[МУЗЫКА] Рассмотрение подробно отдельных элементов политики безопасности начнем с организационных аспектов информационной безопасности. Целью данного раздела является осуществление управления информационной безопасностью в рамках организации, то есть создание такой системы, в которой информационной безопасностью руководство может эффективно управлять, контролировать деятельность своих подчиненных, контролировать их поведение в нестандартных ситуациях и в различных вопросах, касающихся информационной безопасности. Основными рекомендациями по эффективному применению организационных аспектов информационной безопасности являются следующие утверждения: создание четкой структуры управления для внедрения и контроля обеспечения информационной безопасности в организации. Такая структура управления должна быть четко понятна как для руководителей, так и для сотрудников. В этом случае каждый из сотрудников организации на любой должности понимает, каким образом внедряются различные решения по информационной безопасности в организации, понимает свою роль в обеспечении информационной безопасности и при соблюдении других условий, то есть в отсутствие каких-то экстремальных ситуаций на его рабочем месте, в отсутствие у него мотивации действовать злоумышленно он получает наилучшие возможности, наилучшие предпосылки для того, чтобы соблюдать все требования политики безопасности и таким образом не действовать, например, халатно или по недостатку знаний. Следующая рекомендация — это назначение ответственного лица, способного консультировать других пользователей. Об этом уже говорилось. Действительно, очень трудно переоценить роль наличия такого лица, поскольку при наличии такого лица в любой спорной ситуации пользователю проще обратиться за консультацией, нежели принимать решение на свой страх и риск. А это, опять же, минимизирует вероятность принятия решений на основе недостатка информации или каких-то халатных решений. И еще одна рекомендация — это наличие контактов с внешними специалистами. Здесь речь идет о том, что в случае каких-то серьезных инцидентов должны быть налаженные контакты со специалистами, которые могут предоставить консультацию по данной ситуации, например, в случае последствий хакерской атаки предложить последовательность действий по минимизации ущерба, по восстановлению работоспособности системы и по расследованию данного инцидента, а также, возможно, контакты с представителями правоохранительных органов для того, чтобы эффективно в будущем предотвращать подобные инциденты, чтобы предоставить некую информацию, в результате которой, возможно, были бы приняты меры к розыску и предотвращению преступной деятельности нарушителя. В рамках части политики безопасности, посвященной организационным аспектам, желательно сформулировать следующие положения. Во-первых, обязанности руководства: активная поддержка безопасности в организации с помощью четкого управления, видимого распределения обязанностей и их утверждения путем назначения и признания. То есть руководство должно назначить людей, ответственных за обеспечение информационной безопасности, оказывать им поддержку, не нарушать демонстративно принятые ими же политики безопасности и признавать эти требования, то есть руководствоваться ими во всех принимаемых решениях. Следующее положение, которое рекомендуется сформулировать в этой части политики безопасности, это вопросы координации деятельности, связанные с информационной безопасностью, между представителями различных подразделений с соответствующими ролями и должностными обязанностями. Желательно, чтобы каждый сотрудник, или как минимум руководитель каждого отдела четко понимал, к кому он должен обратиться в случае того или иного инцидента информационной безопасности, кто отвечает за реагирование на такой инцидент, кто ответственен, например, за оперативную перенастройку средств защиты, например, изменение настроек на межсетевом экране. И вот эта вот совокупность обязанностей, относящихся к этой ситуации, — это есть роль. То есть должно быть четко известно, кто из сотрудников за какую роль ответственен, например, за роль администратора средств безопасности, администратора межсетевого экрана, координатора по реагированию на инциденты информационной безопасности и подобные роли и соответствующие этим ролям обязанности. Желательно также сформулировать и распределение обязанностей между сотрудниками организации, их права и ответственность за несоблюдение требований политики безопасности, а конкретно рассмотреть следующие аспекты: обязанности каждого из сотрудников по обеспечению информационной безопасности, возможность делегирования обязанностей при сохранении ответственности. Здесь речь идет о том, что сотрудники, облеченные какими-то обязанностями и отвечающие, например, за работу тех или иных средств обработки информации или средств защиты информации, могут либо не могут, в соответствии с тем, как это сформулировано в политике безопасности, делегировать свои обязанности кому-то из своих подчиненных. При этом ответственность за результат такого делегирования все равно остается на лице, которое осуществляет делегирование, то есть на руководителе. И, наконец, должен быть перечислен круг обязанностей каждого руководителя, поскольку именно от их согласованных действий во многом зависит эффективность системы информационной безопасности организации. Еще весьма желательно сформулировать вопросы получения разрешения на использование новых средств обработки информации: кто должен согласовать, кто может позволить или не позволить, кто должен быть непременно извещен. Например, разрешает начальник отдела, согласовывает руководитель службы безопасности, а проинформирован должен быть администратор какого-то конкретного средства безопасности. Должны быть сформулированы требования в отношении соглашения о конфиденциальности или неразглашении служебной информации, то есть типовая форма документа, который подписывает каждый из сотрудников, так или иначе имеющий отношение к информации, представляющую собой, например, коммерческую тайну или по иным основаниям являющуюся конфиденциальной. И еще желательно сформулировать процедуры взаимодействия и контактов с внешними инстанциями и отдельными специалистами, аспекты взаимодействия с ними. Здесь речь идет не только о, скажем так, созидательном взаимодействии с точки зрения реагирования на какие-то инциденты, но и аспекты взаимодействия с такими организациями, которые напрямую не связаны с обеспечиванием безопасности информации, а, например, являются подрядчиками или обеспечивают поддерживающую инфраструктуру, например, представители энергоснабжающей компании, которые желают провести, допустим, поверку электросчетчиков, монтаж какой-то сети, сотрудники организации, которая предоставляет систему кондиционирования, подобные инженерные системы, систему водоснабжения. Все они по роду деятельности время от времени испытывают необходимость попасть на объекты информатизации, то есть в пределы контролируемой зоны. И вот аспекты взаимодействия с ними: куда их можно пускать, какие при этом должны быть оформлены допуски, должен ли их сопровождать сотрудник службы безопасности, где их можно оставить наедине делать свою работу, — должны быть прописаны в данном разделе политики безопасности. [МУЗЫКА] [МУЗЫКА] [МУЗЫКА]
