После того, как сформулирована политика безопасности, можно приступать к составлению программы ее реализации и собственно к реализации.
Чтобы понять и реализовать какую-либо программу, ее нужно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней - верхнего, или центрального, который охватывает всю организацию, и нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.
Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:
* управление рисками (оценка рисков, выбор эффективных средств защиты);
* координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
* стратегическое планирование;
* контроль деятельности в области информационной безопасности.
В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств. Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние ... остальная часть текста, формулы, таблицы, изображения скрыты