Интеллектуальные компьютерные технологии защиты информации
Методическое пособие - Компьютеры, программирование
Другие методички по предмету Компьютеры, программирование
я.
1.3.7 Сотрудничество между организациями
Специалистам по информационной безопасности, работающим в организации, следует, по своему усмотрению, наладить контакты с внешними специалистами по безопасности (в данной отрасли или на данной территории). Такое сотрудничество дает возможность использования коллективного опыта в оценке угроз безопасности и способствует распространению полезного опыта в области безопасности, помогая тем самым преодолеть трудности, возникающие во взаимоотношениях между организациями.
Важным представляется и установление соответствующих контактов с правоохранительными органами, провайдерами услуг информационной технологии, а также с организациями, занимающимися предоставлением телекоммуникационных услуг. Это даст возможность быстро войти в контакт с нужными лицами и получить консультацию в случае инцидента, затрагивающего проблемы безопасности.
Обмен информацией по вопросам безопасности должен быть ограничен для обеспечения защиты конфиденциальной информации компании от несанкционированного доступа.
1.3.8 Независимая ревизия состояния информационной безопасности
Документ, определяющий политику информационной безопасности, устанавливает ответственность должностных лиц и направления обеспечения информационной безопасности. Существующая практика обеспечения информационной безопасности должна подвергаться независимой ревизии для получения уверенности в том, что организационные меры действительно соответствуют политике безопасности, и ее проведение является эффективным.
Примечание. Возможным исполнителем такой проверки может быть внутренний аудитор, независимый руководитель высшего звена либо третья сторона, специализирующаяся в осуществлении такого рода исследованиях и экспертизе. Кандидаты на проведение такой работы должны иметь соответствующие навыки и опыт.
1.4 Ответственность субъектов информационной безопасности
Все пользователи КИС несут ответственность за обеспечение их безопасности. Однако форма и объем ответственности зависят от роли конкретного сотрудника и степени его причастности к КИС. Целесообразно рассматривать три широкие категории штатного персонала, а также их функции и ответственность в отношении обеспечения безопасности КИС. Общая (т.е. минимальная) ответственность этих категорий штатного персонала оговорена ниже:
Рядовые сотрудники - все, кто занимаются использованием, эксплуатацией, разработкой или внедрением компьютерных систем. Они ответственны за:
- знание своих обязанностей по обеспечению безопасности КИС и принятие соответствующих действий;
- проявление активной заинтересованности в поддержании безопасности КИС - выявление новыхвидов потенциальных угроз и информирование о них руководителей подразделений;
- знание своих правовых обязанностей и принятие соответствующих действий;
- соблюдение требований, обязательных в масштабе всей организации стандартов;
- соблюдение требований локальных стандартов и инструкций.
Руководители подразделений - сотрудники, уполномоченные администрацией осуществлять ежедневное руководство работой и/или развитием производственных функций и поддерживающих их компьютерных систем. Они ответственны за:
- оценку потенциальных угроз для тех направлений, которыми они руководят;
- разработку соответствующих локальных стандартов и инструкций по обеспечению безопасности КИС и согласование их с администрацией;
- обеспечение выполнения находящимся под их руководством персоналом соответствующих стандартов и инструкций;
- обеспечение надлежащего обучения для администраторов сетей;
- стремление обеспечить достаточное финансирование для нужд безопасности КИС;
- обеспечение регулярного обновления требований безопасности, информационного программного обеспечения и планов действий в экстренных случаях.
Администрация - руководители наиболее высокого ранга. Они ответственны за:
- общую безопасность находящихся в их ведении систем (как владельцы этих систем), включая принятие решений по выдаче разрешений на подключение к своей сети других сетей;
- обеспечение достаточного финансирования для нужд безопасности КИС;
- назначение АДМИНИСТРАТОРОВ БЕЗОПАСНОСТИ КИС для каждого производственного подразделения;
- определение круга основных обязанностей для координаторов по безопасности КИС и обеспечение их обучения в достаточном объеме.
Кроме рассмотренных категорий целесообразно выделить еще две категории:
Администраторы безопасности КИС - сотрудники, назначенные администрацией для обеспечения безопасности определенных ресурсов и распространения знаний по безопасности КИС в отдельных подразделениях. Они ответственны за:
- реализацию правил обеспечения безопасности информационных ресурсов подразделения или функционального комплекса;
- обеспечение администрирования установленных для них средств безопасности;
- обеспечение полной осведомленности среди сотрудников подразделений о важности поддержания безопасности КИС;
- обеспечение информирования всех сотрудников своих подразделений о существовании руководств по безопасности;
- помощь руководителям подразделений в выявлении потенциальных рисков и составлении инструкций для своих подразделений.
Администраторы сетей / системные администрат?/p>