Формирование политики информационной безопасности

Главная цель организационных мер, предпринимаемых на высшем управленческом уровне — сформировать политику в области обеспечения безопасности информации и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику защиты информации целесообразно разбить на два уровня:

  • политика верхнего уровня (решения руководства, затрагивающие деятельность ОАО «СИБИРЬТЕЛЕКОМ» в целом). Данная политика должна:

o   четко очертить сферы ответственности, подчиненности и взаимодействия между различными структурными подразделениями ОАО «СИБИРЬТЕЛЕКОМ» по вопросам защиты информации;

o   обеспечить нормативную (правовую) базу вопросов безопасности и т.п.

o   на основании анализа рисков, предполагаемой ценности информации и последствий от потери, разглашения и иных противоправных действий, определить, максимальные ресурсы (материальные, персонал и т.п.) которые могут быть затрачены для защиты определенного вида информации;

o   определить основные технические меры и методы защиты информации;

  • политика нижнего уровня определяет меры технико-технологического уровня, указанные в политике верхнего уровня мер, в части внедрения и исполнения. Детализирует (регламентирует) правила достижения целей и решения задач безопасности информации в рамках политики верхнего уровня. В виду большой территориальной распределенности ОАО «СИБИРЬТЕЛЕКОМ», может быть несколько политик технического и технологического уровня разбитых по территориальному признаку. Каждая политика должна:

o   предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;

o   выбирать программно-математические и технические (аппаратные) средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, в рамках технических мер и методов определенных политикой верхнего уровня;

o   найти разумный компромисс между адекватным уровнем безопасности, функциональностью ККС и затратами на создание системы безопасности определенными в политике верхнего уровня.

Ссылка на основную публикацию
Adblock
detector