ГОСТ Р ИСО ТО 13569-2007; Страница 29

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52992-2008 Колбасы полукопченые для детского питания. Технические условия Semi-smoked sausages for children's nutrition. Specifications (Настоящий стандарт распространяется на полукопченые колбасы, предназначенные для питания детей старше шести лет) ГОСТ Р 52958-2008 Шкурки меховые и овчины выделанные. Правила приемки, методы отбора образцов и подготовка их для контроля Dressed fur and sheеpskins. Rules of acceptance, methods of sampling and their preparation for control (Настоящий стандарт распространяется на выделанные меховые шкурки, овчины и меховые изделия и устанавливает правила приемки, методы отбора образцов для механических и физико-химических испытаний и подготовку их для контроля) ГОСТ Р ИСО 13397-4-2008 Стоматологические кюретки, инструменты для снятия зубных отложений и экскаваторы. Часть 4. Стоматологические экскаваторы – дисковидный тип. Конструкция и размеры. Методы испытаний Dental curettes, scalers and excavators. Part 4. Dental excavators - discoid type. Construction and sizes. Test methods (Настоящий стандарт устанавливает размеры для стоматологических экскаваторов с дисковидными рабочими частями)

Страница 29

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569— 2007

Программа повышения осведомленности о безопасностидолжна предусматривать ознакомительный

курсдля новых сотрудников и сотрудников другой организации. В случае введения новых приложений или

внесения значительных изменений в существующие приложения вданную программу целесообразно про

водить обучение сотрудников. Данной программой также должно быть предусмотрено постоянное изуче

ние проблем безопасности, появляющихся в прессе.

Для различных уровней управления и кадровой структуры характерны разные проблемы безопаснос

ти. При обращении ккаждому уровню необходимо учитывать их конкретные проблемы. Проблемы должны

быть в такой форме представлены, чтобы работники всех уровней и с различными навыками смогли их

понять. Управляющие делами должны быть осведомлены о внешних воздействиях, рисках и потенциале

потерь, а также нормативных требованиях кинформационной безопасности и требованиях аудита. Условие

по осведомленностидолжно соблюдаться как вусловиях бизнес-деятельности, так и в сфере ответственно

сти управляющегоделами.

9.7 Человеческий фактор

Сотрудники представляютсобой один из наиболее важных активов финансового учреждения. Заинте

ресованность и взаимодействие сотрудников очень важны для успешной реализации программы обеспе

чения информационной безопасности. Благодаря возросшей осведомленности о безопасности сотрудники

станут более внимательны и смогут замечатьотклонения от выполнения норм информационной безопасно

сти в технологических процессах или операционных процедурах организации, которые могут указывать на

возникновение проблемы безопасности.

С другой стороны, сотрудники могут совершать ошибки, неправильно использовать технологию, со

вершать преступные действия, что создает необходимость в переговорах руководителя службы обеспече

ния информационной безопасности со всеми отделами организации при разработке программы обеспече

ния информационной безопасности и повышения осведомленности сотрудников. Другие отделы могут вно

ситьсвой вклад в виде представления мнения о сотрудниках организации с целью минимизации вероятно

сти ошибок и предотвращения криминальнойдеятельности.

Некоторые должности в организации могут быть регламентированы как «доверенные», так как эти

должности дают право разрешать или запрашиватьдоступ к конфиденциальной кадровой или финансовой

информации. Другую доверенную должность может занимать сотрудник, имеющий широкие полномочия

или возможности, связанные с компьютерами или активами ИТ организации. Сотрудник, выбираемый на

«доверенные» должности, должен отличаться высокой честностью и проходить проверку биографии. Сот

рудники, занимающие доверенныедолжности, должны быть осведомлены о необходимости ограничения

обсуждения с семьей и знакомыми конфиденциальных подробностей о бизнесе. Конкуренты по бизнесу

могут пытаться прибегнуть к социотехнике или подстрекательству человека к раскрытию информации не

санкционированным лицам, а также использовать ложный интерес человека к работе, техническиедискус

сии и лесть, чтобы побудить служащего нечаянно раскрыть конфиденциальную информацию.

10 Меры защиты систем информационных технологий

10.1 Защита систем информационных технологий

Существует много способов обеспечения защиты систем ИТ. Меры защиты систем ИТ могут вклю

чать в себя политику организации. Однако, учитывая вопросы рассматриваемого раздела, меры управле

ния и защиты систем ИТ будут представлены настройками системы и внешними мерами противодействия

(например шифрование), которые могут использоваться дляобеспечения аутентификации, санкционирова

ния. конфиденциальности, целостности, доступности идругих услуг безопасности. Применяемые в настоя

щее время меры противодействия и управления будут также обсуждены и в будущем.

Вдополнение к первоначальному размещению мер управления и противодействия внешним воздей

ствиям организация должна предпринять шаги для обеспечения их долгосрочного функционирования и

поддержки. Иначе с течением времени, когда будут известны новые уязвимости, а установленные патчи —

проигнорированы, безопасность системы ухудшится. Эффективнодействующая программа обеспечения

безопасности должна включать в себя процессы и процедуры поддержки, обеспечивающие наличие необ

ходимых мер управления и защиты и их постоянное обновление.

10.2 Защитные моры аппаратных систем

Защита аппаратных систем всреде ИТ является решающей предпосылкой для поддержания целост

ности информационных активов. Некоторые из наиболее важных мер управления защитой критических

ресурсов приведены в приложении D. Настоящий стандарт не содержит попытки включить в него список

всех ресурсов ИТ, которые может использовать организация, а скорее содержит краткое обсуждение