Политики безопасности компании при работе в Интернет. Сергей Александрович Петренко
Чтение книги онлайн.
Читать онлайн книгу Политики безопасности компании при работе в Интернет - Сергей Александрович Петренко страница 26
управление информационной безопасностью;
Необходимо четко представлять, что только одна компонента корпоративной системы защиты информации (пусть даже самая важная) не обеспечит приемлемую безопасность информационных активов компании. Политики безопасности будут эффективны только в контексте целостной архитектуры безопасности, то есть все системы контроля доступа, межсетевые экраны, криптосистемы, системы управления ключами и другие средства защиты информации должны работать как единое целое.
обоснованное доверие.
Доверие – основа всех деклараций безопасности компании. Для доверия нужно понимать и принимать основные положения политики безопасности и обладать уверенностью в том, что они отвечают заявленным ожиданиям руководства компании.
Принципы безопасности. Формулирование принципов обеспечения информационной безопасности является первым важным шагом при разработке политики безопасности, так как они определяют сущность организации режима информационной безопасности компании. К ним относятся принципы:
• ответственности – ответственность за обеспечение безопасности информационных систем компании должна быть явно определена;
• ознакомления – собственники информации, пользователи информационных систем, а также клиенты и партнеры по бизнесу должны быть проинформированы о правилах утвержденной политики безопасности компании, а также о степени ответственности при работе с конфиденциальной информацией компании;
• этики – обеспечение информационной безопасности компании должно осуществляться в соответствии со стандартами этики, применимыми к деятельности компании;
• комплексности – политики, стандарты, практики и процедуры безопасности должны охватывать все уровни обеспечения безопасности: нормативно-методический, экономический, технологический, технический и организационно-управленческий;
• экономической оправданности – обеспечение безопасности компании должно быть экономически оправданным;
• интеграции – политики, стандарты, практики и процедуры безопасности должны быть скоординированы и интегрированы между собой;
• своевременности – обеспечение безопасности компании должно позволять своевременно реагировать на угрозы безопасности и парировать их;
• пересмотра – регулирующие документы в области безопасности компании должны периодически пересматриваться и дополняться;
• демократичности – обеспечение безопасности информационных активов компании должно осуществляться в соответствии с принятыми нормами демократии;
• сертификации и аккредитации – информационные системы компании и компания в целом должны быть сертифицированы на соответствие