Основные требования, предъявляемые к политике безопасности

Цель: гарантировать использование по назначению PC и телекоммуникационных ресурсов копании ее сотрудниками, подрядчиками и др. пользователями.

Политика безопасности – совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает состояние защищённости информации в заданном пространстве угроз.

Формируя политику обеспечения безопасности, администратор, прежде всего, проводит инвентаризацию ресурсов, защита которых планируется; идентифицирует пользователей, которым требуется доступ к каждому из этих ресурсов и выясняет наиболее вероятные источники опасности для каждого из этих ресурсов. Политика безопасности должны быть представлена в форме серьезного печатного документа.

Политика обеспечения безопасности включает несколько элементов, в том числе следующие:

• Оценка риска – идентификация ценностей, находящихся в сети и возможные источники проблем.

• Ответственность – необходимо указать ответственных за принятие тех или иных мер по обеспечению безопасности, начиная от утверждения новых учетных записей и заканчивая расследованием нарушений.

• Правила использования сетевых ресурсов – в политике должно быть сказано, что пользователи не имеют права употреблять информацию не по назначению, использовать сеть в личных целях, а также намеренно причинять ущерб сети или размещенной в ней информации

• Юридические аспекты – необходимо проконсультироваться с юристом и выяснить все вопросы, которые могут иметь отношение к хранящейся или генерируемой в сети информации и включить эти сведения в документы по обеспечению безопасности

• Процедуры по восстановлению системы защиты – следует указать, что должно быть сделано в случае нарушения системы защиты и какие действия будут предприняты против тех, кто стал причиной нарушения