Alguns exemplos de Padrões e informações distribuida
Uma boa prática na organização e operação prática da política de Segurança é a utilização de padrões ou standards para operações de TI e de práticas operacionais nas organizações
Esta seção discute só padrões internos, esses que só se aplicam dentro de uma organização e entre suas unidades empresariais. Padrões externos têm freqüentemente um longo tempo para adoção e até serem reconhecidos ou incorporados em padrões internos como apropriado.
Padrões de segurança de informação internos são controles obrigatórios e práticas aplicadas pela organização à extensão que divergências requerem aprovação de administração explícita. Algumas unidades empresariais podem ser tão incomuns ou distintas nas atividades de processamento de informação deles que a necessidade deles requerem por padrões de segurança especializados, mas estas deveriam ser exigências de padronização.
Em um ambiente de computação distribuído, as unidades funcionais podem revisar e aprovar padrões estabelecidos por uma unidade central para aplicabilidade e praticidade , desde que não é possível estar atento de todas as implicações fora das unidades funcionais. Algumas unidades têm uma central de atendimento (lidando com clientes) e um escritório por trás (lidando com o processar da informação do cliente e administração da unidade). Um escritório de corretagem de seguranças local é um exemplo típico. Eu consideraria que estes são duas unidades separadas para propósitos de segurança, por causa da necessidade para segregação de deveres e teor diferente dos padrões para os carregar a tipos diferentes das pessoas (por exemplo, investigadores, vendedores, pessoas de serviço gerais , e as pessoas de escritório).
Enquanto uma política puder ser única em uma ou duas páginas em comprimento, um documento de padrões interno pode variar de dez a mais de 100 páginas, enquanto dependendo de sua extensão e detalhes. Comprimento também depende de quanto você pretende comunicar na forma de diretrizes que apóiam os padrões. (Diretrizes são consideradas descritivas em lugar de obrigatório).
Algumas organizações, por longa prática ou tradição, não seguem estas definições. Uma organização pode fazer suas diretrizes obrigatória, enquanto outra faz seu descritiva de padrões.
Por exemplo, o Departamento de REINO UNIDO de Comércio e Indústria nomeou suas diretrizes publicadas que representam as opiniões de coletivo de nove organizações de melhores práticas " UM Código de Prática para Administração " de Segurança de Informação. Não é um código por qualquer definição correta de código. O Código é agora um padrão britânico que é desciritivo [em lugar de obrigatório, qual código insinua] e não obrigou através de lei. No final das contas, considerando a facilidade e frequentemente de comunicar informação internacionalmente através das novas mídias, será de grande benefício se as organizações estiverem mais íntimas com estes significados. Os Princípios de Segurança de Sistemas Geralmente Aceitados independentemente patrocinados (GASSP) é um passo principal nesta direção.)
Nota:GASSP é a sigla de Generally Accepted Systems Principles ,muito usada no Reino Unido – Inglaterra.
Nenhum comentário:
Postar um comentário