ISMS

© Христо Тужаров,  

април 2009

 

СЪДЪРЖАНИЕ НА ПОЛИТИКАТА ЗА СИГУРНОСТ

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

ПОЛИТИКА НА ИНФОРМАЦИОННА СИГУРНОСТ

СТРУКТУРА НА ПОЛИТИКАТА ЗА СИГУРНОСТ

ТРИСЛОЕН МОДЕЛ НА ПОЛИТИКАТА

СЪДЪРЖАНИЕ НА ПОЛИТИКАТА ЗА СИГУРНОСТ

 ПРОЦЕДУРИ ЗА РЕАЛИЗИРАНЕ НА ПОЛИТИКАТА

Препоръчителни раздели за съдържанието на политиката за сигурност

Британският  стандарт BS 7799:1995 препоръчва включването на следните раздели:

      Въведение – потвърждаващо намеренията на висшето ръководство за реализиране политика на информационна сигурност.

     Организационен – съдържа описание на подразделенията, комисиите, групите и т.н., отговарящи за информационната сигурност на организацията.

       Классификационен – описва съществуващите в организацията материални и информационни ресурси и необходимото нива на сигурност.

       Щатен – характеризира мерките за сигурнос, прилагани към персонала:

  • Описание на длъжностите от гледна точка на информационната сигурност;
  • Организация на обучение;
  • Порядък за реагиране на нарушенията на сигурността на информацията и т.н.

      Физическа защита - раздел, описващ подходите и средствата за физическа защита.

      Управление на компютри и мрежи – раздел, описващ използваните подходи за управление.

      Правила за разграничаване на достъпа – до фирмената информация.

       Разработка и съпровождане на системите - раздел, характеризиращ порядъка и процесите за разработка и съпровождане.

      Непрекъсната работа - раздел, описващ мерките насочени към осигуряване на непрекъсната работа на организацията.

      Юридически раздел -  подтвърждаващ съответствието на политиката за сигурност с действащото законодателство.

Видове политики, препоръчителни за съдържанието на политиката за сигурност

 Видове политики, препоръчителни за съдържанието на политиката за сигурност

Политика за администриране

  • Физическа сигурност (вкл. контрол на достъпа)

  • Политика за Log on

  • Мерки за гарантиране спазването на политиките

  • Отговорности и одит

  • Сигурност  и  надеждност на услугите:

* Политики за архивиране и възстановяване

* Политики за управление на промените (инсталиране или обновяване на софтуера и хардуера)

      Политика за персонала

Регламентира правилната за употреба на компютърните системи с политики за:

  • Паролите;

  • Ползване на софтуера ;

  • Достъп до корпоративната мрежа;

  • Достъп до Интернет;

  • Ползване на електронна поща;

  • Ползване на преносими компютри;

Мрежова политика

Включва политики за:

  • Разпределени компютърни системи;

  • Отдалечен достъп:

* Достъп до ресурси на корпоративната мрежа отвън;

* Достъп до външни ресурси и мрежи;

  • Настройка на:

* Интернет защитна стена;

* Маршрутизатори;

* Системи за откриване на проникване;

Други политики

* Използван антивирусен софтуер;

* Информиране при наличие на вируси;

* Честота на обновяване на сигнатурите;

  • Политика за разработване на софтуера;

  • Непрекъснатост на бизнес процесите:

* Действия при бедствия;

* Действия при извънредни обстоятелства;