Desenvolver e implementar documentados de segurança políticas, normas, procedimentos e diretrizes
Video: Segurança da Informação - Normas e Procedimentos
Conteúdo
políticas de segurança, normas, procedimentos e diretrizes são todos diferentes uns dos outros, mas eles também interagir uns com os outros em uma variedade de maneiras. É importante entender essas diferenças e relacionamentos, e também para reconhecer os diferentes tipos de políticas e suas aplicações.
Para desenvolver e implementar segurança de informações políticas, padrões, diretrizes e procedimentos com sucesso, você deve garantir que seus esforços são consistentes com a organização da missão, metas e objetivos.
Políticas, normas, procedimentos e diretrizes todos trabalhar juntos como os planos para um programa de segurança de informação bem sucedida. Eles
- Estabelecer governança.
- Fornecer orientações úteis e apoio à decisão.
- Ajudar a estabelecer autoridade legal.
Demasiadas vezes, as soluções técnicas de segurança são implementadas sem esses importantes projetos. Os resultados são muitas vezes caros e ineficazes controles que não são uniformemente aplicadas e não suportam uma estratégia global de segurança.
Governança é um termo que representa coletivamente o sistema de políticas, normas, diretrizes e procedimentos que ajudam a orientar as operações e decisões de uma organização do dia-a-dia.
políticas
UMA política de segurança constitui a base do programa de segurança da informação de uma organização. RFC 2196, O Manual de Segurança do site, define uma política de segurança como “uma declaração formal de regras pelas quais as pessoas que tenham acesso a ativos de tecnologia e informação de uma organização devem respeitar.”
Os quatro principais tipos de políticas são
- Alta Administração: Uma declaração de gestão de alto nível de objetivos de uma organização de segurança, responsabilidades organizacionais e individuais, ética e crenças, e as exigências e controles gerais.
- regulamentar: políticas altamente detalhadas e concisas normalmente mandatado pelo federal, estadual, indústria ou outros requisitos legais.
- Consultivo: Não é obrigatório, mas altamente recomendado, muitas vezes com penalidades ou consequências específicas em caso de incumprimento. A maioria das políticas se enquadram nesta categoria.
- Informativo: Apenas informa, sem exigências explícitas para o cumprimento.
Normas, procedimentos e diretrizes estão a apoiar elementos de uma política e fornecer detalhes específicos de implementação da política.
ISO / IEC 27002, Tecnologia da Informação - Técnicas de segurança - Código de Boas Práticas para a Gestão da Segurança da Informação, é um padrão internacional para a política de segurança da informação. ISO / IEC é a Organização Internacional de Normalização e da Comissão Electrotécnica Internacional. ISO / IEC 27002 consiste em 12 secções que em grande parte (mas não completamente) se sobrepõem os domínios oito (ISC) 2 de segurança.
Video: Curso Online de Licenciamento Ambiental – das Diretrizes e Procedimentos- Apresentação
Padrões (e linhas de base)
Padrões são, requisitos obrigatórios específicos que ainda definir e apoiar as políticas de nível superior. Por exemplo, um padrão pode exigir a utilização de uma tecnologia específica, tal como um requisito mínimo para a codificação dos dados sensíveis usando AES. Um padrão pode ir tão longe como para especificar o exato marca, produto ou protocolo a ser implementado.
As linhas de base são semelhantes e relacionados aos padrões. Uma linha de base pode ser útil para identificar uma base consistente para a arquitetura de segurança da organização, tendo em conta os parâmetros específicos do sistema, tais como diferentes sistemas operacionais. Depois de linhas de base consistentes são estabelecidas, padrões apropriados podem ser definidos em toda a organização.
Algumas organizações chamam seus padrões de documentos de configuração (e outros ainda chamá-los de ambientes operacionais padrão) em vez de linhas de base. Esta é uma prática comum e aceitável.
procedimentos
procedimentos fornecer instruções detalhadas sobre como implementar políticas específicas e satisfazer os critérios definidos nos padrões. Procedimentos podem incluir Procedimentos Operacionais Padrão (POPs), livros funcionam, e guias do usuário. Por exemplo, um procedimento pode ser um guia passo-a-passo para criptografar arquivos confidenciais usando um produto de criptografia de software específico.
Orientações
Orientações são semelhantes aos padrões, mas eles funcionam como recomendações e não como requisitos obrigatórios. Por exemplo, uma orientação pode fornecer dicas e recomendações para determinar a sensibilidade de um arquivo e se a criptografia é necessária.