Налоги России
3.15.7.212, Пятница, 22.11.2024, 00:53
Приветствую Вас Гость | RSS
 
Главная БлогиРегистрацияВход
TaxRu
С днем победы!
Меню сайта
Статистика
Онлайн всего: 297
Гостей: 297
Пользователей: 0

Сегодня были:




РЕКЛАМА

Реклама
Категории раздела
О НАЛОГАХ [11362]
Все о налогах.
Письма [6417]
Нормативные письма в основном по налогам, бухгалтерскому учету и пр.
О НАЛОГАХ "ТАМ" [2420]
Новости о налогах, финансах за рубежом
БУХГАЛТЕРСКИЙ УЧЕТ [683]
Бухучет
ПОЛИТИКА [1278]
Все о политике
ЭКОНОМИКА [3228]
И мировая, и наша. Проблемы и их решения.
ФИНАНСЫ [1132]
БЕЗОПАСНОСТЬ [1299]
Вопросы безопасности частной жизни, организации, регионов, страны.
КРИМИНАЛ [109]
РЕЛИГИЯ [5200]
Все о религиозных течениях, плюсы, минусы, критика.
Афоризмы, притчи [745]
Афоризмы, притчи, рассказы
ПРИРОДА [298]
Интересные статьи про явления природы
ОБ ЭТОМ [63]
Отношения между мужчиной женщиной
ПОЭЗИЯ [61]
Блог специально заведен для моей сестры Анжелы. Но в нем могут размещать материалы все для кого поэзия это состояние души.
БОНУСЫ [30]
Здесь будут размещаться Бонусы рублевые, долларовые и др. Перемещен раздел для более легкого размещения бонусов и возможности писать посетителям отзывы
АФЕРЫ [65]
В этом блоге будут размещаться материалы о сайтах аферистах, желающим размещать материал представить доки, ссылки, краткое объяснение.
Видео [76]
Разное видео разбитое по разделам
ИНФОРПРЕСС [948]
Для размещения статей экономической тематики
Главная » 2010 » Декабрь » 30 » Двенадцать заповедей специалиста по защите информации


11:01
Двенадцать заповедей специалиста по защите информации

Участники Форума по информационной безопасности (ISF), Международного консорциума по сертификации безопасности информационных систем ((ISC)^2) и Ассоциации аудита и контроля информационных систем (ISACA) совместно разработали документ, название которого можно вольно перевести как "Заповеди специалиста по защите информации". Он имеет вид памятки, так что желающие им воспользоваться располагают возможностью вывести документ на печать и расположить в удобном для себя месте.

Перечисленные в документе принципы, которыми должен руководствоваться всякий сотрудник, отвечающий за безопасность данных, сгруппированы в три тематических подраздела и представлены в виде таблицы. Для каждого принципа предложены краткая формулировка, обобщенная цель и детализированное описание.

Предлагаем вам ознакомиться с содержанием этого документа и взглянуть на работу защитника информации с точки зрения западных специалистов.

Часть А: Поддержка бизнеса

ПринципЦельОписание
A1 Бизнес - в фокусе внимания
Убедиться, что при ведении бизнеса соблюдается информационная безопасностьСпециалисты по информационной безопасности должны поддерживать и укреплять отношения с руководителями и наглядно демонстрировать им, что защита информации может успешно дополнять ключевые бизнес-процессы и управление рисками. Необходимо придерживаться рекомендательного подхода, способствуя выполнению целей и задач бизнеса посредством формирования таких указаний и рекомендаций, которые позволят эффективно защищать данные и управлять рисками как в настоящее время, так и в будущем.  
A2 Обеспечение качества и полезности защитыУбедиться, что информационная безопасность соответствует требованиям бизнеса и эффективно работаетСледует постоянно находиться в контакте со всеми потенциально заинтересованными лицами - как в пределах предприятия, так и вне его, - чтобы обеспечивать постоянное соответствие системы безопасности их требованиям и запросам в сфере защиты важных сведений. В конечном счете формирование представлений о ценности и полезности информационной безопасности (причем не только с точки зрения экономики и финансов) может способствовать принятию более корректных решений по поддержанию и усилению защиты информации. 
А3 Соответствие нормам и требованиямУбедиться, что система защиты информации отвечает требованиям законодательства, равно как и ожиданиям заинтересованных лиц, а риск их нарушения минимизированОбязательства и нормы различного рода должны быть проанализированы в полном объеме, преобразованы в набор специфических требований по соблюдению безопасности информации и доведены до сведения всех сотрудников, работающих с конфиденциальными данными. Работники должны четко уяснить, какие санкции будут к ним применены в случае нарушения указанных требований. Также необходимо отслеживать любые изменения норм и правил, в том числе принятие новых либо обновление существующих профильных законов, и приводить систему защиты информации в соответствие новым реалиям.
А4 Точное и своевременное информированиеОбеспечить соответствие требованиям бизнеса и надлежащее управление рискамиНеобходимо четко обозначить правила предоставления информации о функционировании системы защиты и обеспечить использование наиболее релевантных и точных методов измерения отдельных показателей, а также привести как правила, так и методы в соответствие целям и задачам бизнеса. Журналы и протоколы необходимо вести последовательно, строго и постоянно, без каких-либо пробелов и перерывов, дабы точная информация о состоянии системы могла в любой момент быть извлечена и представлена для ознакомления заинтересованным лицам.
А5 Оценка текущих и вероятных будущих угрозПроанализировать и оценить угрозы безопасности информации, дабы имелась возможность вовремя принять все необходимые меры по урегулированию рисковНаиболее крупные течения и тенденции, равно как и конкретные угрозы и риски, необходимо подвергнуть категоризации и представить в виде унифицированной структуры, которая охватывает широкий круг потенциальных проблем - политических, юридических, экономических, социокультурных, технических. Следует постоянно расширять имеющийся у специалиста объем знаний о возможных угрозах, чтобы иметь возможность проактивно воздействовать на их причины, а не реактивно - на следствия.
А6 Постоянное улучшение и обновление системы защитыСнизить затраты, повысить успешность и эффективность системы, пропагандировать культуру непрестанного повышения уровня информационной безопасностиБизнес-модели постоянно подвергаются разнообразным модификациям, что в сочетании с активным развитием и распространением угроз безопасности создает потребность в непрерывном приспособлении приемов и методов защиты информации к изменяющейся среде и в повышении их эффективности. Изучая инциденты и взаимодействуя с независимыми исследовательскими организациями, специалист должен поддерживать и обновлять свою базу знаний о последних достижениях в области обеспечения информационной безопасности.

Часть В. Защита бизнеса

ПринципЦельОписание
В1 Применение рискоцентрического подходаУбедиться, что управление рисками осуществляется последовательно и эффективноРабота с рисками для безопасности информации должна быть организована таким образом, чтобы имелась возможность принимать документированные решения на основании достаточного количества сведений. Для управления рисками специалист вправе задействовать один или несколько различных методов: принятие рисков (т.е., к примеру, кто-либо из менеджеров подписывает документ о согласии с потенциальными рисками и отсутствии потребности в каких-либо последующих действиях), избегание рисков (например, отказ от реализации какой-либо инициативы или потенциально опасного проекта), делегирование рисков (скажем, путем передачи проекта на внешнее исполнение или посредством страхования), и, наконец, урегулирование рисков, которое традиционно ассоциируется с принятием определенных мер безопасности - таких, как установка специализированного программного обеспечения для управления доступом, мониторинга сетевой активности и т.д.
В2 Защита классифицированной информацииПредотвратить попадание конфиденциальной информации либо данных особой важности к неавторизованным лицамИнформацию необходимо проанализировать и классифицировать в соответствии со степенью ее конфиденциальности (например, "секретно", "с ограниченным доступом", "для служебного пользования", "общедоступно"). Классифицированная информация должна надлежащим образом защищаться на всех этапах ее жизненного цикла, начиная от создания и заканчивая уничтожением; для этого следует применять соответствующие контрольные механизмы - например, мандатный контроль или шифрование.
B3 Концентрация на критических бизнес-приложенияхРаспределять дефицитные ресурсы безопасности на основе приоритетности, обеспечивая защитой в первую очередь те бизнес-приложения, успешная атака против которых нанесет наибольший ущербЧтобы определить уровень критичности тех или иных бизнес-приложений, которые задействованы в процессе обработки, хранения и передачи важной информации, необходимо оценить потенциальный ущерб, который будет нанесен бизнесу в случае нарушения целостности и / или доступности этих данных. После этого можно определить требования к ресурсам, выделяемым на обеспечение безопасности, и приоритезировать процесс их распределения, защитив в первую очередь наиболее важные информационные активы.
В4 Разработка изначально защищенных системПостроить качественную, надежную и низкозатратную систему работы с даннымиПри планировании, проектировании, построении и проверке (проще говоря, на всех стадиях жизненного цикла) информационной системы предприятия защита данных должна быть ее краеугольным камнем. Ключевую роль на любом этапе разработки системы должны играть тщательное тестирование на уязвимости, проверка на устойчивость к ошибкам, исключениям и чрезвычайным ситуациям.

Часть С. Ответственное поведение при обеспечении безопасности

ПринципЦельОписание
С1 Профессионализм и этикаУбедиться, что любая деятельность, имеющая отношение к обеспечению информационной безопасности, осуществляется эффективно, надежно и со всей необходимой ответственностьюЗащита информации во многом зависит от способности специалистов и экспертов ответственно выполнять свою миссию и четко осознавать, что от них напрямую зависит безопасность тех данных, на стражу которых они поставлены. Профессионалу в этой области следует быть приверженным самым высоким стандартам качества своей работы, последовательно исполнять обязанности и помнить о морально-этических аспектах деятельности специалиста по защите информации, с уважением относиться к потребностям бизнеса, к сотрудникам предприятия, а также к конфиденциальности вверенных ему сведений.
С2 Формирование культуры "позитивной безопасности"Обеспечить положительное влияние норм безопасности на поведение пользователей, минимизировать риски нарушения политики безопасности, ограничить потенциальный ущерб от их реализацииЗащита информации должна быть обычной, повседневной и в то же время ключевой составной частью деятельности предприятия. Необходимо повышать осведомленность пользователей и в случае необходимости обучать их тем навыкам, которые требуются для защиты важной информации. Сотрудники должны знать, какие риски угрожают тем сведениям, с которыми они работают, и владеть необходимыми полномочиями для успешной защиты от этих угроз.

Оригинал документа доступен здесь
Виктор Аникеенко

Категория: БЕЗОПАСНОСТЬ | Просмотров: 2492 | Добавил: AlIvanof | Теги: безопасность, Информация
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Подписка
Скажи "Спасибо"
Поиск по сайту
QR-код сайта
Безопасность
Налоги России © 2009 - 2024
Индекс цитирования Яндекс.Метрика Рейтинг@Mail.ru