logo
Материалы для PDF / Информационная безопасность

Программа безопасности

После того как сформулирована политика безопасности, можно приступать к составлению программы ее реализации и собственно к реа­лизации.

Чтобы понять и реализовать какую-либо программу, ее нужно струк­турировать по уровням, обычно в соответствии со структурой организа­ции. В простейшем и самом распространенном случае достаточно двух уровней — верхнего, или центрального, который охватывает всю органи­зацию, и нижнего, или служебного, который относится к отдельным ус­лугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за ин­формационную безопасность организации. У этой программы следую­щие главные цели:

• управление рисками (оценка рисков, выбор эффективных средств защиты);

• координация деятельности в области информационной безо­пасности, пополнение и распределение ресурсов;

• стратегическое планирование;

• контроль деятельности в области информационной безопас­ности.

В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и не­обходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двусторон­нюю направленность. Во-первых, необходимо гарантировать, что дейст­вия организации не противоречат законам. При этом следует поддержи­вать контакты с внешними контролирующими организациями. Во-вто­рых, нужно постоянно отслеживать состояние безопасности внутри орга­низации, реагировать на случаи нарушений и дорабатывать защитные ме­ры с учетом изменения обстановки.

Следует подчеркнуть, что программа верхнего уровня должна зани­мать строго определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, а также иметь определенный штат и бюджет.

Цель программы нижнего уровня — обеспечить надежную и эконо­мичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защи­ты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.