Цель
Информация, используемая в ЛВС Агентства XYZ,
является критической для выполнения организацией своих задач. Размер и сложность
ЛВС в пределах XYZ увеличилась и теперь она обрабатывает критическую информацию.
Из-за этого должны быть реализованы определенные меры и процедуры безопасности
для защиты информации, обрабатываемой в ЛВС XYZ. ЛВС XYZ обеспечивает разделение
информации и программ между большим числом пользователей. Эта среда увеличивает
риск безопасности и требует более сильных механизмов защиты, чем те, что были бы
необходимы при работе на отдельно стоящих ПК. Эти усиленные требования к
защите в вычислительной среде XYZ послужили причиной появления этой
политики, которая касается использования ЛВС в XYZ.
Эта политика имеет две
цели. Первая — подчеркнуть для всех служащих XYZ важность безопасности в среде
ЛВС XYZ и явно указать их роли при поддержании этой
безопасности. Вторая — установить определенные обязанности по обеспечению
безопасности данных и информации, и самой ЛВС XYZ.
Степень детализации
Все
автоматизированные информационные ценности и службы, которые используются
локальной вычислительной сетью (ЛВС) XYZ, охватываются этой политикой. Она
одинаково применима к серверам ЛВС, периферийному оборудованию,
автоматизированным рабочим местам и персональным компьютерам (ПК) в
пределах среды ЛВС XYZ. Ресурсы ЛВС XYZ включают данные, информацию,
программное обеспечение, аппаратные средства, средства обслуживания и
телекоммуникации. Политика применима ко всем лицам, имеющим отношение к XYZ ЛВС,
включая всех служащих XYZ, поставщиков и работающих по контракту, которые
используют XYZ ЛВС.
Цели
Цели программы защиты информации XYZ состоят в
том, чтобы гарантировать целостность, доступность и конфиденциальность данных,
которые должны быть достаточно полными, точными, и своевременными, чтобы
удовлетворять потребности XYZ, не жертвуя при этом основными принципами,
описанными в этой политике. Определяются следующие цели:
- Гарантировать, что в среде ЛВС XYZ обеспечивается соответствующая
безопасность, соответствующая критичности информации и т.д..;
- Гарантировать, что безопасность является рентабельной и основана на
соотношении стоимости и риска, или необходимо удовлетворяет
соответствующим руководящим требованиям;
- Гарантировать, что обеспечена соответствующая поддержка защиты
данных в каждой функциональной области;
- Гарантировать индивидуальную подотчетность для данных, информации, и
других компьютерных ресурсов, к которым осуществляется доступ;
- Гарантировать проверяемость среды ЛВС XYZ;
- Гарантировать, что служащие будут обеспечены достаточно полными
руководствами по распределению обязанностей относительно поддержания
безопасности при работе в автоматизированной информационной системе;
- Гарантировать, что для всех критических функций XYZ ЛВС имеются
соответствующие планы обеспечения непрерывной работы, или планы восстановления
при стихийных бедствиях;
- Гарантировать что все соответствующие федеральные и организационные
законы, указы и т.д. учтены и их твердо придерживаются.
Ответственность
Следующие группы сотрудников
несут ответственность за внедрение и достижение целей безопасности,
сформулированных в этой политике. Детальные обязанности представлены в
Обязанностях по Обеспечению Защиты ЛВС XYZ.
1.
Функциональное
руководство (ФР) — те служащие, кто несет ответственность согласно своим
функциональным обязанностям (не в области компьютерной безопасности) внутри XYZ.
Функциональное Руководство отвечает за информирование сотрудников
относительно этой политики, гарантию того, что каждый сотрудник имеет ее копию,
и взаимодействие со всеми служащими по проблемам безопасности. 2.
Администраторы ЛВС (АД) — служащие, кто участвуют в ежедневном управлении
и поддержании работоспособности ЛВС XYZ. Они отвечают за обеспечение
непрерывного функционирования ЛВС.
Администраторы ЛВС отвечают за
осуществление соответствующих мер защиты в ЛВС в соответствии с политикой
безопасности ЛВС XYZ . 3.
Местные Администраторы (МА) — служащие,
которые являются ответственными за предоставление конечным пользователям доступа
к необходимым ресурсам ЛВС, которые размещены на серверах, входящих в их зону
ответственности.
Местные администраторы отвечают за обеспечение защиты
своих серверов — в соответствии с политикой безопасности ЛВС XYZ. 4.
Конечные пользователи (П) — являются любыми служащими, которые имеют
доступ к ЛВС XYZ. Они отвечают за использование ЛВС в соответствии с
политикой безопасности ЛВС.
Все пользователи данных отвечают за соблюдение
специфических политик безопасности, установленных теми лицами, кто
несет основную ответственностью за защиту тех или иных данных, и за доклад
руководству о любом подозрении на нарушение защиты.
Наказания
Отказ соблюдать эту политику может
подвергнуть информацию XYZ недопустимому риску потери конфиденциальности,
целостности или доступности при ее хранении, обработке или передаче в ЛВС XYZ.
Нарушения стандартов, процедур или руководств, поддерживающих эту
политику, будут привлечь внимание руководства и могут привести к дисциплинарной
ответственности вплоть до увольнения со службы.
