Что подразумевается под эффективностью управления, где находится граница между эффективностью и неэффективностью? Если этот вопрос задать экономистам, финансистам, кадровикам, маркетологам, производственникам, то получим совершенно разные ответы. Каждый из них видит предприятие "со своей кочки". Их взгляд может быть правильным, но ограниченным, не создающим полноценную картину.


Содержание

Пример управленческой политики организации

В предыдущем разделе я показал как нужно разрабатывать, внедрять и сопровождать политики безопасности. Далее я приведу пример управленческой политики в виде ролей и обязанностей персонала, который непосредственно связан с ИБ.

Роли и обязанности (общие положения)

Детально их обязанности будут описаны ниже.

― Руководители подразделений отвечают за доведение поло­жений политики безопасности до пользователей и за контак­ты с пользователями.

― Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию техничес­ких мер, необходимых для проведения в жизнь политики безопасности.

― Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, что их защита построена в соответствии с общей политикой безопасности.

― Пользователи обязаны использовать локальную сеть в соот­ветствии с политикой безопасности; подчиняться распоря­жениям лиц, отвечающих за отдельные аспекты безопаснос­ти, ставить в известность руководство обо всех подозритель­ных ситуациях.

Роли и обязанности (детальное изложение)

Руководители подразделений обязаны:

― Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.

― Проводить анализ рисков, выявляя активы, требующие за­щиты, и уязвимые места систем, оценивая размер возможно­го ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.

― Организовать обучение персонала мерам безопасности. Об­ратить особое внимание на вопросы, связанные с антивирус­ным контролем.

― Информировать администраторов локальной сети и админи­страторов сервисов об изменении статуса каждого из подчи­ненных (переход на другую работу; увольнение и т. п.).

― Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за его безопасность и имеющего достаточную квалификацию для выполнения этой роли.

Администраторы локальной сети обязаны:

― Информировать руководство об эффективности существую­щей политики безопасности и о технических мерах, которые могут улучшить защиту.

― Обеспечить защиту оборудования локальной сети, в том чис­ле интерфейсов с другими сетями.

― Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попыт­ках нарушения защиты. Оказывать помощь в отражении уг­розы, выявлении нарушителей и предоставлении информа­ции для их наказания.

― Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

― Ежедневно анализировать регистрационную информацию, отно­сящуюся к сети в целом и к файловым серверам в особенности.

Пользователи обязаны:

― Знать и соблюдать законы, правила, принятые в норматив­ных документах, политику безопасности, процедуры безо­пасности.

― Использовать доступные защитные механизмы для обеспе­чения конфиденциальности и целостности своей информа­ции.

― Использовать механизм защиты файлов и должным образом задавать права доступа.

Перейти на страницу: 1 2




© 2024 - www.managewind.ru