Наблюдение за поставщиками услуг


Руководство и управление риском

Используя разработанную программу безопасности, организация руководит и управляет риском через развертывание следующих механизмов защиты.

  • Управление доступом к информации.
  • Физическое ограничение доступа к системам и записям.
  • Шифрование секретной информации при ее передаче.
  • Процедуры изменения и модификации системы не должны отрицательно влиять на безопасность.
  • Процедуры двустороннего контроля, сегрегация режимов работы и фоновые проверки.
  • Системы обнаружения вторжений для наблюдения за атаками.
  • Процедуры ответных действий при возникновении инцидента.
  • Защита окружающей среды для защиты записей от разрушения.

Руководящие указания требуют обучения сотрудников организации для осуществления программы, а также регулярных проверок на определение эффективности программы.

Примечание

Тестирование программы должно проводиться независимыми сторонами. Однако организация может проводить и свои собственные проверки.

Закон GLBA учитывает проблемы безопасности при вовлечении внешних сторонних организаций, предоставляющих финансовым институтам различные услуги. Эти организации могут получить доступ к секретной информации, поэтому их надо тщательно проверить. Руководящие указания определяют следующие требования.

  • Должное усердие при отборе поставщиков услуг. Необходим серьезный подход к отбору сторонних организаций, предоставляющих свои услуги.
  • Требования к поставщикам услуг о соблюдении безопасности. Организация должна требовать от своих поставщиков услуг соблюдения соответствующих мер безопасности - это оговаривается в контракте.
  • Наблюдение за поставщикам услуг. Организация должна вести мониторинг сторонних организаций для наблюдения за выполнением обязательств по контракту.
  • Корректировка программы. Организация должна вносить изменения в свою программу информационной безопасности, чтобы учитывать модификацию в технологиях и процедурах бизнеса, а также появление новых угроз.
  • Отчет руководству. Организация должна периодические отчитываться перед руководством о выполнении статей своей программы безопасности.

Выводы

Очевидно, что в этом случае нарушается закон 1030 Свода законов США. Однако, согласно закону 1030, величина общего ущерба должна составлять 5 000 долларов, поэтому нужно определить ущерб, причиненный в результате выполнения атаки. После определения взломанных систем не забудьте о проблемах, связанных с кредитными картами и авторскими правами. Утечка этой информации влечет за собой применение других статей закона.

 

 

6. Лекция: Политика информационной безопасности

 

Рассмотрены вопросы политики информационной безопасности, методика разработки политик, создания, развертывания и эффективного использования.

 

На первый взгляд, наверное, самая неинтересная часть профессиональной работы в сфере информационной безопасности - это разработка политики информационной безопасности (в дальнейшем просто «политики»). Развертывание политики не требует глубоких технических знаний и, таким образом, не очень привлекает профессионалов. Кроме того, не ждите благодарности, поскольку не многим сотрудникам понравятся результаты этой работы.

Политика устанавливает правила. Политика заставляет людей делать вещи, которые они не хотят делать. Но политика имеет огромное значение для организации и, вероятно, является наиболее важной работой отдела информационной безопасности.