Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Використовувати отримані результати для координування майбутніх зусиль і підвищення відповідальності керівництва

Безперервне навчання користувачів та інших працівників на прикладі ризиків та відповідних політик. Служба безпеки повинна забезпечити стра­тегію постійного навчання працівників, які так або інакше впливають на ІБ. Група адміністрування повинна зосередити зусилля на загальному розумінні ризиків, пов'язаних з інформацією, яка обробляється в підрозділах, а також політиках і методах (засобах) контролю, спрямованих на зменшення цих ризиків.

Забезпечити необхідний фаховий рівень. Компетентність користувачів є обов'язковою умовою для успішного забезпечення ІБ, а також дозволяє гарантувати, що засоби контролю працю­ють належним чином. Користувачі не можуть виконувати політику, яку вони не знають або не розуміють. Не знаючи про ризики, пов'язані з інформаційними ресурсами, вони не можуть усвідомити необхідність вико­нання полі­тики, розробленої з метою змен­шення ризиків.

Встановити взаємозв'язок політик і ризиків. Всебічний набір адекватних політик, доступних і зрозумілих користувачам, є одним з перших кроків у встановленні програми забезпечення ІБ. Варто наголосити на важливості безперервного супроводу політик для своєчасного реагування на виявлення ризиків та можливі розбіжності.

Впровадити необхідні політики і відповідні засоби контролю. Політики в області ІБ є підставою прийняття певних процедур і вибору засобів контролю. Політика безпеки – первинний механізм, за допомогою якого керівництво підприємств доводить свою думку і вимоги до праців­ни­ків. Для ІБ, як і для інших областей внутрішнього контролю, вимоги політик без­посередньо залежать від результатів оцінювання рівня ризику.

Підвищувати професіоналізм і технічні знання працівників. Працівники підрозділів підприємств повинні брати участь у різних аспектах програми ІБ та володіти відповідними навичками та знаннями. Необхідний фаховий рі­вень працівників може бути досягнутий за допомогою тренінгів, проводити які можуть як фахівці підрозділу безпеки, так і зовнішні консультанти.

Обґрунтувати і виділити бюджет і персонал. Бюджет дозволить плану­вати і встановлювати цілі програми ІБ. Як мінімум, бюджет включає заробіт­ну платню працівників і витрати на навчання. Штатна чисельність групи адміністрування може змінюватись у залежності як від поставлених цілей, так і від проектів, які знаходяться на розгляді. До роботи в групі можуть залучатися як технічні фахівці, так і працівники підрозділу безпеки.

Рис. 8.2. Методи реалізування основних принципів

Крім того, група адміністрування повинна централізовано керувати поставленими завданнями, бо в іншому випадку ці завдання можуть дуб­лю­ватися різними структурами.

Надати групі адміністрування простий і незалежний доступ до вищого керівництва підприємств. Відзначимо необхідність обговорення проблем ІБ фахівцями групи адміністрування з керівництвом підприємств. Такий діалог дозволить діяти ефективно і уникнути розбіжностей. В іншому ви­пад­ку можливі конфліктні ситуації з керівниками підрозділів та розроб­никами систем, охочими якнайшвидшого впровадження нових програмних продук­тів, і, тому, заперечуватимуть застосуванню засобів контролю, які можуть перешкоджати ефективності та ″комфортності″ роботи з програмним забез­пе­ченням. Таким чином, можливість обговорення проблем ІБ на вищо­му рівні зможе гарантувати повне розуміння ризиків та їх допустимість до прийняття остаточних рішень.

Встановити відмінності між політиками і керівними принципами. Загальний підхід до створення політик ІБ повинен передбачати:

· короткі (лаконічні) політики високого рівня;

· більш детальну інформацію, подану в практичних настановах.

Політики передбачають основні і обов'язкові вимоги, прийняті вищим керівництвом, у той час як практичне керівництво не є обов'язковими для всіх підрозділів. Такий підхід дозволяє вищому керівництву акцентувати увагу на найбільш важливих елементах ІБ, а також надати можливість маневрування, зробити політики легкими для розуміння працівниками.

Забезпечити супровід політик безпеки групою адміністрування.Служба безпеки повинна бути відповідальною за розроблення політик ІБ підрозділів підприємств у взаємодії з керівниками підрозділів, внутрішніми аудиторами та юристами. Крім того, група адміністрування повинна забезпечити необ­хідні тлумачення. Це допоможе владнати і запобігти непорозумінням, а також прийняти необхідні заходи, не передбачені політиками (керівними принципами).

Політики варто зробити доступними, щоб користувачі, за необхідності, могли отримати доступ до їх актуальних версій. Користувачі повинні розписуватися в тому, що вони ознайомлені з ПІБ до надання їм доступу до інформаційних ресурсів. Якщо користувач буде залучений у інцидент без­пеки, ця угода послужить свідченням того, що працівник був поінформований як про ПІБ, так і про можливі санкції, у разі її порушення.

Використовувати дружній підхід. Служба безпеки повинна використовувати різноманітні методи навчання і заохочення (стимулювання) щоб зро­бити політику ІБ доступною і навчити користувачів. Варто уникати зуст­річей, що проводяться раз на рік з усіма представниками підрозділів, а навпа­ки – навчання краще проводити в невеликих групах працівників.

Контролювати й оцінювати ефективність політик і механізмів контролю. Як і довільний вид діяльності, ІБ підлягає контролю і періодичному переоцінюванню, щоб гарантувати адекватність (відповідність) ПІБ і засобів (методів) контролю поставленим завданням.

Контролювати чинники, які впливають на ризики і вказують на ефективність інформаційної безпеки. Контроль повинен бути зосереджений, насамперед, на наявності засобів і методів контролю та їх використання, спрямованого на зменшення ризиків і оцінюванні ефективності програми і політик ІБ, що поліпшують розуміння користувачів і скорочують кількість інцидентів. Такі перевірки передбачають тестування засобів (методів) конт­ролю, оцінювання їх відповідності політикам ІБ, аналіз інцидентів безпеки, а також інші індикатори ефективності програми ІБ. Ефективність роботи служби безпеки та групи адміністрування може бути оцінена, ґрунтуючись, наприклад, на наступних показниках (але, не обмежуючись ними):

· кількість проведених тренінгів та зустрічей;

· кількість виконаних оцінювань ризику (ризиків);

· кількість сертифікованих фахівців;

· відсутність інцидентів, які ускладнюють роботу користувачів;

· зниження кількості нових проектів, впроваджених з затримкою через проблеми у забезпеченні ІБ;

· повну відповідність або погоджені та зареєстровані відхилення від мінімальних вимог ІБ;

· зниження кількості інцидентів, які допускають НСД, втрату або спотворення інформації.

Контроль, безумовно, дозволяє привести стан захищеності ІС у відповідність до прийнятих політик ІБ, однак повні вигоди від контролю не будуть досягнуті, якщо отримані результати не використовуються для поліпшення програми забезпечення ІБ. Аналіз результатів контролю надає фахівцям в області ІБ і керівникам підрозділів засоби:

· переоцінювання раніше ідентифікованих ризиків;

· визначення нових проблемних ділянок;

· переоцінювання достатності та доречності існуючих засобів і методів контролю (управління) та дій щодо забезпечення ІБ;

· визначення потреб у нових засобах і механізмах контролю;

· переадресування контрольних зусиль (контролюючих дій).

Крім того, результати можуть використовуватися для оцінювання діяльності керівників підрозділів, відповідальних за розуміння і зменшення ризиків.

Відслідковувати нові методи та засоби контролю. Важливо гарантувати, що фахівці в сфері ІБ не "відстають" від розроблювальних методів та інструментів (додатків) і мають у своєму розпорядженні найновішу інфор­мацію про уразливість ІС та ПЗ, вище керівництво гарантує, що має у своєму розпорядженні для цього необхідні матеріальні ресурси.


Читайте також:

  1. Адміністративна відповідальність та строки адміністративної відповідальності
  2. Адміністративне правопорушення як підстава юридичної відповідальності: ознаки і елементи.
  3. Американська модель соціальної відповідальності
  4. Амністія являє собою повне або часткове звільнення від кримінальної відповідальності і покарання певної категорії осіб, винних у вчиненні злочину.
  5. Аналіз витрат за центрами відповідальності.
  6. Аналіз відхилень – основний інструмент оцінки діяльності центрів відповідальності
  7. Аналіз відхилень — основний інструмент оцінки діяльності центрів відповідальності
  8. Аналіз економічної та неекономічної результативності маркетингової діяльності
  9. Аналіз і оцінка рівня соціальної відповідальності бізнесу
  10. Аудиторські докази щодо тверджень керівництва у фінансових звітах отримуються безпосередньо в процесі проведення тестів контролю та процедур по суті.
  11. В якості критеріїв для оцінки або вимірювання предмета завдання з надання впевненості не можуть використовуватись очікування, судження або власний досвід аудитора.
  12. Валідація НАССР- отримання об'єктивного доказу того, що елементи НАССР-плану результативні.




Переглядів: 990

<== попередня сторінка | наступна сторінка ==>
Встановити централізоване адміністрування. Служба безпеки висту­пає, перш за все, в ролі радника або консультанта керівника підприємства, і не може нав'язувати методи (засоби) ІБ. | ЛЕКЦІЯ 8. СПІЛЬНІ ПІДПРИЄМСТВА

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.015 сек.