Рецензии на книги: Создание политик безопасности и определение ролей безопасности

Опубликовано: 12 Апреля, 2023

  • Рецензии на книги: книги по безопасности
  • Рецензии на книги: больше книг по безопасности

Политики информационной безопасности стали проще, версия 10

Разработка политик безопасности всегда была проблемой для ИТ-отделов. Это связано с тем, что разработка политик — это управленческая дисциплина, а не техническая, и ИТ-специалисты обычно скорее перестраивают сервер, чем пишут страницу материала по политике. Вот почему Information Security Policies Made Easy (10-е издание, Information Shield) может быть действительно полезным дополнением для ИТ-отделов крупных компаний. Хотя это и недешево, огромное количество полезной информации и прилагаемый компакт-диск делают эту книгу выгодным вложением средств. В дополнение к объяснению того, что такое политики и как они разрабатываются, книга содержит более тысячи шаблонов политик, которые вы можете комбинировать и сопоставлять для создания собственных корпоративных политик безопасности без особых усилий. Каждый шаблон политики включает комментарий, подробно объясняющий назначение политики, целевую аудиторию политики и тип среды безопасности, к которой применяется политика. Эти политики-шаблоны охватывают организационную безопасность, управление активами, кадровые вопросы, физическую безопасность, коммуникации и операции, контроль доступа, разработку систем, обеспечение непрерывности бизнеса и соблюдение требований — короче говоря, почти все!

Также представлены примеры политик для сетевой безопасности, электронной почты, внешних коммуникаций, использования Интернета, конфиденциальности и многого другого. Плюс более дюжины приложений с дополнительной полезной информацией об использовании политики и ее неправильном использовании. Кроме того, в комплект входит компакт-диск, который поможет вам быстро и легко создать индивидуальную политику для каждого аспекта архитектуры информационной безопасности вашей организации. Что ж, возможно, не так быстро, поскольку политики должны вырастать из бизнес-целей вашей организации и терпимости к риску, а процесс создания таких политик обычно включает работу комитетов в нескольких бизнес-подразделениях. Тем не менее, эта книга дает вам инструмент для быстрого создания черновиков политик для дальнейшего обсуждения и уточнения, а также помогает убедиться, что вы рассмотрели большинство важных основ, касающихся этих черновиков политик. Кроме того, это помогает ИТ-персоналу, которому не хватает устной речи, создавать профессионально звучащие политики, сформулированные четко и точно. В общем, неплохой ресурс, если ваш основной язык общения — VBScript или Perl!

Роли и обязанности в области информационной безопасности стали проще, версия 2

Но это не все. У информационного щита также есть второе название под названием «Простые роли и обязанности в области информационной безопасности» (2-е издание), которое помогает организациям решать еще один важный аспект разработки эффективной программы информационной безопасности, а именно определение различных ролей и обязанностей, связанных с обеспечением безопасности бизнес-активов организации. безопасный. Это также означает помощь в создании документов, определяющих эти роли и обязанности, которые включают в себя формулировки задач для различных отделов, должностные инструкции, начиная от ИТ-директора и заканчивая персоналом службы поддержки, отношения отчетности, организационные структуры, справочники, памятки, планы действий и многое другое. Кроме того, есть отличное обсуждение распространенных ошибок, которых организациям следует избегать, таких как неспособность получить исполнительную поддержку для инициатив по информационной безопасности, неспособность сопоставить подотчетность с уровнем ответственности, инициирование крупных проектов до четкого определения ролей и обязанностей, создание чрезмерно подробных должностных инструкций, отсутствие проверки соответствия, неопределенный процесс сообщения об ошибках и так далее. Кроме того, как и в предыдущем заголовке выше, эта книга также включает компакт-диск, который поможет вам автоматизировать многие фактические задачи по созданию документов для формального определения ролей и обязанностей в области информационной безопасности.

Вывод

Я бы, вероятно, сказал, что целевой аудиторией этих книг будут компании со штатом около 500 и более сотрудников, потому что именно в таких размерах письменные правила становятся важными, а роли множатся. Небольшие компании со штатом 100 и более сотрудников также могут найти эти книги полезными, но им следует быть осторожными и не создавать чрезмерно детализированных политик, поскольку рабочая культура в таких компаниях обычно более неформальна, чем в более крупных. В целом, я рекомендую эти книги любому ИТ-директору или директору по безопасности, который хочет помочь своему отделу сформулировать эффективную политику безопасности, но убедитесь, что вы используете эти книги не как костыль (т. ), а как неотъемлемую часть продуманного мероприятия, одобренного руководством и поддерживаемого всей организацией. В противном случае любая политика, какой бы всеобъемлющей и хорошо написанной она ни была, просто не будет эффективной.

  • Рецензии на книги: книги по безопасности
  • Рецензии на книги: больше книг по безопасности