В этой главе обсуждались цели
В этой главе обсуждались цели и задачи, определяющие,
что именно нужно защищать. Эти цели относятся не только к аппаратным средствам
и программному обеспечению, составляющим систему, но и охватывают весь
технологический процесс при подготовке производства. Ваша способность
обеспечить поддержку решений политики безопасности определит успех документа.
- 1. Выясните, что должно быть защищено.
- Аппаратные средства. Центральные
процессоры, платы, клавиатура, терминалы, рабочие станции, персональные
компьютеры, принтеры, дисководы, коммуникационные линии, терминальные
серверы и маршрутизаторы.
- Программное обеспечение.
Исходные программы, объектные программы, утилиты, диагностические программы,
операционные системы и коммуникационные программы.
- Данные. Текущие, хранимые
централизовано, автономные архивы, резервные копии, регистрационные
журналы, базы данных, а также передаваемые по каналам связи.
- Документация. Программная,
на аппаратные средства, на системы, и документация внутреннего делопроизводства.
- Расходные материалы. Бумага,
бланки, красящая лента и магнитные носители.
- 2. Определите, от кого нужно защищаться.
- От несанкционированного доступа к ресурсам и/или к информации.
- От непреднамеренного и/или несанкционированного раскрытия
информации.
- От ошибок в программном обеспечении и ошибок пользователей.
- 3. Анализ безопасности данных.
- Обработка данных (целостность и конфиденциальность).
- Работа со сторонней конфиденциальной запатентованной
информацией (кто предоставил и на каких условиях).
- Защита открытых данных (соглашения о конфиденциальности
и записи о полной открытости информации).
- Кадры и данные о персонале (право на неприкосновенность
личной жизни и правила раскрытия).
- Правила лицензирования COTS (периодический просмотр,
регистрация, свидетельство о соблюдении правовых норм, копирование).
- 4. Резервные копии, архивное хранение и уничтожение данных.
- Резервирование. Что резервировать,
когда, каким методом, насколько часто резервировать и как часто пересматривать
процедуры резервирования.
- Архивное хранение резервных копий.
Выбор между хранением на месте эксплуатации и хранением на внесистемных
носителях, защита архива, документирование, тестирование, период хранения.
- Уничтожение данных. Ответственное
лицо и система контроля.
- 5. Правила защиты интеллектуальной собственности.
- Информация как важные активы компании.
- Выдача патента, авторских прав и других прав интеллектуальной
собственности.
- Ссылки на источники информации.
- Присвоение авторских прав интеллектуальной собственности.
- Защита прав интеллектуальной собственности (наблюдение
и надлежащее обеспечение).
- 6. Реагирование на инциденты и судебные процессы.
- Отчетность об инцидентах и стратегия реагирования.
- Назначение ответственного лица.
- Работа с поставщиками услуг в сфере реагирования на
инциденты и с бригадами реагирования.
- 7. Компьютерные преступления.
- Понимание того, что компьютерные преступления реально
зависят от законодательных мер.
- Определение того, о каких инцидентах стоит докладывать,
а о каких не стоит.
- Работа в законодательном поле.
Содержание раздела