Политики безопасности компании при работе в Интернет. Сергей Александрович Петренко
и интегрированы между собой;
• своевременности – обеспечение безопасности компании должно позволять своевременно реагировать на угрозы безопасности и парировать их;
• пересмотра – регулирующие документы в области безопасности компании должны периодически пересматриваться и дополняться;
• демократичности – обеспечение безопасности информационных активов компании должно осуществляться в соответствии с принятыми нормами демократии;
• сертификации и аккредитации – информационные системы компании и компания в целом должны быть сертифицированы на соответствие требованиям безопасности. Сотрудники компании, ответственные за организацию режима информационной безопасности, должны быть сертифицированы и внутренними приказами руководства компании допущены к исполнению своих должностных обязанностей;
• парирования злоумышленника – стратегии и тактики обеспечения безопасности, а также соответствующие технические решения должны быть адекватны уровню нападения различного рода злоумышленников;
• наименьших привилегий – сотрудникам компании должны быть предоставлены привилегии, необходимые для выполнения служебных обязанностей, и не более того;
• разделения привилегий – привилегии сотрудников компании должны быть распределены таким образом, чтобы предупредить возможность нанесения ими умышленного или непреднамеренного ущерба критически важным информационным системам компании;
• непрерывности – должна быть обеспечена требуемая непрерывность бизнеса компании в случае чрезвычайных ситуаций;
• простоты – должно быть отдано предпочтение более простым средствам и технологиям обеспечения безопасности.
Простота политики безопасности. Ключ к успеху политики безопасности – ее простота. В связи с тем, что современные информационные технологии, программное обеспечение и оборудование быстро и постоянно совершенствуются и изменяются, политика безопасности должна быть независима от определенных программных и аппаратных решений. В добавление к этому должны быть явно описаны механизмы изменения политики безопасности.
Доведение политики безопасности. После создания политики безопасности она должна быть доведена до сведения сотрудников компании, ее партнеров и клиентов. При этом желательно доводить политику безопасности через подпись, подтверждающую сам факт ознакомления с политикой безопасности, а также означающую, что все требования политики безопасности понятны и их обязуются выполнять.
Пересмотр политики безопасности. Необходимо организовать процесс периодического пересмотра политики безопасности для того, чтобы ее положения не устаревали. В этот процесс должен быть включен механизм внесения изменений. Компания Sun рекомендует создать экспертную группу из сотрудников компании, которые будут нести ответственность за регулярный пересмотр политики безопасности,