Новые аспекты обеспечения безопасности и соответствия нормативным требованиям в сфере ИТ
Зачастую меры по обеспечению безопасности ИТ носят разрозненный характер. Для минимизации внешних угроз устанавливаются брандмауэры, для проверки почты устанавливается антивирусное ПО, для проверки подлинности пользователей, осуществляющих доступ к отдельным базам данных и папкам, применяются схемы защиты паролем и так далее. В настоящее время вопросы обеспечения безопасности и соответствия нормативным требованиям в сфере ИТ вышли на передний план и привлекают к себе повышенное внимание. Руководителям предприятий и аудиторам необходимы формальные процессы и политики для управления этой важной областью инвестиций.
Политика обеспечения безопасности
Политика обеспечения безопасности - это современный инструмент, наиболее важный для обеспечения безопасности инфраструктуры ИТ. Разработка политики обеспечения безопасности входит в сферу ответственности руководителей предприятий. Она обеспечивает простоту взаимодействия с ИТ-специалистами при анализе достижимых результатов. Это информация, которая позволяет лицам, проводящим проверки в области соответствия нормативным требованиям, оценивать текущее состояние уровня обеспечения безопасности. Например, политика, ориентированная на данные, может определять, кто, с какой целью и к каким данным имеет право доступа, не раскрывая подробных сведений о том, каким образом достигается выполнение поставленных задач. Ниже описаны действия, необходимые для обеспечения безопасности и соответствия нормативным требованиям.
- Определение политики обеспечения безопасности
- Реализация политики обеспечения безопасности
- Мониторинг соответствия нормативным требованиям
- Получение независимого заключения о том, что политика обеспечения безопасности является обоснованной и реализована должным образом
Несмотря на то что задача обеспечения безопасности и соответствия нормативным требованиям может быть достаточно простой, определение политики и ее реализация – это скрупулезный процесс. Несмотря на это, вероятно, большинство организаций в ближайшем будущем будут иметь хорошо документированные политики обеспечения безопасности.
| 
