ISMS

© Христо Тужаров,  

април 2009

 

ПОЛИТИКА НА ИНФОРМАЦИОННА СИГУРНОСТ

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

ПОЛИТИКА НА ИНФОРМАЦИОННА СИГУРНОСТ

СТРУКТУРА НА ПОЛИТИКАТА ЗА СИГУРНОСТ

ТРИСЛОЕН МОДЕЛ НА ПОЛИТИКАТА

СЪДЪРЖАНИЕ НА ПОЛИТИКАТА ЗА СИГУРНОСТ

 ПРОЦЕДУРИ ЗА РЕАЛИЗИРАНЕ НА ПОЛИТИКАТА

Политика на информационна сигурност

Политикта на сигурност се изгражда на база анализ на рисковете, които са реални за информационната система.

 

След анализ на риска се разработва стратегия на защита и съответна програма за осигуряване на информационната сигурност.

 

За тази програма се заделят ресурси, определят се отговорници, реда за контрол, времето за изпълнение и т.н.

 

 

Политика на информационна сигурност

 

 

        Политика на сигурност (security policy)

Съвкупност от документирани решения, приети от ръководството на организацията и насочени към защита на информацията и асоциираните с нея ресурси.

 

        Политика на сигурност на организацията ( organizational security policies)

Съвкупност от ръководящи принципи, правила и процедури в областта на сигурността, които регулират управлението, защитата и разпределението на ценната информация.

 

        Адекватна политика на сигурност

Осигурява достатъчно ниво на защита на системата, като минимизира загубите до допустими значения.

 

       Политиката на сигурност зависи от:

Необходимост  от политика за сигурност

  • Определя какво може и какво не може;

  • Помага за определяне на средствата и процедурите за осигуряване сигурността на системата;

  • Предоставя основата за реализиране защитата на системата;

  • Позволява достигане договореност между служителите, приемащи ключови решения, както и за описване областите на отговорност между потребителите и администраторите.

  • Определя регламент са носене на отговорност при нарушаване на зададените правила или допускане на грешки.

  • Създава основа за предприемане на юридически действия.

Обхват на политиката за сигурност

 

 

Обхват на политиката за сигурност

 

 

Цел на политиката за сигурност

 

Да формулира и обезпечи поддръжка на подходи и сродства в областта на информационната сигурност от страна на ръководствотона организацията.

 

       Основни характеристики на политиката за сигурност  :

  • Дефинира мястото на политиката за сигурност по отношение на мисията и целите на организацията

  • Установява в организацията общи правила за поведение съобразени с необходимото ниво на сигурност

  • Предоставя рамка за разработка и внедряване на процедури

  • Определя общи правила за действие при нарушаване на сигурността

         Изисквания към политиката за сигурност

  • Да има ясен ангажимент от страна на висшето ръководство

  • Целите и дейностите по сигурността трябва да бъдат базирани на бизнес цели и изисквания

  • Да има ясно виждане относно рисковете за сигурността на активите и нивото на сигурност в организацията

  • Да мотивира всички мениджъри и служители да спазват изискванията за сигурност

  • Да дава насоки за прилагане на политиката  за сигурност на всички служители и външни изпълнители

         Критични фактори за успех:

  • Ръководещите за организацията принципи;

  • Съотношението на поставените цели;

  • Наличните ресурси.

          Ефективността на политиката зависи от това доколко:

  • Разработчиците на политиката  са разбрали смисъла на компромисите, които трябва да направят;

  • Политиката не противоречи на другите ръководни документи.

Компоненти на политиката за сигурност :

  • Общи принципи - определят подхода към сигурността.

  • Конкретни правила за работа - определят това, което е разрешено и това което е забранено. Правилата могат да се  допълнят с конкретни процедури и различни ръководства.

  • Технически подход - анализ, който подпомага изпълнението на принципите и правилата.

         Процес на реализиране политиката за сигурност

 

  • Разработка на политиката за сигурност;

  • Внедряване политиката за сигурност;

  • Мониторинг на системата;

  • Тестване;

  • Актуализиране и промени в политиката.