Международный стандарт iso 17799
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- 4.1.5 Консультации специалистов по информационной безопасности
| ISO/EIC 17799:2000
© ISO/EIC 2000, © Перевод компании Информзащита 2004 17 4.1.4 Процесс утверждения средств обработки информации Требуется разработать процесс, согласно которому введение новых средств обработки информации будет утверждаться руководством. Необходимо принимать во внимание следующее: a) Новые средства должны пройти соответствующее утверждение среди руководства для однозначного определения их назначения и способа применения. Кроме того, руководитель, ответственный за поддержку безопасности локальной информационной системы, должен одобрить эти средства и подтвердить соблюдение всех необходимых условий и требований политики безопасности. b) При необходимости оборудование и программное обеспечение следует проверить на совместимость с другими компонентами системы. c) Примечание: для определенных подключений может потребоваться согласование типовых образцов. d) Применение личных средств обработки информации для работы с информацией организации и применение всех необходимых средств управления информационной безопасностью должно быть санкционировано. e) Применение личных средств обработки информации на рабочем месте может привести к появлению новых уязвимостей, поэтому в данном случае требуется их отдельная проверка и утверждение. Эти соображения имеют особую важность при работе в сетевой среде. 4.1.5 Консультации специалистов по информационной безопасности Как правило, консультации специалистов по безопасности требуются большинству организаций. В идеале следует пригласить опытного консультанта по информационной безопасности на постоянную работу. Однако не каждая организация имеет возможность включить в свой штат консультанта-специалиста. В подобных случаях рекомендуется назначить сотрудника, который будет координировать и согласовывать действия, связанные с вопросами безопасности в организации, и помогать при принятии решений в области безопасности. Такие сотрудники должны иметь возможность обращаться к сторонним консультантам для получения советов по вопросам, выходящим за рамки их компетенции. В обязанности консультантов по информационной безопасности должны входить консультации по всем аспектам информационной безопасности – как на основе собственного опыта, так и с привлечением специалистов со стороны. Эффективность средств информационной безопасности в организации будет определяться способностью такого консультанта оценить угрозы для безопасности и предложить рекомендации по поводу необходимых мер. Чтобы обеспечить максимальную эффективность, консультанты должны иметь возможность напрямую обращаться ко всем руководителям в организации. К консультанту по информационной безопасности следует обращаться как можно раньше в случае обнаружения уязвимостей или возникновения инцидентов, связанных с безопасностью, чтобы получить совет специалиста или помощь при изучении обстоятельств. Хотя в большинстве случаев внутренние расследования, связанные с безопасностью, проводятся представителями руководства, к ним можно привлечь и специалиста по информационной безопасности, который будет консультировать проводящих расследование сотрудников, руководить ими или осуществлять само расследование. |