Настоящая Концепция предусматривает в дальнейшем разработку политики, программы обеспечения информационной безопасности. К системному подходу для обеспечения безопасности фирмы необходимо последовательно и настойчиво приучать, действуя методом последовательных приближений. В этих целях предусматривается следующая методика:

1. До руководства фирмы доводится проблематика информационной безопасности. Необходимо сделать все, чтобы классика этой проблемы была принципиально понята.

2. Следует показать, что классика проблематики основана на серьезных научных исследованиях и практическом опыте международного сообщества.

3. Необходимо сформулировать полный перечень классических аспектов безопасности и дать возможность осознать, что политика безопасности фирмы состоит в индивидуальной расстановке приоритетов этого набора аспектов.

4. Необходимо включить руководство фирмы в «соавторы» разработки политики.

5. Для гарантии успешности процесса по обеспечению безопасности фирмы необходим коллегиальный механизм, куда должны быть приглашены влиятельные по профильным направлениям специалисты фирмы. Члены этого органа должны быть проинформированы об угрозах информационной безопасности, стоимости их реализации, стоимости защиты по конкретным угрозам.

6. Необходимо обеспечить движение от простого к сложному. Необходимо, разъяснив, добиться официального утверждения, сделав его общепризнанным.

7. Определить с учетом требований настоящей Концепции «правила и процедуры», которые должны строго соблюдаться.

С позиций безопасности информационной инфраструктуры главные составляющие формулируются следующим образом:

— сохранность,

— целостность,

— доступность,

— конфиденциальность;

— законопослушность,

— доказательность,

— неотказуемость.

8. Терминология безопасности бизнеса:

Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности оперирует терминами «аспект безопасности», «управление безопасности», «сервис безопасности», «функция безопасности», «механизм безопасности», «процедура безопасности», «служба безопасности», «система безопасности»,» процесс безопасности», «продукт безопасности».

Под аспектом безопасности понимается структурированный комплекс проблем, рассматриваемый политикой, связанный с вероятной угрозой или группой одноплановых угроз безопасности информационной инфраструктуры (сохранности ресурсов, доступности, целостности, конфиденциальности информации и т. п.) Под Управлением безопасности понимается набор управленческих действий по поддержке аспекта безопасности (управление персоналом, рисками, информационными потоками, доступом к ресурсам, авторизацией, экранированием, неотказуемостью).

Под сервисом безопасности понимается систематизированный комплекс организационно-технических, аппаратно-программных решений, реализующий свойство защищенности по данному аспекту безопасности.

Под функцией безопасности понимается набор действий по поддержке сервиса безопасности в процессе его введения, эксплуатации и выведения.

Под процессом понимается исполнение в системе спецификации процедур, реализующих конкретную функцию.

Под механизмом безопасности понимается продукт или группа продуктов, реализующих функционально законченную часть сервиса безопасности.

Под процедурой безопасности понимается конкретное действие или набор действий по поддержке механизма безопасности в процессе его введения, эксплуатации и выведения.

Под службой безопасности понимается штатное или нештатное образование, осуществляющее исполнение функций и процедур в рамках конкретного сервиса.

Каждый из уровней политики должен четко и точно описывать нормативную базу, рассматриваемые аспекты безопасности, область их применения, конкретные решения, зоны полномочий, обязанности должностных лиц и их ответственность за выполнение принятых решений соответственно данному уровню по разделам:

— нормативная база;

— принципы,

— решения,

— ресурсы,

— зоны полномочий,

— обязанности,

— ответственность.

Помощник Генерального директора

«_»_20_ года