Иллюстрированный самоучитель по Development of safety
       

В этой главе обсуждались цели



В этой главе обсуждались цели и задачи, определяющие, что именно нужно защищать. Эти цели относятся не только к аппаратным средствам и программному обеспечению, составляющим систему, но и охватывают весь технологический процесс при подготовке производства. Ваша способность обеспечить поддержку решений политики безопасности определит успех документа.
  • 1. Выясните, что должно быть защищено.

  • Аппаратные средства. Центральные процессоры, платы, клавиатура, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы и маршрутизаторы.

  • Программное обеспечение. Исходные программы, объектные программы, утилиты, диагностические программы, операционные системы и коммуникационные программы.

  • Данные. Текущие, хранимые централизовано, автономные архивы, резервные копии, регистрационные журналы, базы данных, а также передаваемые по каналам связи.

  • Документация. Программная, на аппаратные средства, на системы, и документация внутреннего делопроизводства.

  • Расходные материалы. Бумага, бланки, красящая лента и магнитные носители.

  • 2. Определите, от кого нужно защищаться.

  • От несанкционированного доступа к ресурсам и/или к информации.

  • От непреднамеренного и/или несанкционированного раскрытия информации.

  • От ошибок в программном обеспечении и ошибок пользователей.

  • 3. Анализ безопасности данных.

  • Обработка данных (целостность и конфиденциальность).

  • Работа со сторонней конфиденциальной запатентованной информацией (кто предоставил и на каких условиях).

  • Защита открытых данных (соглашения о конфиденциальности и записи о полной открытости информации).

  • Кадры и данные о персонале (право на неприкосновенность личной жизни и правила раскрытия).

  • Правила лицензирования COTS (периодический просмотр, регистрация, свидетельство о соблюдении правовых норм, копирование).

  • 4. Резервные копии, архивное хранение и уничтожение данных.

  • Резервирование. Что резервировать, когда, каким методом, насколько часто резервировать и как часто пересматривать процедуры резервирования.

  • Архивное хранение резервных копий. Выбор между хранением на месте эксплуатации и хранением на внесистемных носителях, защита архива, документирование, тестирование, период хранения.

  • Уничтожение данных. Ответственное лицо и система контроля.

  • 5. Правила защиты интеллектуальной собственности.

  • Информация как важные активы компании.

  • Выдача патента, авторских прав и других прав интеллектуальной собственности.

  • Ссылки на источники информации.

  • Присвоение авторских прав интеллектуальной собственности.

  • Защита прав интеллектуальной собственности (наблюдение и надлежащее обеспечение).

  • 6. Реагирование на инциденты и судебные процессы.

  • Отчетность об инцидентах и стратегия реагирования.

  • Назначение ответственного лица.

  • Работа с поставщиками услуг в сфере реагирования на инциденты и с бригадами реагирования.

  • 7. Компьютерные преступления.

  • Понимание того, что компьютерные преступления реально зависят от законодательных мер.

  • Определение того, о каких инцидентах стоит докладывать, а о каких не стоит.

  • Работа в законодательном поле.





    • Содержание раздела