Информационна сигурност (лекционен материал)
Изтегляне 1.92 Mb. Pdf просмотр
|
| Политика за сигурност може да се разбира съвкупност от управленски решения по отношение сигурността на информацията и присъединените към нея ресурси. От практическа гледна точка политиката за сигурност може да се раздели на различни нива. Към управленско ниво може да се отнесат принципни решения, които имат отношение към цялата организация. Те се взимат от ръководството на организацията и са с по-общ характер, като например: - решение да се проектира или преразгледа комплексна програма за сигурност на информацията; - да се формулират целите, които преследва организацията в областта на сигурността на информацията; - да се осигури база за спазване на законите и наредбите; - да се систематизират управленските решения по въпросите за реализация на програмите за сигурност, които са валидни за цялата организация. Целите на организацията в областта на информационната сигурност на първо ниво се формулират с термините конфиденциалност, достъпност и цялостност. Към това ниво на управление се отнасят сигурността на ресурсите и координацията при използването на тези ресурси, обособяване на специален персонал за сигурност на критично важни подсистеми, поддържане на контактите с други организации и пр. Политиката за информационна сигурност от това ниво има връзка с три аспекти на законосъобразност и изпълнителска дисциплина: - съответствие - организационната единица е длъжна да спазва съществуващите закони и други нормативни уредби - необходимо е да установи процедури по контрол действията на лицата, които отговарят за изработване на програмите за информационна сигурност; - необходимо е да се осигури определена степен на отговорност на персонала. 31 31 Политиките определят насоките и правилата, които е необходимо да се съблюдават в организацията при осъществяване на текущите, рутинни дейности, както и такива, които могат да бъдат от полза на администраторите и потребителите при възникване на непредвидени ситуации в информационната система или в мрежата. Една от основните функции на социалното управление е да дефинира и институционализира общи принципи за въвеждане, реализиране, поддържане и подобряване на управлението на сигурността и защитата на информацията в дадена организация. Гарантирането на информационната сигурност се постига чрез прилагане на подходящ набор от инструменти за контрол (съвкупност от средства за управление на риска, включваща политики, процедури, ръководства, практики или организационни структури, които могат да бъдат от административно, техническо, управленско или правно естество) които могат да бъдат политики, процеси, процедури, организационни структури и софтуерни и хардуерни функции. Тези инструменти трябва да бъдат установени, реализирани, наблюдавани, преразглеждани и подобрени, където е необходимо, за да се осигури съответствие със специфичните цели на сигурността на организацията. Това трябва да бъде направено като част от нейното управление. Контролът върху информационната сигурност е съвкупност от методи, средства, правила и процедури за управление на риска. Той включва политики, процедури, ръководства, добри практики, опит и организационни структури, които могат да бъдат от административно, техническо, управленско или правно естество. Той се осъществява за да се гарантира сигурността на информацията и за да се осигури необходимата защита, или да се предприемат съответните контрамерки. За осигуряване на контрола се издават съответните ръководства за информационна сигурност. |