Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Контакти
 


Тлумачний словник
Авто
Автоматизація
Архітектура
Астрономія
Аудит
Біологія
Будівництво
Бухгалтерія
Винахідництво
Виробництво
Військова справа
Генетика
Географія
Геологія
Господарство
Держава
Дім
Екологія
Економетрика
Економіка
Електроніка
Журналістика та ЗМІ
Зв'язок
Іноземні мови
Інформатика
Історія
Комп'ютери
Креслення
Кулінарія
Культура
Лексикологія
Література
Логіка
Маркетинг
Математика
Машинобудування
Медицина
Менеджмент
Метали і Зварювання
Механіка
Мистецтво
Музика
Населення
Освіта
Охорона безпеки життя
Охорона Праці
Педагогіка
Політика
Право
Програмування
Промисловість
Психологія
Радіо
Регилия
Соціологія
Спорт
Стандартизація
Технології
Торгівля
Туризм
Фізика
Фізіологія
Філософія
Фінанси
Хімія
Юриспунденкция






Використовувати отримані результати для координування майбутніх зусиль і підвищення відповідальності керівництва

Безперервне навчання користувачів та інших працівників на прикладі ризиків та відповідних політик. Служба безпеки повинна забезпечити стра­тегію постійного навчання працівників, які так або інакше впливають на ІБ. Група адміністрування повинна зосередити зусилля на загальному розумінні ризиків, пов'язаних з інформацією, яка обробляється в підрозділах, а також політиках і методах (засобах) контролю, спрямованих на зменшення цих ризиків.

Забезпечити необхідний фаховий рівень. Компетентність користувачів є обов'язковою умовою для успішного забезпечення ІБ, а також дозволяє гарантувати, що засоби контролю працю­ють належним чином. Користувачі не можуть виконувати політику, яку вони не знають або не розуміють. Не знаючи про ризики, пов'язані з інформаційними ресурсами, вони не можуть усвідомити необхідність вико­нання полі­тики, розробленої з метою змен­шення ризиків.

Встановити взаємозв'язок політик і ризиків. Всебічний набір адекватних політик, доступних і зрозумілих користувачам, є одним з перших кроків у встановленні програми забезпечення ІБ. Варто наголосити на важливості безперервного супроводу політик для своєчасного реагування на виявлення ризиків та можливі розбіжності.

Впровадити необхідні політики і відповідні засоби контролю. Політики в області ІБ є підставою прийняття певних процедур і вибору засобів контролю. Політика безпеки – первинний механізм, за допомогою якого керівництво підприємств доводить свою думку і вимоги до праців­ни­ків. Для ІБ, як і для інших областей внутрішнього контролю, вимоги політик без­посередньо залежать від результатів оцінювання рівня ризику.

Підвищувати професіоналізм і технічні знання працівників. Працівники підрозділів підприємств повинні брати участь у різних аспектах програми ІБ та володіти відповідними навичками та знаннями. Необхідний фаховий рі­вень працівників може бути досягнутий за допомогою тренінгів, проводити які можуть як фахівці підрозділу безпеки, так і зовнішні консультанти.

Обґрунтувати і виділити бюджет і персонал. Бюджет дозволить плану­вати і встановлювати цілі програми ІБ. Як мінімум, бюджет включає заробіт­ну платню працівників і витрати на навчання. Штатна чисельність групи адміністрування може змінюватись у залежності як від поставлених цілей, так і від проектів, які знаходяться на розгляді. До роботи в групі можуть залучатися як технічні фахівці, так і працівники підрозділу безпеки.

Рис. 8.2. Методи реалізування основних принципів

Крім того, група адміністрування повинна централізовано керувати поставленими завданнями, бо в іншому випадку ці завдання можуть дуб­лю­ватися різними структурами.

Надати групі адміністрування простий і незалежний доступ до вищого керівництва підприємств. Відзначимо необхідність обговорення проблем ІБ фахівцями групи адміністрування з керівництвом підприємств. Такий діалог дозволить діяти ефективно і уникнути розбіжностей. В іншому ви­пад­ку можливі конфліктні ситуації з керівниками підрозділів та розроб­никами систем, охочими якнайшвидшого впровадження нових програмних продук­тів, і, тому, заперечуватимуть застосуванню засобів контролю, які можуть перешкоджати ефективності та ″комфортності″ роботи з програмним забез­пе­ченням. Таким чином, можливість обговорення проблем ІБ на вищо­му рівні зможе гарантувати повне розуміння ризиків та їх допустимість до прийняття остаточних рішень.

Встановити відмінності між політиками і керівними принципами. Загальний підхід до створення політик ІБ повинен передбачати:

· короткі (лаконічні) політики високого рівня;

· більш детальну інформацію, подану в практичних настановах.

Політики передбачають основні і обов'язкові вимоги, прийняті вищим керівництвом, у той час як практичне керівництво не є обов'язковими для всіх підрозділів. Такий підхід дозволяє вищому керівництву акцентувати увагу на найбільш важливих елементах ІБ, а також надати можливість маневрування, зробити політики легкими для розуміння працівниками.

Забезпечити супровід політик безпеки групою адміністрування.Служба безпеки повинна бути відповідальною за розроблення політик ІБ підрозділів підприємств у взаємодії з керівниками підрозділів, внутрішніми аудиторами та юристами. Крім того, група адміністрування повинна забезпечити необ­хідні тлумачення. Це допоможе владнати і запобігти непорозумінням, а також прийняти необхідні заходи, не передбачені політиками (керівними принципами).

Політики варто зробити доступними, щоб користувачі, за необхідності, могли отримати доступ до їх актуальних версій. Користувачі повинні розписуватися в тому, що вони ознайомлені з ПІБ до надання їм доступу до інформаційних ресурсів. Якщо користувач буде залучений у інцидент без­пеки, ця угода послужить свідченням того, що працівник був поінформований як про ПІБ, так і про можливі санкції, у разі її порушення.

Використовувати дружній підхід. Служба безпеки повинна використовувати різноманітні методи навчання і заохочення (стимулювання) щоб зро­бити політику ІБ доступною і навчити користувачів. Варто уникати зуст­річей, що проводяться раз на рік з усіма представниками підрозділів, а навпа­ки – навчання краще проводити в невеликих групах працівників.

Контролювати й оцінювати ефективність політик і механізмів контролю. Як і довільний вид діяльності, ІБ підлягає контролю і періодичному переоцінюванню, щоб гарантувати адекватність (відповідність) ПІБ і засобів (методів) контролю поставленим завданням.

Контролювати чинники, які впливають на ризики і вказують на ефективність інформаційної безпеки. Контроль повинен бути зосереджений, насамперед, на наявності засобів і методів контролю та їх використання, спрямованого на зменшення ризиків і оцінюванні ефективності програми і політик ІБ, що поліпшують розуміння користувачів і скорочують кількість інцидентів. Такі перевірки передбачають тестування засобів (методів) конт­ролю, оцінювання їх відповідності політикам ІБ, аналіз інцидентів безпеки, а також інші індикатори ефективності програми ІБ. Ефективність роботи служби безпеки та групи адміністрування може бути оцінена, ґрунтуючись, наприклад, на наступних показниках (але, не обмежуючись ними):

· кількість проведених тренінгів та зустрічей;

· кількість виконаних оцінювань ризику (ризиків);

· кількість сертифікованих фахівців;

· відсутність інцидентів, які ускладнюють роботу користувачів;

· зниження кількості нових проектів, впроваджених з затримкою через проблеми у забезпеченні ІБ;

· повну відповідність або погоджені та зареєстровані відхилення від мінімальних вимог ІБ;

· зниження кількості інцидентів, які допускають НСД, втрату або спотворення інформації.

Контроль, безумовно, дозволяє привести стан захищеності ІС у відповідність до прийнятих політик ІБ, однак повні вигоди від контролю не будуть досягнуті, якщо отримані результати не використовуються для поліпшення програми забезпечення ІБ. Аналіз результатів контролю надає фахівцям в області ІБ і керівникам підрозділів засоби:

· переоцінювання раніше ідентифікованих ризиків;

· визначення нових проблемних ділянок;

· переоцінювання достатності та доречності існуючих засобів і методів контролю (управління) та дій щодо забезпечення ІБ;

· визначення потреб у нових засобах і механізмах контролю;

· переадресування контрольних зусиль (контролюючих дій).

Крім того, результати можуть використовуватися для оцінювання діяльності керівників підрозділів, відповідальних за розуміння і зменшення ризиків.

Відслідковувати нові методи та засоби контролю. Важливо гарантувати, що фахівці в сфері ІБ не "відстають" від розроблювальних методів та інструментів (додатків) і мають у своєму розпорядженні найновішу інфор­мацію про уразливість ІС та ПЗ, вище керівництво гарантує, що має у своєму розпорядженні для цього необхідні матеріальні ресурси.


Читайте також:

  1. Адміністративна відповідальність та строки адміністративної відповідальності
  2. Адміністративне правопорушення як підстава юридичної відповідальності: ознаки і елементи.
  3. Американська модель соціальної відповідальності
  4. Амністія являє собою повне або часткове звільнення від кримінальної відповідальності і покарання певної категорії осіб, винних у вчиненні злочину.
  5. Аналіз витрат за центрами відповідальності.
  6. Аналіз відхилень – основний інструмент оцінки діяльності центрів відповідальності
  7. Аналіз відхилень — основний інструмент оцінки діяльності центрів відповідальності
  8. Аналіз економічної та неекономічної результативності маркетингової діяльності
  9. Аналіз і оцінка рівня соціальної відповідальності бізнесу
  10. Аудиторські докази щодо тверджень керівництва у фінансових звітах отримуються безпосередньо в процесі проведення тестів контролю та процедур по суті.
  11. В якості критеріїв для оцінки або вимірювання предмета завдання з надання впевненості не можуть використовуватись очікування, судження або власний досвід аудитора.
  12. Валідація НАССР- отримання об'єктивного доказу того, що елементи НАССР-плану результативні.




Переглядів: 890

<== попередня сторінка | наступна сторінка ==>
Встановити централізоване адміністрування. Служба безпеки висту­пає, перш за все, в ролі радника або консультанта керівника підприємства, і не може нав'язувати методи (засоби) ІБ. | ЛЕКЦІЯ 8. СПІЛЬНІ ПІДПРИЄМСТВА

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

 

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.006 сек.