Международный стандарт iso 17799



Pdf көрінісі
бет23/108
Дата09.09.2023
өлшемі0.79 Mb.
#476996
түріРеферат
1   ...   19   20   21   22   23   24   25   26   ...   108
ISO IEC 17799 2000 rus

ISO/EIC 17799:2000 
© ISO/EIC 2000,
© Перевод компании Информзащита 2004 
17
4.1.4 Процесс утверждения средств обработки информации 
Требуется разработать процесс, согласно которому введение новых средств обработки 
информации будет утверждаться руководством.
Необходимо принимать во внимание следующее:
a) Новые средства должны пройти соответствующее утверждение среди руководства для 
однозначного определения их назначения и способа применения.
Кроме того, 
руководитель, ответственный за поддержку безопасности локальной информационной 
системы, должен одобрить эти средства и подтвердить соблюдение всех необходимых 
условий и требований политики безопасности. 
b) При необходимости оборудование и программное обеспечение следует проверить на 
совместимость с другими компонентами системы.
c) Примечание: для определенных подключений может потребоваться согласование 
типовых образцов.
d) Применение личных средств обработки информации для работы с информацией 
организации и применение всех необходимых средств управления информационной 
безопасностью должно быть санкционировано.
e) Применение личных средств обработки информации на рабочем месте может привести 
к появлению новых уязвимостей, поэтому в данном случае требуется их отдельная 
проверка и утверждение.
Эти соображения имеют особую важность при работе в сетевой среде.
4.1.5 Консультации специалистов по информационной безопасности 
Как правило, консультации специалистов по безопасности требуются большинству 
организаций.
В идеале следует пригласить опытного консультанта по информационной 
безопасности на постоянную работу.
Однако не каждая организация имеет возможность 
включить в свой штат консультанта-специалиста.
В подобных случаях рекомендуется 
назначить сотрудника, который будет координировать и согласовывать действия, связанные с 
вопросами безопасности в организации, и помогать при принятии решений в области 
безопасности.
Такие сотрудники должны иметь возможность обращаться к сторонним 
консультантам для получения советов по вопросам, выходящим за рамки их компетенции. 
В обязанности консультантов по информационной безопасности должны входить 
консультации по всем аспектам информационной безопасности – как на основе собственного 
опыта, так и с привлечением специалистов со стороны.
Эффективность средств 
информационной безопасности в организации будет определяться способностью такого 
консультанта оценить угрозы для безопасности и предложить рекомендации по поводу 
необходимых мер.
Чтобы обеспечить максимальную эффективность, консультанты должны 
иметь возможность напрямую обращаться ко всем руководителям в организации. 
К консультанту по информационной безопасности следует обращаться как можно раньше в 
случае обнаружения уязвимостей или возникновения инцидентов, связанных с 
безопасностью, чтобы получить совет специалиста или помощь при изучении обстоятельств.
Хотя в большинстве случаев внутренние расследования, связанные с безопасностью, 
проводятся представителями руководства, к ним можно привлечь и специалиста по 
информационной безопасности, который будет консультировать проводящих расследование 
сотрудников, руководить ими или осуществлять само расследование. 




Достарыңызбен бөлісу:
1   ...   19   20   21   22   23   24   25   26   ...   108




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет