Читайте также:
|
|
Цели ИТ безопасности следует внимательно определять в начале каждого процесса безопасности. С другой стороны, существует риск, что разработанные стратегия и концепция ИТ-безопасности не будут соответствовать существующим требованиям организации. Это может означать наличие нежелательных рисков или инвестирование слишком больших ресурсов в неправильные меры ИТ-безопасности – или в слишком дорогие.
Поэтому общие цели ИТ-безопасности должны исходить из фундаментальных целей организации и общего окружения. Особые требования безопасности ИТ для операций ИТ получают из общих, когда разрабатывается концепция безопасности ИТ и проектируется организационная безопасность ИТ. Потенциальные общие цели безопасности ИТ для управления информацией могут содержать следующие пункты:
• Высокая надежность для действий, и управления информацией в особенности (доступность, целостность, конфиденциальность);
• Гарантия хорошей репутации организации в глазах общественности;
• Сохранение ценности инвестиций в технологию, информацию, рабочий процесс и знания;
• Защита очень ценной и возможно невосстановимой обработанной информации;
• Защита качества информации, напр., где она хранится как основа для большинства решений;
• Удовлетворение требований, исходящих из норм закона;
• Уменьшение затрат, которые возникают, если случается нарушение безопасности (включая избежание и предотвращение повреждений);
• Гарантия непрерывности рабочего процесса в организации.
Чтобы суметь определить цели ИТ-безопасности, сначала следует оценить, какие бизнес-процессы, работы сотрудников и информация являются основными, для достижения целей, и какое значение им придается. Для этого важно выяснить, на сколько достижение целей организации зависит от использования ИТ и безопасности операций. Чтобы определить цели безопасности ИТ уместно однозначно установить основное ценность защиты – доступность, целостность и конфиденциальность – и по возможности, расставить приоритеты среди них. Эти утверждения играют ключевую роль во всех мерах и стратегии процесса безопасности ИТ.
Однако, определение целей безопасности ИТ и желаемого уровня ИТ-безопасности – это только начало процесса безопасности ИТ. Особые решения о ресурсах и инвестициях, которые возникают во время выполнения процесса безопасности ИТ, должны быть одобрены руководством высшего уровня на последующей стадии. Это означает, что в этой точке не требуется детальный анализ структуры ИТ и возможных затрат на меры безопасности ИТ, все, что необходимо – сведения о том, что особенно важно для организации и почему.
Чтобы лучше понимать цели безопасности ИТ, желаемый уровень безопасности ИТ может быть описан для отдельных бизнес-процессов или основных областей особого интереса с ссылками на основные ценности безопасности ИТ (конфиденциальность, целостность, доступность). Это ценно для дальнейшего обсуждения детальной концепции безопасности ИТ.
Затем следуйте некоторым типовыми критериями для определения необходимого уровня безопасности ИТ. Уровень ИТ-безопасности (нормальный, высокий или очень высокий) может быть определен благодаря высказываниям, которые наиболее близки. Этот этап процесса безопасности ИТ касается установления начальных утверждений, которые будут использоваться позже как основание, и не касается определения детальных требований защиты.
Очень высокий:
• Защита конфиденциальной информации должна гарантироваться и согласовываться со строгими требованиями безопасности в критичных областях;
• Очень важно, чтобы информация была корректной;
• Основные задачи организации не могут быть выполнены без ИТ. Быстрое принятие критических решений требует постоянного наличия актуальной информации. Простои недопустимы.
Наносится, как правило, следующей вред: ошибки в ИТ приводит к полному разрушению организации или имеет серьезные последствия для большой части общества или отрасли.
Высокий:
• Защита конфиденциальной информации должна гарантироваться и согласовываться со строгими требованиями критичных областей;
• Обработанная информация должна быть корректной, любые ошибки должны отслеживаться и устраняться;
• В основных сферах организации выполняются процессы с критическим временем и множество задачи, что не могло бы быть выполнено без использования ИТ. Допустимы только очень краткие простои.
Наносится, как правило, следующей вред: в случае повреждения, основные области организации не могут функционировать. Результатом повреждения является значительное разрушение самой организации или связанных с ней третьих лиц.
Нормальный:
• Должна гарантироваться защита информации, предназначенной для внутреннего использования;
• Допустимы только незначительные ошибки. Ошибки, существенно влияющие на достижение целей, должны распознаваться и устраняться;
• Длительные периоды простоя, которые приводят к срыву конечных сроков, не должны допускаться.
Наносится, как правило, следующей вред: результат повреждений – разрушение организации.
Вовлечение руководства важно при обсуждении целей безопасности ИТ. На этом шаге, который важен для процесса безопасности ИТ, может быть необходимо вовлечь внешних экспертов по ИТ. Определение желаемого уровня защиты ИТ, цели организации должны рассматриваться по отношению к требованиям безопасности ИТ, в то же время, принимая во внимание, что обычно доступные для внедрения мер безопасности ИТ ресурсы ограничены. Поэтому особенно важно определить реальные требования доступности, целостности и конфиденциальности, т.к. высокий уровень защиты ИТ обычно связан с высоким уровнем затрат на внедрение. Н этом этапе также желательно распределить приоритеты требований, если возможно. Это создаст основу, на которой будут приниматься решения по планированию ресурсов на более поздних этапах процесса безопасности.
Дата добавления: 2015-11-14; просмотров: 61 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Определение условий окружения | | | Составление информационной политики безопасности |