Главная цель организационных мер, предпринимаемых на высшем управленческом уровне — сформировать политику в области обеспечения безопасности информации и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
С практической точки зрения политику защиты информации целесообразно разбить на два уровня:
- политика верхнего уровня (решения руководства, затрагивающие деятельность ОАО «СИБИРЬТЕЛЕКОМ» в целом). Данная политика должна:
o четко очертить сферы ответственности, подчиненности и взаимодействия между различными структурными подразделениями ОАО «СИБИРЬТЕЛЕКОМ» по вопросам защиты информации;
o обеспечить нормативную (правовую) базу вопросов безопасности и т.п.
o на основании анализа рисков, предполагаемой ценности информации и последствий от потери, разглашения и иных противоправных действий, определить, максимальные ресурсы (материальные, персонал и т.п.) которые могут быть затрачены для защиты определенного вида информации;
o определить основные технические меры и методы защиты информации;
- политика нижнего уровня определяет меры технико-технологического уровня, указанные в политике верхнего уровня мер, в части внедрения и исполнения. Детализирует (регламентирует) правила достижения целей и решения задач безопасности информации в рамках политики верхнего уровня. В виду большой территориальной распределенности ОАО «СИБИРЬТЕЛЕКОМ», может быть несколько политик технического и технологического уровня разбитых по территориальному признаку. Каждая политика должна:
o предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;
o выбирать программно-математические и технические (аппаратные) средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, в рамках технических мер и методов определенных политикой верхнего уровня;
o найти разумный компромисс между адекватным уровнем безопасности, функциональностью ККС и затратами на создание системы безопасности определенными в политике верхнего уровня.