Сергей Александрович Петренко

Политики безопасности компании при работе в Интернет


Скачать книгу

и интегрированы между собой;

      • своевременности – обеспечение безопасности компании должно позволять своевременно реагировать на угрозы безопасности и парировать их;

      • пересмотра – регулирующие документы в области безопасности компании должны периодически пересматриваться и дополняться;

      • демократичности – обеспечение безопасности информационных активов компании должно осуществляться в соответствии с принятыми нормами демократии;

      • сертификации и аккредитации – информационные системы компании и компания в целом должны быть сертифицированы на соответствие требованиям безопасности. Сотрудники компании, ответственные за организацию режима информационной безопасности, должны быть сертифицированы и внутренними приказами руководства компании допущены к исполнению своих должностных обязанностей;

      • парирования злоумышленника – стратегии и тактики обеспечения безопасности, а также соответствующие технические решения должны быть адекватны уровню нападения различного рода злоумышленников;

      • наименьших привилегий – сотрудникам компании должны быть предоставлены привилегии, необходимые для выполнения служебных обязанностей, и не более того;

      • разделения привилегий – привилегии сотрудников компании должны быть распределены таким образом, чтобы предупредить возможность нанесения ими умышленного или непреднамеренного ущерба критически важным информационным системам компании;

      • непрерывности – должна быть обеспечена требуемая непрерывность бизнеса компании в случае чрезвычайных ситуаций;

      • простоты – должно быть отдано предпочтение более простым средствам и технологиям обеспечения безопасности.

      Простота политики безопасности. Ключ к успеху политики безопасности – ее простота. В связи с тем, что современные информационные технологии, программное обеспечение и оборудование быстро и постоянно совершенствуются и изменяются, политика безопасности должна быть независима от определенных программных и аппаратных решений. В добавление к этому должны быть явно описаны механизмы изменения политики безопасности.

      Доведение политики безопасности. После создания политики безопасности она должна быть доведена до сведения сотрудников компании, ее партнеров и клиентов. При этом желательно доводить политику безопасности через подпись, подтверждающую сам факт ознакомления с политикой безопасности, а также означающую, что все требования политики безопасности понятны и их обязуются выполнять.

      Пересмотр политики безопасности. Необходимо организовать процесс периодического пересмотра политики безопасности для того, чтобы ее положения не устаревали. В этот процесс должен быть включен механизм внесения изменений. Компания Sun рекомендует создать экспертную группу из сотрудников компании, которые будут нести ответственность за регулярный пересмотр политики безопасности,