изисквания за обработка на информацията, които организацията разработва за да поддържа дейността си

28 28
Фиг. 2: Концепция за сигурност и защита на информацията

29 29
Концепцията насочва вниманието към факторите за гарантирането на
информационната сигурност
Съответно, опитът показва, че успешното гарантиране на сигурността на информацията в дадена организация зависи от:
• спецификата на политиката за сигурност, нейните цели и дейности, върху целите на организацията;
• съвместимост между избраната концептуална рамка и подход за реализиране, поддържане, наблюдаване и подобряване на сигурността на информацията и организационната култура;
• наличието на поддръжка и ангажимент за гарантирането на информационната сигурност на всички нива на управление;
• добро разбиране на изискванията за сигурност на информацията, оценката и управлението на риска;
• ефективен маркетинг и вътрешни комуникации, на сигурността на информацията за постигане на обща осведоменост на всички ръководители, служители и трети страни;
• разпространение на наръчник за политиката за сигурност на информацията и актуалните стандарти между всички служители, ръководители и трети страни;
• осигуряване на достатъчността на финансирането на дейностите по управление на сигурността на информацията;
• осигуряването на съответната квалификация чрез обучение и образование;
• установяване на ефективен процес на управление на инцидентите със сигурността на информацията;
• въвеждане на система за измерване, която се използва за оценка на ефективността на управлението на сигурността на информацията.
3.Управление на сигурността на информацията
Управление на сигурността на информацията се разглежда част от цялото управление на организацията, което се основава на оценката на риска и измерва, оценява, допълва, планира, координира, контролира, преглежда, ръководи, доказва и гарантира информационната сигурност. Включва целесъобразното модифициране на структурата на организацията, политиката, планирането, отговорностите, практиките, процедурите, процесите и ресурсите.
То трябва да осигури общо ръководство по общоприети цели на управлението на информационната сигурност. Съответно, целите на контрола и видовете контрол в тази сфера трябва да бъдат формулирани така, че да отговарят на изискванията, определени чрез оценка на риска.

30 30
Общите и специфичните изисквания за сигурност, разгледани и регламентирани в съответните стандарти са фундамента, върху която основно се базират действията по сигурността на информацията в организациите. Тези документи са ориентирани както към производителите и органите по сертифициране на информационните системи и мрежите, така и към потребителите.
Главната цел на мерките, предприети на управленско ниво, е да се сформира програма за работа в организационната единица по отношение на информационната сигурност, да се осигури изпълнението като се отделят необходимите ресурси и се осъществява последващ контрол.
Ръководството за информационната сигурност е описание, което пояснява какво и как трябва да бъде направено, за да се постигнат целите, установени в политиките.

Изтегляне 1.92 Mb.

Сподели с приятели: