Десять вопросов, которые следует задать при построении политики безопасности

Опубликовано в Понедельник, 11-го Июля, 2022.
Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту и оставлять свои комментарии в конце статьи.
Рубрика: Моя газета > Жизнь > Технологии > Десять вопросов, которые следует задать при построении политики безопасности

Десять вопросов, которые следует задать при построении политики безопасности

Чтобы политика безопасности помогла создать настоящую культуру безопасности, она должна быть актуальной и реалистичной, а ее формулировка должна быть всеобъемлющей и лаконичной. Если это звучит как трудный балансирующий акт, это потому, что это так. Хотя существует множество шаблонов и реальных примеров, которые помогут вам начать работу, каждая политика безопасности должна быть точно настроена с учетом конкретных потребностей организации.

Независимо от того, начинаете ли вы с нуля или строите на основе существующего шаблона, следующие вопросы помогут вам сформировать правильное мышление:

  1. Как вы будете согласовывать свою политику безопасности с бизнес-целями организации?
  2. От кого мне потребуется бай-ин? Привержено ли высшее руководство?
  3. Кто является аудиторией этой политики
  4. Какова область действия политики?
  5. Как будет контролироваться и обеспечиваться соблюдение политики?
  6. Какие правила применяются в вашей отрасли? Например, GLBA, HIPAA, Сарбейнса-Оксли и т. д.
  7. Каков риск-аппетит организации?
  8. Какие существующие правила, нормы или протоколы (как формальные, так и неформальные) уже присутствуют в организации?
  9. Как часто следует пересматривать и обновлять политику?
  10. Как будут обрабатываться исключения политики?

Примеры политики безопасности

Крупное и сложное предприятие может иметь десятки различных политик ИТ-безопасности, охватывающих различные области. Политики, которые вы решите внедрить, будут зависеть от используемых технологий, а также от культуры компании и склонности к риску. Тем не менее, ниже представлены некоторые из наиболее распространенных политик:

  1. Программа или организационная политика. Этот высокоуровневый план безопасности является обязательным для всех организаций и разъясняет цели и задачи программы информационной безопасности. Политика программы также определяет роли и обязанности, мониторинг и обеспечение соблюдения, а также согласование с другими политиками и принципами организации.
  2. Политика допустимого использования: это политика для конкретной проблемы, которая определяет приемлемые условия, при которых сотрудник может получить доступ к информационным ресурсам компании и использовать их.
  3. Политика удаленного доступа. Эта политика для конкретных проблем определяет, как и когда сотрудники могут получать удаленный доступ к ресурсам компании.
  4. Политика безопасности данных. Безопасность данных можно решить в политике программы, но также может быть полезно иметь специальную политику, описывающую принципы классификации, владения и шифрования данных для организации.
  5. Политика брандмауэра. Одна из наиболее распространенных системных политик. Политика брандмауэра описывает типы трафика, которые брандмауэры организации должны разрешать или запрещать. Обратите внимание, что даже на этом уровне политика по-прежнему описывает только «что»; документ, описывающий, как настроить брандмауэр для блокировки определенных типов трафика, является процедурой, а не политикой.

Автор Виктория Кромова
«Моя газета»

Оставить комментарий

Гороскоп

Фотогалерея

Фото-рецепты

© 2007-2024 Моя газета • Взгляды редакции могут не совпадать со взглядами авторов статей.
При цитировании и использовании материалов ссылка, а при использовании в Интернет - прямая гиперссылка на издание "Моя газета" обязательна!