5 Podstawowe cele polityki bezpieczeństwa dla infrastruktury IT

Niektóre z podstawowych celów polityki bezpieczeństwa dla infrastruktury IT są następujące:

Konieczne jest sformułowanie polityki bezpieczeństwa dla infrastruktury IT i określenie jej celów.

Zdjęcie dzięki uprzejmości: mclnkd.licdn.com/mpr/mpr/p/7/005/01e/150/0343cbc.jpg

Cele te pomagają w opracowaniu planu bezpieczeństwa i ułatwiają okresową ocenę systemu bezpieczeństwa. Ogólnie rzecz biorąc, istnieje pięć podstawowych celów polityki bezpieczeństwa.

(a) Zapobieganie:

Pierwszym celem każdej polityki bezpieczeństwa byłoby zapobieżenie wystąpieniu uszkodzenia docelowego zasobu lub systemu.

(b) Wykrywanie:

Wczesne wykrywanie jest ważnym celem każdej polityki bezpieczeństwa. W rzeczywistości wczesne wykrywanie pomaga w osiągnięciu innych celów polityki bezpieczeństwa.

(c) Łagodzenie:

Konieczne jest zapewnienie, że kwota strat spowodowanych każdym wypadkiem lub atakiem jest ograniczona.

(d) Odzyskiwanie:

Po napotkaniu przez system wypadku lub ataku, odzyskiwanie po awarii jest ważnym celem do osiągnięcia, tak aby normalne operacje mogły zostać przywrócone jak najwcześniej.

(e) Odpowiedzialność:

Konieczne jest ustalenie odpowiedzialności za uszkodzenie systemu. Każda polityka bezpieczeństwa musi mieć na celu ustalenie odpowiedzialności za wystąpienie szkody, a sposób wynagradzania i kar musi być zdefiniowany w celu promowania przestrzegania środków bezpieczeństwa.

Cele te są wzajemnie zależne i stanowią ciągłość. Osiągnięcie jednego celu, bezpośrednio lub pośrednio, pomaga w osiągnięciu innych celów. W rzeczywistości wszystkie te cele wspólnie pomagają w osiągnięciu głównego celu, jakim jest zapewnienie bezpieczeństwa systemów informatycznych. Współzależności między tymi celami przedstawiono na rysunku 13.1.

Narzędzia bezpieczeństwa i środki kontroli są różne dla każdego celu. Te środki kontroli mają różne struktury kosztów i poziomy skuteczności. Opracowanie planu bezpieczeństwa infrastruktury IT wymagałoby zatem szczegółowego badania wrażliwości (a) różnych elementów infrastruktury IT oraz (b) narzędzi i środków kontrolnych odpowiednich dla każdego komponentu. Przed podjęciem ostatecznej decyzji dotyczącej planu bezpieczeństwa infrastruktury IT należy również przeprowadzić analizę kosztów i korzyści.