Директивы оэср

25 июля 2002 г. Совет Организации экономического сотрудничества и развития (ОЭСР) принял Директивы по безопасности информационных систем и сетей «К культуре безопасности» (далее — Директивы). Директивы состоят из 9 принципов, составляющих структуру рассматриваемых вопросов безопасности. Принципы имеют краткие и основополагающие формулировки, благодаря которым доступны для понимания всеми участниками.

Девять принципов Директив могут быть сгруппированы в три основные категории.

1. Опорные принципы: осознание; ответственность; реакция.

2. Общественные принципы: этика; демократия.

3. Принципы жизненного цикла безопасности: оценка риска; проектирование и реализация безопасности; менеджмент безопасности; ревизия.

Опорные принципы сосредоточиваются на необходимости сознавать риски, предпринимать ответственное действие, связанное с этими рисками, и координировать это действие в своевременной реакции. Общественные принципы обращаются к вопросам, связанным с поведением, честностью, открытостью, прозрачностью и ценностями. Последние четыре принципа более оперативны по своему характеру и обращаются к «жизненному циклу безопасности». Они сосредоточиваются на необходимости:

— идентифицировать и оценивать риски;

— проектировать и реализовывать системы и решения, соответствующие требуемому уменьшению рисков;

— разрабатывать политики, процессы и процедуры, необходимые для обращения с этими системами и решениями;

— пересматривать риски, системы, решения, политику, процедуры и процессы в свете новых рисков, новых технологий, инцидентов и нормального жизненного цикла систем.

Концепция культуры безопасности заключает в себе понятие того, что уместно для роли индивидуальных участников и ситуаций. Хотя многие концепции безопасности и вопросы политики кажутся уместными только на уровне предприятия, они применяются и в домашнем офисе, и на малых и средних предприятиях. Культура безопасности должна вылиться в интуитивное поведение и реакцию. Инструментальные средства, такие как программы проверки на вирусы, могут быть полезны только в том случае, если они используются и обновляются. Пароли и другие аутентификационные процедуры будут эффективны только в том случае, если они хранятся в тайне. Эти концепции должны стать рефлекторными.

Международная торговая палата и Консультативный комитет ОЭСР по предпринимательству и промышленностиот имени мирового делового сообщества надеются способствовать распространению и реализации Директив. Этот документ должен стать жизненным документом, он будет обновляться по мере необходимости, чтобы отражать меняющиеся обстоятельства и развивающиеся настоятельные требования безопасности.

Основным механизмом реализации единой согласованной государственной политики в сфере ИТ является федеральная целевая программа «Электронная Россия (2002–2010 годы)».

Кэмерон \


Читать еще…

Понравилась статья? Поделиться с друзьями: