В этой главе обсуждались цели и задачи, определяющие, что именно нужно защищать. Эти цели относятся не только к аппаратным средствам и программному обеспечению, составляющим систему, но и охватывают весь технологический процесс при подготовке производства. Ваша способность обеспечить поддержку решений политики безопасности определит успех документа.

1. 1. Выясните, что должно быть защищено.

• Аппаратные средства. Центральные процессоры, платы, клавиатура, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы и маршрутизаторы.
• Программное обеспечение. Исходные программы, объектные программы, утилиты, диагностические программы, операционные системы и коммуникационные программы.
• Данные. Текущие, хранимые централизовано, автономные архивы, резервные копии, регистрационные журналы, базы данных, а также передаваемые по каналам связи.
• Документация. Программная, на аппаратные средства, на системы, и документация внутреннего делопроизводства.
• Расходные материалы. Бумага, бланки, красящая лента и магнитные носители.

1. 2. Определите, от кого нужно защищаться.

• От несанкционированного доступа к ресурсам и/или к информации.
• От непреднамеренного и/или несанкционированного раскрытия информации.
• От ошибок в программном обеспечении и ошибок пользователей.

1. 3. Анализ безопасности данных.

• Обработка данных (целостность и конфиденциальность).
• Работа со сторонней конфиденциальной запатентованной информацией (кто предоставил и на каких условиях).
• Защита открытых данных (соглашения о конфиденциальности и записи о полной открытости информации).
• Кадры и данные о персонале (право на неприкосновенность личной жизни и правила раскрытия).
• Правила лицензирования COTS (периодический просмотр, регистрация, свидетельство о соблюдении правовых норм, копирование).

1. 4. Резервные копии, архивное хранение и уничтожение данных.

• Резервирование. Что резервировать, когда, каким методом, насколько часто резервировать и как часто пересматривать процедуры резервирования.
• Архивное хранение резервных копий. Выбор между хранением на месте эксплуатации и хранением на внесистемных носителях, защита архива, документирование, тестирование, период хранения.
• Уничтожение данных. Ответственное лицо и система контроля.

1. 5. Правила защиты интеллектуальной собственности.

• Информация как важные активы компании.
• Выдача патента, авторских прав и других прав интеллектуальной собственности.
• Ссылки на источники информации.
• Присвоение авторских прав интеллектуальной собственности.
• Защита прав интеллектуальной собственности (наблюдение и надлежащее обеспечение).

1. 6. Реагирование на инциденты и судебные процессы.

• Отчетность об инцидентах и стратегия реагирования.
• Назначение ответственного лица.
• Работа с поставщиками услуг в сфере реагирования на инциденты и с бригадами реагирования.

1. 7. Компьютерные преступления.

• Понимание того, что компьютерные преступления реально зависят от законодательных мер.
• Определение того, о каких инцидентах стоит докладывать, а о каких не стоит.
• Работа в законодательном поле.