25 июля 2002 г. Совет Организации экономического сотрудничества и развития (ОЭСР) принял Директивы по безопасности информационных систем и сетей «К культуре безопасности» (далее — Директивы). Директивы состоят из 9 принципов, составляющих структуру рассматриваемых вопросов безопасности. Принципы имеют краткие и основополагающие формулировки, благодаря которым доступны для понимания всеми участниками.
Девять принципов Директив могут быть сгруппированы в три основные категории.
1. Опорные принципы: осознание; ответственность; реакция.
2. Общественные принципы: этика; демократия.
3. Принципы жизненного цикла безопасности: оценка риска; проектирование и реализация безопасности; менеджмент безопасности; ревизия.
Опорные принципы сосредоточиваются на необходимости сознавать риски, предпринимать ответственное действие, связанное с этими рисками, и координировать это действие в своевременной реакции. Общественные принципы обращаются к вопросам, связанным с поведением, честностью, открытостью, прозрачностью и ценностями. Последние четыре принципа более оперативны по своему характеру и обращаются к «жизненному циклу безопасности». Они сосредоточиваются на необходимости:
|
|
- идентифицировать и оценивать риски;
- проектировать и реализовывать системы и решения, соответствующие требуемому уменьшению рисков;
- разрабатывать политики, процессы и процедуры, необходимые для обращения с этими системами и решениями;
- пересматривать риски, системы, решения, политику, процедуры и процессы в свете новых рисков, новых технологий, инцидентов и нормального жизненного цикла систем.
Концепция культуры безопасности заключает в себе понятие того, что уместно для роли индивидуальных участников и ситуаций. Хотя многие концепции безопасности и вопросы политики кажутся уместными только на уровне предприятия, они применяются и в домашнем офисе, и на малых и средних предприятиях. Культура безопасности должна вылиться в интуитивное поведение и реакцию. Инструментальные средства, такие как программы проверки на вирусы, могут быть полезны только в том случае, если они используются и обновляются. Пароли и другие аутентификационные процедуры будут эффективны только в том случае, если они хранятся в тайне. Эти концепции должны стать рефлекторными.
Международная торговая палата и Консультативный комитет ОЭСР по предпринимательству и промышленности от имени мирового делового сообщества надеются способствовать распространению и реализации Директив. Этот документ должен стать жизненным документом, он будет обновляться по мере необходимости, чтобы отражать меняющиеся обстоятельства и развивающиеся настоятельные требования безопасности.
Основным механизмом реализации единой согласованной государственной политики в сфере ИТ является федеральная целевая программа «Электронная Россия (2002–2010 годы)».