В этой главе обсуждались цели
Резюме
В этой главе обсуждались цели и задачи, определяющие, что именно нужно защищать. Эти цели относятся не только к аппаратным средствам и программному обеспечению, составляющим систему, но и охватывают весь технологический процесс при подготовке производства. Ваша способность обеспечить поддержку решений политики безопасности определит успех документа.
- 1. Выясните, что должно быть защищено.
- Аппаратные средства. Центральные процессоры, платы, клавиатура, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы и маршрутизаторы.
- Программное обеспечение. Исходные программы, объектные программы, утилиты, диагностические программы, операционные системы и коммуникационные программы.
- Данные. Текущие, хранимые централизовано, автономные архивы, резервные копии, регистрационные журналы, базы данных, а также передаваемые по каналам связи.
- Документация. Программная, на аппаратные средства, на системы, и документация внутреннего делопроизводства.
- Расходные материалы. Бумага, бланки, красящая лента и магнитные носители.
- 2. Определите, от кого нужно защищаться.
- От несанкционированного доступа к ресурсам и/или к информации.
- От непреднамеренного и/или несанкционированного раскрытия информации.
- От ошибок в программном обеспечении и ошибок пользователей.
- 3. Анализ безопасности данных.
- Обработка данных (целостность и конфиденциальность).
- Работа со сторонней конфиденциальной запатентованной информацией (кто предоставил и на каких условиях).
- Защита открытых данных (соглашения о конфиденциальности и записи о полной открытости информации).
- Кадры и данные о персонале (право на неприкосновенность личной жизни и правила раскрытия).
- Правила лицензирования COTS (периодический просмотр, регистрация, свидетельство о соблюдении правовых норм, копирование).
- 4. Резервные копии, архивное хранение и уничтожение данных.
- Резервирование. Что резервировать, когда, каким методом, насколько часто резервировать и как часто пересматривать процедуры резервирования.
- Архивное хранение резервных копий. Выбор между хранением на месте эксплуатации и хранением на внесистемных носителях, защита архива, документирование, тестирование, период хранения.
- Уничтожение данных. Ответственное лицо и система контроля.
- 5. Правила защиты интеллектуальной собственности.
- Информация как важные активы компании.
- Выдача патента, авторских прав и других прав интеллектуальной собственности.
- Ссылки на источники информации.
- Присвоение авторских прав интеллектуальной собственности.
- Защита прав интеллектуальной собственности (наблюдение и надлежащее обеспечение).
- 6. Реагирование на инциденты и судебные процессы.
- Отчетность об инцидентах и стратегия реагирования.
- Назначение ответственного лица.
- Работа с поставщиками услуг в сфере реагирования на инциденты и с бригадами реагирования.
- 7. Компьютерные преступления.
- Понимание того, что компьютерные преступления реально зависят от законодательных мер.
- Определение того, о каких инцидентах стоит докладывать, а о каких не стоит.
- Работа в законодательном поле.