять подход к управлению информационной безопасностью, который будет применяться в организации. Как минимум, данный документ должен включать следующие сведения:
· определение информационной безопасности, ее общие цели и область действия, а также сведения о важности безопасности в качестве механизма, делающего возможным совместное использование информации ;
· заявление о намерениях руководства, освещающее цели и принципы управления информационной безопасностью;
· краткое описание политики безопасности, принципов, стандартов и нормативных требований, имеющих определенное значение для организации, например:
-соответствие требованиям законодательства и условиям контрактов;
-требования к образовательной подготовке в области безопасности;
-защита от вирусов и других злонамеренных программ;
-поддержка непрерывности бизнеса;
-последствия нарушения политики безопасности;
· определение общих и частных обязанностей по управлению информационной безопасностью, в том числе предоставление сведений об инцидентах;
· ссылки на документацию, которая может дополнять описание политики, например, более подробные описания политик и инструкций для конкретных информационных систем или правила безопасности, которые должны соблюдаться пользователями.
Данное описание политики распространено среди пользователей во всей организации в подходящем и удобочитаемом для них виде.
В СМНУ «Калужское есть сотрудник, отвечающий за поддержку политики и ее обновление согласно принятой процедуре обновления. Данная процедура должна гарантировать пересмотр политики в ответ на любые изменения, влияющие на основу исходной оценки рисков – например, крупные инциденты, связанные с безопасностью, новые уязвимости или изменения в организационной или технической инфраструктуре. Кроме того, создан график периодической переоценки следующих критериев:
· эффективность политики, демонстрируемая на основе типов, количества и ущерба от зарегистрированных инцидентов;
· стоимость и воздействие мер безопасности на эффективность деятельности организации;
· воздействие технологических изменений.
В СМНУ «Калужское» налажены контакты со специалистами в области безопасности вне компании, чтобы не отставать от развития данной отрасли, следить за стандартами и методами оценки и находить подходящие точки соприкосновения при реакции на инциденты. За все задачи, связанные с безопасностью, несёт ответственность один руководитель.
Также в СМНУ «Калужское» обеспечивается безопасность доступа к средствам обработки информации и информационным ресурсам организации со стороны внешних пользователей. Доступ посторонних к принадлежащим организации средствам обработки информации в СМНУ «Калужское» строго контролируется.
Тип доступа, предоставляемого сторонней организации, имеет особую важность. Например, риски при доступе через сетевое соединение отличаются от рисков при физическом доступе. Следует рассмотреть следующие типы доступа:
· физический доступ – например, доступ к помещениям, компьютерным залам, шкафам с документацией;
· логический доступ – например, доступ к базам данных и информационным системам организации.
Приведу некоторые примеры ресурсов, связанных с информационными системами в СМНУ «Калужское»:
· информационные ресурсы: базы данных и файлы данных, системная документация, руководства пользователей, учебные материалы, инструкции по эксплуатации и обслуживанию, планы действий по устранению неисправностей, планы обеспечения непрерывности бизнеса, архивированная информация;
· программные ресурсы: прикладное программное обеспечение, системное программное обеспечение, средства разработки и утилиты;
· физические ресурсы: компьютерное оборудование (системные блоки, мониторы, переносные компьютеры, модемы), коммуникационное оборудование (офисные АТС, факсимильные аппараты, автоответчики), магнитные носители (ленты и диски), другое оборудование (источники питания, кондиционеры), мебель, помещения;
· сервисы: компьютерные и коммуникационные службы, коммунальные услуги, например, отопление, освещение, электроэнергия, кондиционирование воздуха.
Безопасность бизнеса заключается в страховании машин, сотрудников (работников стройки), техники, банковских операций.
Также к безопасности бизнеса можно отнести дублирование и кодирование информации на компьютерах и электронных носителях.
Уровень доступа к информации строго ограничен.
Некоторые виды информации, особенно финансовой, требуют защиты от несанкционированного доступа.
Скачать реферат