3. Создание СРД
ПРД определяют, что требуется защищать. Эта часть
рассматривает СРД и специфицирующие шаги, которые нужно
предпринять для проведения в жизнь ПРД.
3.1 ПРД определяют, что нужно защищать.
ПРД определяют: что нужно защищать, что является наиболее
важным, каковы приоритеты, и каким должен быть общий подход при
решении проблем защиты.
ПРД сами по себе не определяют, КАК защищать. Это - задача
СРД, которым и посвящен этот раздел. ПРД должны быть документом
концептуального уровня, описывающим общую стратегию. СРД же нужны
для того, чтобы детально описать, какие конкретные шаги должна
предпринять организация для собственной защиты.
ПРД должны включать анализ риска угроз, которым может
подвергаться организация, и последствия этих угроз (смотри раздел 2.2). Анализ риска должен включать общий список ценностей,
которые нужно защищать (раздел 2.2.2). Эта информация важна для создания наиболее эффективной СРД.
Часто возникает соблазн начать создание СРД сразу с описания
механизмов: "наша организация должна зарегистрировать
пользователей компьютеров, модемов и смарт-карт". Это подход
может привести к тому, что некоторые области будут слишком
защищены, а некоторые недостаточно. Если же вы начали с создания
ПРД и описания в ней всех рисков, то можете быть уверенным, что
ваша СРД обеспечит нужную степень защиты для всех ценностей.
Назад | Содержание | Вперед