Лучшие практики
В заключение хотелось бы обратить внимание на контроль-ориентированный подход в области информационной безопасности. Применение контрольного механизма или контрольной процедуры позволяет обозначить точки приложения внимания при построении системы управления информационной безопасностью. Из аудиторской практики известно, что контроль может быть признан эффективным, если для него определены четыре параметра: · кто выполняет контроль — роль, должность или конкретный сотрудник, в обязанности которых входит выполнение соответствующих процедур; · когда выполняется контроль — указание срока или условий, когда необходимо выполнить процедуры; · что делается в рамках контроля — описание самих процедур; · свидетельства выполнения контроля — что остается по результатам выполнения процедур и на основании чего можно проверить факт и качество их выполнения.
При описании контролей в стандартах или процедурах разработчику политик стоит придерживаться именно такой схемы изложения, описывая все четыре параметра для каждой из процедур или отдельных процессов процедуры. Таким образом он обеспечит однозначное понимание сути процедуры и определит структуру эффективного контроля.
|
