Резюме
Для успеха программы защиты информации поддержка руководства имеет решающее значение. Наряду с заявленной поддержкой должна быть и ответственность за успешное проведение в жизнь этой программы. Особое значение мы придаем назначению ответственных руководителей и роли того персонала, кто реализует административные меры внедрения правил безопасности. Программа безопасности будет иметь успех, если персонал и руководители будут хорошо знать свои функции и будут готовыми к решительным действиям. А этого можно добиться только в том случае, если каждый будет хорошо знать правила безопасности, пройдя полный курс по программе изучения информационной безопасности.
- Обязанности руководства.
- Участие и поддержка Комитета по управлению информационной безопасностью.
- Право на информацию включает распределение обязанностей по управлению информационными активами: назначаются ответственные за информацию, которые классифицируют информацию по степени ее важности и допускают отклонения в ее обработке от общепринятой практики.
- Разработка и согласование с руководством планов зашиты информации.
- Роль отдела информационной безопасности.
- Правилами должно быть установлено, что отдел информационной безопасности полностью отвечает за внедрение и сопровождение в организации правил информационной безопасности, а также стандартов, инструкций и процедур.
- Этот отдел отвечает за обучение, использование административных мер и покровительство со стороны руководства.
- При привлечении сторонних организаций или консультантов по информационной безопасности отдел обеспечивает их работу по инструкциям, принятым для работы собственным отделом информационной безопасности.
- Прочие аспекты защиты информации.
- Что касается внедрения информационной безопасности в бизнес-процесс, необходимо распределить обязанности и ответственность за управление активами компании, координировать деятельность каждого, включая ответственных за информацию и материально-ответственных лиц.
- Назначить администратора безопасности для всех многопользовательских систем, а в каждом подразделении выделить посредника по информационной безопасности.
- Определить ответственных за безопасность обмена информацией со сторонними организациями в реальном времени.
- Принять меры для судебного пересмотра платежей по закупкам и продажам, проведенным с нарушениями закона.
- Включить положения об ответственности за соблюдение норм безопасности в должностные инструкции и в договоры со сторонними организациями, и следить за их соблюдением.
- Что касается аудита и контроля, то ключевую роль занимает включенный в бизнес-процесс внутренний аудит средств управления информационными системами.
- Право на информацию и ответственность за ее сохранность.
- При распределении прав на информацию отдел информационных систем не назначается ответственным за информацию за исключением той информации, с которой он непосредственно работает. Распределение прав на информацию должно быть проведено только после инвентаризации верхнего уровня информационных активов. Должен быть назначен, по крайней мере, один ответственный за каждый из основных типов информации.
- К распределению обязанностей по обеспечению безопасности информационных активов относится и определение дозволенных средств управления и методов администрирования этих средств. Необходимо иметь инструкции для предоставления и лишения прав доступа к информационным активам компании, а также для восстановления информации в случае ее потери.
- Понятия управления безопасностью и применения закона.
- Знать и сознательно соблюдать законы и правила в пределах своих юридических прав.
- Соблюдать правила сбора улик и обеспечить юридические гарантии принятия их судом.
- Предварительно планировать взаимодействие компании с органами правосудия и прокуратурой, чтобы на этой основе обрабатывать данные и проводить расследование в случае совершения преступления.
- Обучение и поддержка информационной безопасности.
- Обучаться должны все работники, имеющие доступ к компьютерам и сетям компании. Служащие должны подписать обязательства с требованиями пройти обучение, а также иметь на руках документ, подтверждающий прохождение курса обучения.
- Руководство должно выделить время на обучение и способствовать его проведению.
- Обучение должно отвечать требованиям политики безопасности.