середовищі відкритих систем. До іншого підрозділу МТ, Бюро перепису, пред'являється вимога підтримки конфіденційності відповідей на питання при переписі. При таких різних завданнях і вимогах розробка загальної політики безпеки МТ, напевно, неможлива. Навіть усередині NIST існують великі відмінності відносно завдань і вимог до їх виконання, тому більшість політик
безпеки Інтернету розробляються на нижчому рівні.
Координація з іншими проблемними політиками. Інтернет - це тільки один з безлічі способів, якими організація зазвичай взаємодіє із зовнішніми джерелами інформації. Політика Інтернету повинна бути узгоджена з іншими політиками відносно взаємин із зовнішнім світом. Наприклад:
Фізичний доступ в будівлі і на територію організації. Інтернет - це як би електронні двері в організацію. До одних і тих же дверей може увійти як добро, так і зло. Організація, територія якої відкрита для входу, напевно, вже ухвалила рішення на основі аналізу рисок, що відвертість або необхідна для виконання організацією своїх завдань, або загроза дуже мала, що їй можна нехтувати. Аналогічна логіка застосовна до електронних дверей. Проте, існують серйозні відмінності. Фізичні погрози більш прив'язані до конкретного фізичного місця. А зв'язок з Інтернетом - це зв'язок зі всім світом. Організація, чия територія знаходиться в спокійному і безпечному місці, може вирішувати вхід на свою територію, але мати строгу політику відносно Інтернету.
Взаємодія із засобами масової інформації. Інтернет може бути формою для спілкування з суспільством. Багато організацій інструктують співробітників, як їм поводитися з кореспондентами або серед людей при роботі. Ці правила слід було б перенести і на електронну взаємодію. Багато співробітників не розуміють суспільний характер Інтернету.
Електронний доступ. Інтернет - це не єдина глобальна мережа. Організації використовують телефонні мережі і інші глобальні мережі(наприклад, SPRINT) для організації доступу видалених користувачів до своїх внутрішніх систем. При з'єднанні з Інтернетом і телефонною мережею існують аналогічні погрози і вразливі місця.
2.3. Втілення політики в життя
Не думайте, що як тільки ваша організація розробить велике число політик, директив або наказів, більше нічого не треба робити. Озирніться довкруги і подивіться, чи дотримують формально написані документи . Якщо немає, то ви можете або спробувати змінити сам процес розробки документів в організації (взагалі важко, але проте можливо), або оцінити, де є проблеми з її впровадженням і усувати їх.Оскільки, на жаль, розробка неформальної політики виходить за рамки даної публікації, цей дуже важливий процес не буде тут описаний. Більшість політик зазвичай визначають те, що хоче великий начальник. Щоб політика безпеки в Інтернеті була ефективною, великий начальник повинен розуміти, який вибір потрібно зробити і робити його самостійно. Зазвичай, якщо великий начальник довіряє розробленій політиці, вона коректуватиметься за допомогою неформальних механізмів.
Деякі зауваження з приводу політики
Для ефективності політика повинна бути наочною. Наочність допомагає реалізувати політику, допомагаючи гарантувати її знання і розуміння всіма співробітниками організації. Презентації, відеофільми, семінари, вечори питань і відповідей і статті у внутрішніх виданнях організації збільшують її наочність. Програма навчання в області комп'ютерної безпеки і контрольні перевірки дій в тих або інших ситуаціях можуть достатньо ефективно повідомити всіх користувачів про нову політику. З нею також потрібно знайомити всіх нових співробітників організації.
Політики комп'ютерної безпеки повинні доводитися так, щоб гарантувалася підтримка з боку керівників відділів, особливо, якщо на співробітників постійно сиплеться маса політик, директив, рекомендацій і наказів. Політика організації - це засіб довести позицію керівництва відносно комп'ютерної безпеки і явно вказати, що воно чекає від співробітників відносно
продуктивності їх роботи, дій в тих або інших ситуаціях і реєстрації своїх дій.
Для того, щоб бути ефективною, політика повинна бути узгоджена з іншими
існуючими директивами, законами, наказами і загальними завданнями організації. Вона також повинна бути інтегрована в і узгоджена з іншими політиками (наприклад, політикою по прийому на роботу). Одним із способів координації політик є узгодження їх з іншими відділами в ході розробки.
2.4. Приклади опису загальних принципів роботи в Інтернеті в політиках
У цьому розділі наводяться короткі приклади політик. Звичайно, можливі і інші формати, інший ступінь деталізації. Завдання цих прикладів - допомогти читачеві зрозуміти принципи їх розробки.
Перший приклад - організація, яка вирішила не обмежувати жодним чином взаємодію з Інтернетом. Хоча цей курс і чреватий багатьом небезпеками відносно безпеки, він може виявитися якнайкращим вибором для організації, якою потрібна відвертість або в якій немає постійного контролю начальників відділів за роботою підлеглих. В цілому таким організаціям можна порадити виділити найбільш важливі дані і обробляти їх окремо. Наприклад, деякі університети і коледжі потребують подібного середовища для навчання студентів (але не для адміністративних систем).
3.АНАЛІЗ ЗАГРОЗИ
В даний час виділення фінансових і людських ресурсів на забезпечення безпеки обмежене, і потрібно показати прибуток від вкладень в них. Інвестиції в інформаційну безпеку можуть розглядатися як інвестиції для збільшення прибули шляхом зменшення адміністративних витрат на її підтримку або для захисту від втрати прибули шляхом запобігання потенційним витратам у разі негативних комерційних наслідків. У будь-якому випадку вартість засобів забезпечення безпеки повинна відповідати ризику і прибутку для того середовища, в якому працює ваша організація.
Кажучи звичною мовою, ризик - це ситуація, коли загроза використовує вразливе місце для нанесення шкоди вашій системі. Політика безпеки забезпечує основу для впровадження засобів забезпечення безпеки шляхом зменшення числа вразливих місць і як наслідок зменшує ризик. Для того, щоб розробити ефективну і недорогу політику безпеки для захисту з'єднань з Інтернетом, потрібно виконати той або інший аналіз риски