Πίνακας περιεχομένων:
Βίντεο: Adv-Cyp-Grk 6.1 Ρύθμιση διαμονής και εργασίας αλλοδαπών στη χώρα υποδοχής 2024
Πολιτικές ασφάλειας, πρότυπα, διαδικασίες και οδηγίες είναι διαφορετικές μεταξύ τους, αλλά αλληλεπιδρούν μεταξύ τους σε ποικιλία των τρόπων. Είναι σημαντικό να κατανοήσουμε αυτές τις διαφορές και τις σχέσεις, καθώς και να αναγνωρίσουμε τους διαφορετικούς τύπους πολιτικών και τις εφαρμογές τους.
Για την επιτυχή ανάπτυξη και εφαρμογή πολιτικών, προτύπων, οδηγιών και διαδικασιών ασφάλειας πληροφοριών, πρέπει να διασφαλίσετε ότι οι προσπάθειές σας είναι συνεπείς με την αποστολή, τους στόχους και τους στόχους της οργάνωσης.
Οι πολιτικές, τα πρότυπα, οι διαδικασίες και οι κατευθυντήριες γραμμές λειτουργούν από κοινού ως τα σχέδια για ένα επιτυχημένο πρόγραμμα ασφάλειας πληροφοριών.
- Δημιουργία διακυβέρνησης.
- Παρέχετε πολύτιμη καθοδήγηση και υποστήριξη αποφάσεων.
- Βοηθήστε στη δημιουργία νομικής εξουσίας.
Πολύ συχνά, οι λύσεις τεχνικής ασφάλειας υλοποιούνται χωρίς αυτά τα σημαντικά σχέδια. Τα αποτελέσματα είναι συχνά ακριβοί και αναποτελεσματικοί έλεγχοι που δεν εφαρμόζονται ομοιόμορφα και δεν υποστηρίζουν μια γενική στρατηγική ασφάλειας.
είναι ένας όρος που αντιπροσωπεύει συλλογικά το σύστημα πολιτικών, προτύπων, κατευθυντήριων γραμμών και διαδικασιών που βοηθούν στην καθοδήγηση των καθημερινών λειτουργιών και αποφάσεων του οργανισμού. ΠολιτικέςΗ πολιτική ασφαλείας
αποτελεί τη βάση του προγράμματος ασφάλειας ενός οργανισμού. RFC 2196, Το Εγχειρίδιο Ασφαλείας Site, ορίζει μια πολιτική ασφάλειας ως "επίσημη δήλωση των κανόνων με τους οποίους πρέπει να συμμορφώνονται οι άνθρωποι που έχουν πρόσβαση στην τεχνολογία και τα πληροφοριακά στοιχεία ενός οργανισμού. "
Οι τέσσερις κύριοι τύποι πολιτικών είναιΑνώτερη Διοίκηση:
- Δήλωση υψηλού επιπέδου διαχείρισης των στόχων ασφάλειας ενός οργανισμού, οργανωτικές και ατομικές ευθύνες, ηθική και πεποιθήσεις, ελέγχους. Ρυθμιστικά στοιχεία:
- Πολύ λεπτομερείς και συνοπτικές πολιτικές που συνήθως απαιτούνται από ομοσπονδιακές, κρατικές, βιομηχανικές ή άλλες νομικές απαιτήσεις. Συμβουλευτική:
- Δεν είναι υποχρεωτική, αλλά συνιστάται, συχνά με συγκεκριμένες κυρώσεις ή συνέπειες για μη συμμόρφωση. Οι περισσότερες πολιτικές εμπίπτουν σε αυτήν την κατηγορία. Πληροφοριακό:
- Μόνο ενημερώνει, χωρίς ρητές απαιτήσεις συμμόρφωσης. Τα πρότυπα, οι διαδικασίες και οι κατευθυντήριες γραμμές υποστηρίζουν στοιχεία μιας πολιτικής και παρέχουν συγκεκριμένες λεπτομέρειες εφαρμογής της πολιτικής.
ISO / IEC 27002, Τεχνολογίες Πληροφορικής - Τεχνικές Ασφάλειας - Κώδικας Πρακτικής για τη Διαχείριση της Ασφάλειας Πληροφοριών, είναι ένα διεθνές πρότυπο για την πολιτική ασφάλειας πληροφοριών.Το ISO / IEC είναι ο Διεθνής Οργανισμός Τυποποίησης και η Διεθνής Ηλεκτροτεχνική Επιτροπή. Το ISO / IEC 27002 αποτελείται από 12 τμήματα που σε μεγάλο βαθμό (αλλά όχι εντελώς) επικαλύπτουν τους οκτώ τομείς ασφαλείας (ISC) 2.
Πρότυπα (και βασικές γραμμές)
Τα πρότυπα
είναι συγκεκριμένες, υποχρεωτικές απαιτήσεις που καθορίζουν περαιτέρω και υποστηρίζουν πολιτικές υψηλότερου επιπέδου. Για παράδειγμα, ένα πρότυπο μπορεί να απαιτεί τη χρήση συγκεκριμένης τεχνολογίας, όπως η ελάχιστη απαίτηση για κρυπτογράφηση ευαίσθητων δεδομένων χρησιμοποιώντας το AES. Ένα πρότυπο μπορεί να φτάσει μέχρι και να καθορίσει την ακριβή μάρκα, το προϊόν ή το πρωτόκολλο που θα εφαρμοστεί. Οι γραμμές βάσης
είναι παρόμοιες με και σχετίζονται με τα πρότυπα. Μια βασική γραμμή μπορεί να είναι χρήσιμη για τον εντοπισμό μιας σταθερής βάσης για την αρχιτεκτονική ασφαλείας ενός οργανισμού, λαμβάνοντας υπόψη παράμετροι συγκεκριμένου συστήματος, όπως διαφορετικά λειτουργικά συστήματα. Μετά τη θέσπιση σταθερών βασικών γραμμών, μπορούν να οριστούν κατάλληλα πρότυπα σε ολόκληρο τον οργανισμό. Ορισμένοι οργανισμοί καλούν τα πρότυπα των εγγράφων διαμόρφωσης (και άλλοι άλλοι αποκαλούν τα τυπικά περιβάλλοντα λειτουργίας) αντί για τις βασικές γραμμές. Αυτή είναι μια κοινή και αποδεκτή πρακτική.
Διαδικασίες
Οι διαδικασίες
παρέχουν λεπτομερείς οδηγίες για την εφαρμογή συγκεκριμένων πολιτικών και την εκπλήρωση των κριτηρίων που ορίζονται στα πρότυπα. Οι διαδικασίες μπορεί να περιλαμβάνουν τις τυποποιημένες διαδικασίες λειτουργίας (SOP), τα βιβλία εκτέλεσης και τους οδηγούς χρήσης. Για παράδειγμα, μια διαδικασία μπορεί να είναι ένας οδηγός βήμα προς βήμα για την κρυπτογράφηση ευαίσθητων αρχείων χρησιμοποιώντας ένα συγκεκριμένο προϊόν κρυπτογράφησης λογισμικού. Οι Οδηγίες
Οι Οδηγίες
είναι παρόμοιες με τα πρότυπα, αλλά λειτουργούν ως συστάσεις και όχι ως υποχρεωτικές απαιτήσεις. Για παράδειγμα, μια κατευθυντήρια οδηγία μπορεί να παρέχει συμβουλές ή συστάσεις για τον προσδιορισμό της ευαισθησίας ενός αρχείου και αν απαιτείται κρυπτογράφηση.
