Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Iron
  • Politika ib organizacije. Primjer poslovnog pristupa IBM-a

Politika ib organizacije. Primjer poslovnog pristupa IBM-a

16.05.2019 Iron

Politika sigurnost informacija(primjer)

Sažetak političari

Informacije uvijek moraju biti zaštićene, bez obzira na njihov oblik i način na koji se distribuiraju, prenose i pohranjuju.

Uvod

Informacije mogu postojati u mnogo različitih oblika. Može biti odštampan ili napisan na papiru, pohranjen u u elektronskom formatu poslati poštom ili koristeći elektronskih uređaja, biti prikazani na kasetama ili prenijeti usmeno u procesu komunikacije.

Informaciona sigurnost je zaštita informacija od različitih prijetnji, osmišljena kako bi se osigurao kontinuitet poslovanja, minimizirao poslovni rizik i maksimizirao povrat ulaganja i osigurale poslovne prilike.

Obim

Ova politika jača ukupnu sigurnosnu politiku organizacije.
Ova politika se odnosi na sve zaposlene u organizaciji.

Ciljevi sigurnosti informacija

1. Razumevanje i rukovanje strateškim i operativnim rizicima bezbednosti informacija tako da budu prihvatljivi za organizaciju.

2. Zaštita povjerljivosti informacija o kupcima, razvoja proizvoda i marketinških planova.

3. Očuvanje integriteta računovodstvenih materijala.

4. Usklađenost sa uobičajenim web servisima i interne mreže relevantne standarde pristupačnosti.

Principi sigurnosti informacija

1. Ova organizacija promoviše prihvatanje rizika i prevazilazi rizike koje ne mogu prevazići organizacije sa konzervativnim upravljanjem, pod uslovom da se rizici razumeju, prate i obrađuju radi informacija kada je to potrebno. Detaljan opis pristupi koji se koriste za procjenu i tretiranje rizika mogu se naći u ISMS politici.

2. Svo osoblje mora biti svjesno i odgovorno za sigurnost informacija u vezi sa svojim poslovima.

3. Treba uložiti napore da se finansiraju kontrole sigurnosti informacija i procesi upravljanja projektima.

4. Potencijal za prevaru i zloupotrebu u informacionim sistemima mora se uzeti u obzir kada generalni menadžment informacioni sistemi.

5. Izvještaji o stanju informacione sigurnosti trebaju biti dostupni.

6. Nadgledajte rizike sigurnosti informacija i poduzmite mjere kada promjene uvode neočekivane rizike.

7. Kriterijumi za klasifikaciju rizika i prihvatljivost rizika mogu se naći u ISMS politici.

8. Situacije koje mogu dovesti organizaciju do kršenja zakona i utvrđene norme, ne bi trebalo dozvoliti.

Područja odgovornosti

1. Grupa Senior Even Leadership je odgovorna za osiguravanje da se informacije obrađuju na odgovarajući način u cijeloj organizaciji.

2. Svaki viši menadžer je odgovoran da osigura da zaposleni koji rade pod njegovim ili njenim nadzorom održavaju sigurnost informacija u skladu sa standardima organizacije.

3. Šef odjela za sigurnost savjetuje viši menadžment tim, pruža stručnu pomoć zaposlenima u organizaciji i osigurava da su izvještaji o stanju sigurnosti informacija dostupni.

4. Svako u organizaciji je odgovoran za sigurnost informacija kao dio svojih dužnosti.

Ključni nalazi

1. Sigurnosni incidenti ne bi trebali dovesti do velikih neočekivanih troškova ili velikih poremećaja u uslugama i poslovnim operacijama.

2. Gubici zbog prevare moraju biti poznati i unutar prihvatljivih granica.

3. Pitanja sigurnosti informacija ne bi trebala negativno utjecati na prihvaćanje proizvoda i usluga od strane korisnika

Povezane politike

Sljedeće detaljne politike sadrže principe i preporuke za specifične aspekte sigurnosti informacija:

1. Politika sistema upravljanja sigurnošću informacija (ISMS);

2. Politika kontrole pristupa;

3. Politika čist sto i prazan ekran;

4. Neovlaštena politika softver;

5. Politika u vezi sa prijemom softverskih datoteka od eksterne mreže ili preko njih;

6. Politika u vezi mobilni kod;

7. Politika Rezervna kopija;

8. Politika razmjene informacija između organizacija;

9. Politika prihvatljivog korišćenja elektronskim sredstvima komunikacije;

10. Politika čuvanja zapisa;

11. Politika korišćenja mrežne usluge;

12. Politike koje se odnose na mobilno računarstvo i komunikacije;

13. Politika rad na daljinu;

14. Politika upotrebe kriptografske kontrole;

15. Politika usklađenosti;

16. Politika licenciranja softvera;

17. Politika uklanjanja softvera;

18. Zaštita podataka i politika privatnosti.

Sve ove politike jačaju:

· identifikacija rizika pružanjem okvira kontrola koji se mogu koristiti za otkrivanje nedostataka u dizajnu i implementaciji sistema;

· tretman rizika pomaganjem u određivanju tretmana za specifične ranjivosti i prijetnje.


Politika informacione sigurnosti kompanije

· jedan. Opće odredbe

o 1.1. Svrha i svrha ove Politike

o 1.2. Opseg ove Politike

o 2.1. Odgovornost za informacijsku imovinu

o 2.2. Kontrola pristupa informacionim sistemima

§ 2.2.1. Opće odredbe

§ 2.2.2. Pristup treće strane sistemima Kompanije

§ 2.2.3. Daljinski pristup

§ 2.2.4. pristup Internetu

o 2.3. Zaštita opreme

§ 2.3.1. Hardver

§ 2.3.2. Softver

o 2.5. Izvještavanje o incidentima sigurnosti informacija, odgovor i izvještavanje

o 2.6. Prostorije sa tehnička sredstva sigurnost informacija

o 2.7. Upravljanje mrežom

o 2.7.1. Zaštita podataka i sigurnost

o 2.8. Razvoj sistema i upravljanje promjenama

Opće odredbe

Informacije su vrijedan i vitalni resurs YOUR_COPANIA (u daljem tekstu Kompanija). Ova politika sigurnosti informacija predviđa usvajanje neophodne mere u cilju zaštite imovine od slučajne ili namjerne izmjene, otkrivanja ili uništenja, kao i održavanja povjerljivosti, integriteta i dostupnosti informacija, osigurati proces automatizovana obrada podatke u Kompaniji.

Svaki zaposleni u Kompaniji odgovoran je za poštivanje informacione sigurnosti, a primarni zadatak je osigurati sigurnost cjelokupne imovine Kompanije. To znači da informacije moraju biti zaštićene ništa manje pouzdano od bilo koje druge veće imovine Kompanije. Osnovni ciljevi Društva ne mogu se ostvariti bez blagovremenog i puna odredba zaposlenike sa informacijama koje su im potrebne za obavljanje svojih dužnosti.

U ovoj Politici pojam "zaposleni" odnosi se na sve zaposlene u Kompaniji. Odredbe ove Politike primjenjuju se na lica koja rade u Kompaniji po građanskopravnim ugovorima, uključujući i upućena, ako je to predviđeno takvim ugovorom.

Bez obzira na veličinu organizacije i specifičnosti njenog informacionog sistema, rad na obezbeđivanju IS režima obično se sastoji od sledećih koraka (Slika 1):

- definisanje obima (granica) sistema upravljanja bezbednošću informacija i preciziranje ciljeva njegovog kreiranja;

- procjena rizika;

– izbor protivmjera koje osiguravaju IS režim;

- Upravljanje rizicima;

– revizija sistema upravljanja bezbednošću informacija;

- Izrada bezbednosne politike.

DIV_ADBLOCK340">

Faza 3. Strukturiranje protumjera za zaštitu informacija na sljedećim glavnim nivoima: administrativni, proceduralni, softverski i hardverski.

Faza 4. Uspostavljanje procedure za sertifikaciju i akreditaciju CIS-a za usklađenost sa standardima IS. Određivanje učestalosti sastanaka na temu informacione sigurnosti na nivou menadžmenta, uključujući periodično preispitivanje odredbi politike informacione sigurnosti, kao i proceduru za obuku svih kategorija korisnika informacionog sistema u oblasti informisanja sigurnost. Poznato je da je razvoj bezbednosne politike organizacije najmanje formalizovana faza. Međutim, u novije vrijeme ovo je mjesto gdje su koncentrisani napori mnogih stručnjaka za sigurnost informacija.

Faza 5. Određivanje obima (granica) sistema upravljanja sigurnošću informacija i određivanje ciljeva njegovog kreiranja. U ovoj fazi određuju se granice sistema za koje treba obezbijediti IS mod. Shodno tome, sistem upravljanja bezbednošću informacija izgrađen je u ovim granicama. Opis granica samog sistema se preporučuje da se izvrši prema sledećem planu:

- struktura organizacije. Prezentacija postojeće strukture i promjena koje se očekuju u vezi sa razvojem (modernizacijom) automatizovanog sistema;

– resurse informacionog sistema koje treba zaštititi. Preporučljivo je razmotriti resurse automatizovani sistem sljedeće klase: SVT, podatkovni, sistemski i aplikativni softver. Svi resursi su od vrijednosti za organizaciju. Za njihovu evaluaciju treba izabrati sistem kriterijuma i metodologiju za dobijanje rezultata prema ovim kriterijumima;

· razvoj principa za klasifikaciju informatičke imovine preduzeća i ocjenjivanje njihove sigurnosti;

procjena informacionih rizika i njihovo upravljanje;

osposobljavanje zaposlenih u kompaniji o metodama obezbeđivanja informacione bezbednosti, provođenje brifinga i praćenje znanja i praktičnih veština sprovođenja bezbednosne politike od strane zaposlenih u kompaniji;

· savjetovanje menadžera kompanija o pitanjima upravljanja informacioni rizici;

usklađivanje politika i propisa o privatnoj sigurnosti među odjelima kompanije;

Kontrola rada servisa kvaliteta i automatizacije preduzeća sa pravom provjere i odobravanja internih izvještaja i dokumenata;

interakcija sa kadrovskom službom kompanije radi provjere ličnih podataka zaposlenih prilikom zapošljavanja;

organizacija mjera za otklanjanje vanredne situacije ili hitne situacije u oblasti informacione bezbednosti u slučaju njihovog nastanka;

Integritet informacije je postojanje informacije u neiskrivljenom obliku (nepromenjenom u odnosu na neko fiksno stanje). Obično su subjekti zainteresovani za pružanje šire osobine - pouzdanosti informacija, koja se sastoji od adekvatnosti (potpunosti i tačnosti) prikaza stanja. predmetna oblast i direktno integritet informacija, odnosno njihovo neiskrivljavanje.

Postoji razlika između statičkog i dinamičkog integriteta. Da bi narušio statički integritet, napadač može: uneti netačne podatke; Za promjenu podataka. Ponekad značajne promjene podataka, ponekad servisne informacije. Prijetnje dinamičkom integritetu su kršenje atomičnosti transakcija, preuređivanje, krađa, dupliciranje podataka ili uvođenje dodatnih poruka ( mrežni paketi itd.). Odgovarajuće akcije u mrežnom okruženju nazivaju se aktivno slušanje.

Prijetnja integritetu nije samo krivotvorenje ili modifikacija podataka, već i odbijanje da se poduzmu mjere. Ako ne postoji način da se osigura "neporicanje", kompjuterski podaci se ne mogu smatrati dokazom. Potencijalno ranjivi sa stanovišta narušavanja integriteta nisu samo podaci, već i programi. Uvođenje zlonamjernog softvera je primjer takvog kršenja.

Stvarna i vrlo opasna prijetnja je uvođenje rootkita (skup datoteka instaliranih u sistem kako bi se na zlonamjeran i tajan način promijenila njegova standardna funkcionalnost), botova (program koji automatski obavlja određenu misiju; grupa računara). na kojima isti tip botova radi se naziva botnet), tajni potezi ( malware, koji osluškuje komande na određenim TCP ili UDP portovima) i špijunski softver (zlonamjerni softver koji ima za cilj ugroziti povjerljive podatke korisnika. Na primjer, Back Orifice i Netbus trojanci omogućavaju vam da preuzmete kontrolu nad korisničkih sistema With razne opcije MS Windows.

Privacy Threat

Prijetnja od povrede povjerljivosti leži u činjenici da informacija postaje poznato da koji nema ovlaštenje da mu pristupi. Ponekad se, u vezi sa prijetnjom povjerljivosti, koristi izraz "curenje".

Povjerljivost informacija je subjektivno određena (pripisana) karakteristika (svojstvo) informacije, koja ukazuje na potrebu uvođenja ograničenja u krug subjekata koji imaju pristup ovim informacijama, a obezbjeđena je sposobnošću sistema (okruženja) da čuva navedene informacije. tajna od subjekata koji nemaju ovlaštenje da joj pristupe. Objektivni preduslovi za ovakvo ograničenje dostupnosti informacija za neke subjekte su u potrebi zaštite njihovih legitimnih interesa od drugih subjekata informacionih odnosa.

Povjerljive informacije mogu se podijeliti na predmetne i servisne. Servisne informacije(na primjer, korisničke lozinke) ne pripada određenoj predmetnoj oblasti, igra tehničku ulogu u informacionom sistemu, ali je njeno otkrivanje posebno opasno, jer je preplavljeno neovlašćenim pristupom svim informacijama, uključujući i informacije o predmetu. Opasna netehnička prijetnja povjerljivosti su metode moralnog i psihološkog utjecaja, kao što je "maskarada" - izvođenje radnji pod maskom osobe koja ima ovlaštenje za pristup podacima. Zloupotreba ovlasti jedna je od najgadnijih prijetnji od kojih se teško braniti. Na mnogim tipovima sistema, privilegovani korisnik (npr. Administrator sistema) može čitati bilo koju (nešifrovanu) datoteku, pristupiti pošti bilo kojeg korisnika.

Trenutno su najčešći takozvani "phishing" napadi. Phishing (fishing - fishing) - vrsta internetske prijevare, čija je svrha pristup povjerljivim korisničkim podacima - prijavama i lozinkama. To se postiže izvođenjem masovne pošiljke emails u ime popularnih brendova, kao i privatne poruke unutra razne usluge, na primjer, u ime banaka, usluga (Rambler, Mail.ru) ili unutar društvene mreže(Facebook, Vkontakte, Odnoklassniki. ru). Meta phishera danas su klijenti banaka i elektronskih sistema plaćanja. Na primjer, u Sjedinjenim Državama, maskirajući se kao Internal Revenue Service, phisheri su prikupili značajne podatke o poreznim obveznicima 2009. godine.

U ovoj temi pokušaću da sastavim priručnik za izradu regulatorne dokumentacije iz oblasti informacione bezbednosti za komercijalnu strukturu, na osnovu lično iskustvo i materijali sa weba.

Ovdje možete pronaći odgovore na pitanja:

  • Zašto je potrebna politika sigurnosti informacija?
  • kako ga komponovati;
  • kako ga koristiti.

Potreba za politikom sigurnosti informacija
Ovaj odjeljak opisuje potrebu implementacije politike informacione sigurnosti i njenih pratećih dokumenata ne prelep jezik udžbenike i standarde, ali na primjerima iz ličnog iskustva.
Razumijevanje ciljeva i zadataka odjela za sigurnost informacija
Prije svega, politika je neophodna kako bi se na poslovanje prenijeli ciljevi i zadaci informacione sigurnosti kompanije. Preduzeće treba da shvati da službenik za bezbednost nije samo alat za istraživanje curenja podataka, već i pomoćnik u minimiziranju rizika kompanije, a samim tim i u povećanju profitabilnosti kompanije.
Zahtjevi politike su osnova za implementaciju zaštitnih mjera
Politika informacione sigurnosti je neophodna da bi se opravdalo uvođenje zaštitnih mjera u kompaniji. Politiku mora odobriti najviši upravni organ kompanije ( CEO, upravni odbor itd.)

Svaka zaštita je kompromis između smanjenja rizika i korisničkog iskustva. Kada osoba iz obezbjeđenja kaže da se proces nikako ne bi trebao dogoditi zbog pojave nekih rizika, uvijek mu se postavlja razumno pitanje: „Kako bi se to dogodilo?“ Službenik za sigurnost treba da predloži model procesa u kojem se ovi rizici smanjuju do određene mjere koja je zadovoljavajuća za poslovanje.

Istovremeno, svaka primjena bilo kakvih zaštitnih mjera u vezi sa interakcijom korisnika sa informacionim sistemom kompanije uvijek izaziva negativnu reakciju korisnika. Ne žele da se preobučavaju, čitaju uputstva koja su za njih osmišljena i tako dalje. Vrlo često korisnici postavljaju razumna pitanja:

  • zašto da radim po tvojoj izmišljenoj šemi, a ne po onima na jednostavan način koju sam oduvek koristio
  • ko je smislio sve ovo
Praksa je pokazala da korisnika nije briga za rizike, možete mu dugo i zamorno objašnjavati hakere, krivični zakon i tako dalje, od toga neće biti ništa osim trošenja nervnih ćelija.
Ako kompanija ima politiku informacione sigurnosti, možete dati koncizan i koncizan odgovor:
ova mjera uvedena je u skladu sa zahtjevima politike informacione sigurnosti kompanije, koju je odobrio najviši organ uprave kompanije

U pravilu, nakon što energija većine korisnika nestane. Ostalima se može ponuditi da napišu dopis ovom najvišem organu uprave kompanije. Ovdje su ostali eliminirani. Jer čak i ako poruka ode tamo, uvijek možemo dokazati potrebu preduzete mere ispred uprave. Ne jedemo svoj hleb uzalud, zar ne? Dvije su stvari koje treba imati na umu prilikom izrade politike.
  • Ciljna publika politike informacione sigurnosti su krajnji korisnici i najviši menadžment kompanije koji ne razumiju složene tehničke izraze, ali treba da budu upoznati sa odredbama politike.
  • Nema potrebe da pokušavate da gurate nezamislivo da u ovaj dokument uključite sve što je moguće! Treba da postoje samo IB ciljevi, metode za njihovo postizanje i odgovornost! Nema tehnički detalji ako im je potrebna posebna znanja. Ovo su sve materijali za uputstva i propise.


Konačni dokument mora ispunjavati sljedeće uslove:
  • sažetost - velika količina dokumenta će uplašiti svakog korisnika, niko nikada neće pročitati vaš dokument (i upotrijebit ćete frazu više puta: "ovo je kršenje politike sigurnosti informacija s kojom ste se upoznali")
  • dostupnost široj javnosti krajnji korisnik mora razumjeti ŠTA piše u politici (nikada neće pročitati i zapamtiti riječi i fraze „zapisnik“, „model prekršioca“, „incident u vezi sa sigurnošću informacija“, „ informacionu infrastrukturu“, “tehnogeni”, “antropogeni”, “faktor rizika” itd.)
Kako to postići?

U stvari, sve je vrlo jednostavno: politika informacione sigurnosti treba da bude prvostepeni dokument, treba je proširiti i dopuniti drugim dokumentima (propisima i uputstvima), koji će već opisati nešto specifično.
Moguće je povući analogiju sa državom: dokument prvog nivoa je ustav, a doktrine, koncepti, zakoni i drugi normativni akti koji postoje u državi samo dopunjuju i regulišu sprovođenje njegovih odredbi. Približna shema prikazano na slici.

Kako ne bismo razmazali kašu po tanjiru, pogledajmo samo primjere politika sigurnosti informacija koje se mogu pronaći na internetu.

Upotrebljivi broj stranica* Uslovi su učitani Ukupni rezultat
OJSC "Gazprombank" 11 Veoma visoko
AD „Fond za razvoj preduzetništva „Damu“ 14 visoko Kompleksan dokument za promišljeno čitanje, laik neće pročitati, a ako pročita, neće razumjeti i neće zapamtiti
JSC NC KazMunayGas 3 Nisko Lako razumljiv dokument koji nije preopterećen tehničkim terminima
AD "Radiotehnički institut po imenu akademika A. L. Mintsa" 42 Veoma visoko Težak dokument za pažljivo čitanje, laik neće pročitati - previše stranica

* Korisnim nazivam broj stranica bez sadržaja, naslovna strana i druge stranice koje ne sadrže posebne informacije

Sažetak

Politika sigurnosti informacija treba da stane na nekoliko stranica, da bude lako razumljiva laiku, da se opiše opšti pogled Ciljevi IS-a, metode za njihovo postizanje i odgovornost zaposlenih.
Implementacija i korištenje politike sigurnosti informacija
Nakon što je politika IS odobrena, potrebno je:
  • upoznati sve postojeće zaposlene sa politikom;
  • upoznati sve novozaposlene sa politikom (kako to učiniti je tema za posebnu raspravu, imamo uvodni kurs za novopridošlice, gdje govorim sa objašnjenjima);
  • analizirati postojeće poslovne procese kako bi se identifikovali i minimizirali rizici;
  • učestvovati u kreiranju novih poslovnih procesa, kako ne bi trčali za vozom;
  • izraditi propise, procedure, uputstva i druga dokumenta koja dopunjuju politiku (uputstva za omogućavanje pristupa internetu, uputstva za omogućavanje pristupa prostorijama sa ograničen pristup, uputstva za rad sa informacionim sistemima kompanije i dr.);
  • pregledajte IS politiku i druge dokumente o IS najmanje jednom kvartalno kako biste ih ažurirali.

Za pitanja i sugestije, dobrodošli u komentare i PM.

Pitanje %username%

Kada je u pitanju politika, šefovima se ne sviđa ono što ja želim jednostavnim riječima. Kažu mi: „Pored mene i tebe i još 10 IT službenika, koji i sami sve znaju i razumiju, ima 200 onih koji ništa ne razumiju u ovo, pola njih su penzioneri.“
Krenuo sam putem srednje sažetosti opisa, na primjer, pravila antivirusna zaštita, a ispod pišem kao da postoji politika zaštite od virusa itd. Ali ne razumijem da li se korisnik potpisuje za politiku, ali opet treba da pročita gomilu drugih dokumenata, čini se da je smanjilo politiku, ali izgleda da nije.

Ovdje bih krenuo putem analize procesa.
Recimo antivirusna zaštita. Logično bi trebalo biti ovako.

Koje rizike virusi predstavljaju za nas? Povreda integriteta (oštećenja) informacija, povreda dostupnosti (zastoji servera ili računara) informacija. At pravilnu organizaciju mreže, korisnik ne smije imati prava lokalni administrator u sistemu, odnosno ne bi trebalo da ima prava da instalira softver (a samim tim i viruse) u sistem. Tako penzioneri otpadaju, jer ovdje ne posluju.

Ko može ublažiti rizike povezane s virusima? Korisnici sa administratorskim pravima domene. Administrator domene - osjetljiva uloga, izdaje se zaposlenima u IT odjelima itd. Shodno tome, trebali bi instalirati antivirusne programe. Ispostavilo se da je aktivnost antivirusni sistem oni su takođe odgovorni. Shodno tome, moraju potpisati uputstvo o organizaciji antivirusne zaštite. Zapravo, ova odgovornost mora biti navedena u uputstvima. Na primjer, službenik sigurnosti vlada, administratori izvršavaju.

Pitanje %username%

Onda se postavlja pitanje šta odgovornost za stvaranje i korištenje virusa ne bi trebalo uključiti u upute Anti-virus SI (ili postoji članak i ne možete ga spominjati)? Ili da se od njih traži da prijave virus ili čudno ponašanje računara službi za pomoć ili IT osoblju?

Opet bih pogledao sa strane upravljanja rizikom. Miriše na, da tako kažem, GOST 18044-2007.
u tvom slučaju" čudno ponašanje“To još nije nužno virus. To može biti sistemska kočnica ili gp itd. Prema tome, ovo nije incident, već događaj informacione sigurnosti. Opet, prema GOST-u, svaka osoba može proglasiti događaj, ali je moguće razumjeti incident ili ne samo nakon analize.

Dakle, ovo vaše pitanje više se ne prevodi u politiku informacione sigurnosti, već u upravljanje incidentima. U vašoj politici to treba navesti kompanija mora imati sistem upravljanja incidentima.

Odnosno, kao što vidite, administrativno izvršenje politike je uglavnom dodijeljeno administratorima i zaštitarima. Korisnici ostaju prilagođeni.

Stoga je potrebno izraditi neku vrstu "Procedure za korištenje CBT-a u kompaniji", gdje morate navesti odgovornosti korisnika. Ovaj dokument treba da bude u korelaciji sa politikom bezbednosti informacija i da bude, da tako kažem, objašnjenje za korisnika.

AT ovaj dokument možete odrediti da je korisnik dužan obavijestiti nadležni organ o nenormalnoj aktivnosti računara. Pa, možete dodati sve ostalo prilagođeno tamo.

Ukupno morate upoznati korisnika sa dva dokumenta:

  • politika informacione sigurnosti (da razumije šta se radi i zašto, ne ljulja čamac, ne psuje prilikom uvođenja novih sistema kontrole itd.)
  • ovaj "Procedura za upotrebu CBT-a u kompaniji" (kako bi shvatio šta tačno treba da radi u konkretnim situacijama)

Shodno tome, prilikom implementacije novi sistem, jednostavno dodate nešto u "Narudžbu" i o tome obavijestite zaposlene slanjem narudžbe e-mailom (ili putem EDMS-a, ako postoji).

Oznake: Dodajte oznake

Politika sigurnosti informacija - skup zakona, mjera, pravila, zahtjeva, ograničenja, uputstava, propisa, preporuka itd., koji regulišu postupak obrade informacija i imaju za cilj zaštitu informacija od određenih vrsta prijetnji.

Politika informacione bezbednosti je osnovni dokument za obezbeđivanje celokupnog ciklusa bezbednosti informacija u preduzeću. Stoga, najviši menadžment kompanije treba da bude zainteresovan za poznavanje i striktno poštovanje njenih glavnih tačaka od strane celog osoblja kompanije. Svi zaposleni u odeljenjima nadležnim za režim informacione bezbednosti kompanije moraju biti upoznati sa politikom informacione bezbednosti uz potpis. Na kraju krajeva, oni će biti odgovorni za provjeru usklađenosti sa zahtjevima politike sigurnosti informacija i poznavanje njenih glavnih tačaka od strane osoblja kompanije u dijelu koji se njih tiče. Takođe treba definisati proces sprovođenja takvih revizija, odgovornosti zvaničnici vršenje takvih inspekcija i izrađen je raspored inspekcija.

Politika sigurnosti informacija može se razviti za oboje zasebna komponenta informacioni sistem i informacioni sistem u celini. Politika sigurnosti informacija treba da uzme u obzir sljedeće karakteristike informacionog sistema: tehnologiju obrade informacija, računarsko okruženje, fizičko okruženje, korisničko okruženje, pravila kontrole pristupa itd.

Politika sigurnosti informacija treba da obezbijedi kompleksna upotreba pravni, moralni i etički standardi, organizacioni i tehničke mjere, softvera, hardvera i softvera i hardvera za sigurnost informacija, kao i utvrditi pravila i procedure za njihovo korištenje. Politika informacione bezbednosti treba da se zasniva na sledećim principima: kontinuitet zaštite, dovoljnost mera i sredstava zaštite, njihova usklađenost sa verovatnoćom pretnji, isplativost, fleksibilnost strukture, lakoća upravljanja i korišćenja itd.

Sigurnosna politika je kompleksna preventivne mjere o zaštiti povjerljivih podataka i informacionih procesa u preduzeću. Sigurnosna politika uključuje zahtjeve za osoblje, menadžere i tehničke usluge. Glavni pravci razvoja bezbednosne politike:

  • utvrđivanje koje podatke i koliko ih je potrebno zaštititi,
  • utvrđivanje ko i kakvu štetu može nanijeti društvu u informativnom aspektu,
  • izračunavanje rizika i određivanje šeme za njihovo smanjenje na prihvatljivu vrijednost.

Postoje dva sistema ocjenjivanja trenutna situacija u oblasti informacione bezbednosti u preduzeću. Dobili su figurativne nazive "istraživanje odozdo prema gore" i "istraživanje odozgo prema dolje". Prva metoda je prilično jednostavna, zahtijeva mnogo manje kapitalnih ulaganja, ali ima i manje mogućnosti. Bazira se na poznatoj šemi: "Vi ste uljez. Šta radite?". Odnosno, servis informacione sigurnosti, zasnovan na podacima o svemu poznate vrste napada, pokušava ih provesti u praksi kako bi provjerio da li je takav napad moguć od pravog napadača.

Metoda "odozgo prema dolje" je, naprotiv, detaljna analiza cjelokupne postojeće šeme za pohranjivanje i obradu informacija. Prvi korak u ovoj metodi je, kao i uvijek, odrediti koji informacijski objekti i tokovi trebaju biti zaštićeni. Slijedi studija trenutna drzava informacioni sistemi bezbednosti kako bi se utvrdilo koji od klasičnih metoda zaštite informacija je već implementiran, u kojoj meri i na kom nivou. Treći korak je klasifikovati sve informacionih objekata u klase u skladu sa zahtjevima njegove povjerljivosti, pristupačnosti i integriteta (nepromjenjivosti).

Slijedi pojašnjenje koliko je ozbiljna šteta otkrivanje ili drugi napad na svaku pojedinu osobu informacioni objekat. Ovaj korak se naziva "kalkulacija rizika". U prvoj aproksimaciji, rizik je proizvod "moguće štete od napada" sa "vjerovatnošću takvog napada".

Politika sigurnosti informacija treba da sadrži klauzule koje sadrže informacije iz sljedećih odjeljaka:


  • koncept informacione sigurnosti;
  • utvrđivanje komponenti i resursa informacionog sistema koji mogu postati izvori narušavanja sigurnosti informacija i stepena njihove kritičnosti;
  • poređenje prijetnji sa objektima zaštite;
  • procjena rizika;
  • procjena iznosa mogućih gubitaka povezanih sa implementacijom prijetnji;
  • procijeniti troškove izgradnje sistema informacione sigurnosti;
  • utvrđivanje zahtjeva za metode i sredstva osiguranja informacione sigurnosti;
  • izbor osnovnih rješenja za sigurnost informacija;
  • organizacija restauratorskih radova i obezbjeđenje kontinuirani rad informacioni sistem;
  • pravila kontrole pristupa.

Politika informacione bezbednosti preduzeća je veoma važna za obezbeđivanje sveobuhvatne bezbednosti preduzeća. Može se implementirati u hardver i softver koristeći DLP rješenja.

Povezane publikacije

29. april 2014. Mnoge kompanije kupuju o svom trošku mobilni uređaji za zaposlene koji često putuju. Pod ovim uslovima, IT servis ima hitnu potrebu da kontroliše uređaje koji imaju pristup korporativnim podacima, ali su izvan perimetra korporativne mreže.

U ovoj temi pokušaću da sastavim priručnik za izradu regulatorne dokumentacije u oblasti informacione bezbednosti za komercijalnu strukturu, na osnovu ličnog iskustva i materijala sa mreže.

Ovdje možete pronaći odgovore na pitanja:

  • Zašto je potrebna politika sigurnosti informacija?
  • kako ga komponovati;
  • kako ga koristiti.

Potreba za politikom sigurnosti informacija
Ovaj odjeljak opisuje potrebu implementacije politike informacione sigurnosti i njenih pratećih dokumenata ne lijepim jezikom udžbenika i standarda, već na primjerima iz ličnog iskustva.
Razumijevanje ciljeva i zadataka odjela za sigurnost informacija
Prije svega, politika je neophodna kako bi se na poslovanje prenijeli ciljevi i zadaci informacione sigurnosti kompanije. Preduzeće treba da shvati da službenik za bezbednost nije samo alat za istraživanje curenja podataka, već i pomoćnik u minimiziranju rizika kompanije, a samim tim i u povećanju profitabilnosti kompanije.
Zahtjevi politike su osnova za implementaciju zaštitnih mjera
Politika informacione sigurnosti je neophodna da bi se opravdalo uvođenje zaštitnih mjera u kompaniji. Politiku mora odobriti najviši upravni organ kompanije (generalni direktor, upravni odbor itd.)

Svaka zaštita je kompromis između smanjenja rizika i korisničkog iskustva. Kada osoba iz obezbjeđenja kaže da se proces nikako ne bi trebao dogoditi zbog pojave nekih rizika, uvijek mu se postavlja razumno pitanje: „Kako bi se to dogodilo?“ Službenik za sigurnost treba da predloži model procesa u kojem se ovi rizici smanjuju do određene mjere koja je zadovoljavajuća za poslovanje.

Istovremeno, svaka primjena bilo kakvih zaštitnih mjera u vezi sa interakcijom korisnika sa informacionim sistemom kompanije uvijek izaziva negativnu reakciju korisnika. Ne žele da se preobučavaju, čitaju uputstva koja su za njih osmišljena i tako dalje. Vrlo često korisnici postavljaju razumna pitanja:

  • zašto da radim po vašoj izmišljenoj shemi, a ne na jednostavan način koji sam oduvijek koristio
  • ko je smislio sve ovo
Praksa je pokazala da korisnika nije briga za rizike, možete mu dugo i zamorno objašnjavati hakere, krivični zakon i tako dalje, od toga neće biti ništa osim trošenja nervnih ćelija.
Ako kompanija ima politiku informacione sigurnosti, možete dati koncizan i koncizan odgovor:
ova mjera uvedena je u skladu sa zahtjevima politike informacione sigurnosti kompanije, koju je odobrio najviši organ uprave kompanije

U pravilu, nakon što energija većine korisnika nestane. Ostalima se može ponuditi da napišu dopis ovom najvišem organu uprave kompanije. Ovdje su ostali eliminirani. Jer čak i ako nota ode tamo, rukovodstvu uvijek možemo dokazati potrebu za poduzetim mjerama. Ne jedemo svoj hleb uzalud, zar ne? Dvije su stvari koje treba imati na umu prilikom izrade politike.
  • Ciljna publika politike informacione sigurnosti su krajnji korisnici i najviši menadžment kompanije koji ne razumiju složene tehničke izraze, ali treba da budu upoznati sa odredbama politike.
  • Nema potrebe da pokušavate da gurate nezamislivo da u ovaj dokument uključite sve što je moguće! Treba da postoje samo IB ciljevi, metode za njihovo postizanje i odgovornost! Bez tehničkih detalja ako zahtijevaju specifično znanje. Ovo su sve materijali za uputstva i propise.


Konačni dokument mora ispunjavati sljedeće uslove:
  • sažetost - velika količina dokumenta će uplašiti svakog korisnika, niko nikada neće pročitati vaš dokument (i upotrijebit ćete frazu više puta: "ovo je kršenje politike sigurnosti informacija s kojom ste se upoznali")
  • dostupnost jednostavnom laiku - krajnji korisnik mora razumjeti ŠTA piše u politici (nikada neće pročitati i zapamtiti riječi i izraze "zapisnik", "model prekršioca", "incident sigurnosti informacija", "informaciona infrastruktura", "tehnogeno ", "antropogeno", "faktor rizika" itd.)
Kako to postići?

U stvari, sve je vrlo jednostavno: politika informacione sigurnosti treba da bude prvostepeni dokument, treba je proširiti i dopuniti drugim dokumentima (propisima i uputstvima), koji će već opisati nešto specifično.
Moguće je povući analogiju sa državom: dokument prvog nivoa je ustav, a doktrine, koncepti, zakoni i drugi normativni akti koji postoje u državi samo dopunjuju i regulišu sprovođenje njegovih odredbi. Primjerna shema prikazana je na slici.

Kako ne bismo razmazali kašu po tanjiru, pogledajmo samo primjere politika sigurnosti informacija koje se mogu pronaći na internetu.

Upotrebljivi broj stranica* Uslovi su učitani Ukupni rezultat
OJSC "Gazprombank" 11 Veoma visoko
AD „Fond za razvoj preduzetništva „Damu“ 14 visoko Kompleksan dokument za promišljeno čitanje, laik neće pročitati, a ako pročita, neće razumjeti i neće zapamtiti
JSC NC KazMunayGas 3 Nisko Lako razumljiv dokument koji nije preopterećen tehničkim terminima
AD "Radiotehnički institut po imenu akademika A. L. Mintsa" 42 Veoma visoko Težak dokument za pažljivo čitanje, laik neće pročitati - previše stranica

* Korisnim nazivam broj stranica bez sadržaja, naslovne stranice i drugih stranica koje ne nose određene podatke

Sažetak

Politika informacione bezbednosti treba da stane na nekoliko stranica, da bude lako razumljiva za prosečnog čoveka, da uopšteno opisuje ciljeve informacione bezbednosti, metode za njihovo postizanje i odgovornost zaposlenih.
Implementacija i korištenje politike sigurnosti informacija
Nakon što je politika IS odobrena, potrebno je:
  • upoznati sve postojeće zaposlene sa politikom;
  • upoznati sve novozaposlene sa politikom (kako to učiniti je tema za posebnu raspravu, imamo uvodni kurs za novopridošlice, gdje govorim sa objašnjenjima);
  • analizirati postojeće poslovne procese kako bi se identifikovali i minimizirali rizici;
  • učestvovati u kreiranju novih poslovnih procesa, kako ne bi trčali za vozom;
  • izradi pravilnik, procedure, uputstva i druga dokumenta koja dopunjuju politiku (uputstva za obezbeđivanje pristupa Internetu, uputstva za omogućavanje pristupa zabranjenim zonama, uputstva za rad sa informacionim sistemima preduzeća i dr.);
  • pregledajte IS politiku i druge dokumente o IS najmanje jednom kvartalno kako biste ih ažurirali.

Za pitanja i sugestije, dobrodošli u komentare i PM.

Pitanje %username%

Što se tiče politike, vlastima se ne sviđa ono što ja želim jednostavnim riječima. Kažu mi: „Pored mene i tebe i još 10 IT službenika, koji i sami sve znaju i razumiju, ima 200 onih koji ništa ne razumiju u ovo, pola njih su penzioneri.“
Išao sam putem srednje sažetosti opisa, na primjer pravila antivirusne zaštite, a ispod pišem kao da postoji politika zaštite od virusa itd. Ali ne razumijem da li se korisnik potpisuje za politiku, ali opet treba da pročita gomilu drugih dokumenata, čini se da je smanjilo politiku, ali izgleda da nije.

Ovdje bih krenuo putem analize procesa.
Recimo antivirusna zaštita. Logično bi trebalo biti ovako.

Koje rizike virusi predstavljaju za nas? Povreda integriteta (oštećenja) informacija, povreda dostupnosti (zastoji servera ili računara) informacija. Uz pravilnu organizaciju mreže, korisnik ne bi trebao imati prava lokalnog administratora u sistemu, odnosno ne bi trebao imati prava da instalira softver (a samim tim i viruse) u sistem. Tako penzioneri otpadaju, jer ovdje ne posluju.

Ko može ublažiti rizike povezane s virusima? Korisnici sa administratorskim pravima domene. Administrator domene - osjetljiva uloga, izdaje se zaposlenima u IT odjelima itd. Shodno tome, trebali bi instalirati antivirusne programe. Ispostavilo se da su oni odgovorni i za aktivnost antivirusnog sistema. Shodno tome, moraju potpisati uputstvo o organizaciji antivirusne zaštite. Zapravo, ova odgovornost mora biti navedena u uputstvima. Na primjer, službenik sigurnosti vlada, administratori izvršavaju.

Pitanje %username%

Onda se postavlja pitanje šta odgovornost za stvaranje i korištenje virusa ne bi trebalo uključiti u upute Anti-virus SI (ili postoji članak i ne možete ga spominjati)? Ili da se od njih traži da prijave virus ili čudno ponašanje računara službi za pomoć ili IT osoblju?

Opet bih pogledao sa strane upravljanja rizikom. Miriše na, da tako kažem, GOST 18044-2007.
U vašem slučaju, "čudno ponašanje" nije nužno virus. To može biti sistemska kočnica ili gp itd. Prema tome, ovo nije incident, već događaj informacione sigurnosti. Opet, prema GOST-u, svaka osoba može proglasiti događaj, ali je moguće razumjeti incident ili ne samo nakon analize.

Dakle, ovo vaše pitanje više se ne prevodi u politiku informacione sigurnosti, već u upravljanje incidentima. U vašoj politici to treba navesti kompanija mora imati sistem upravljanja incidentima.

Odnosno, kao što vidite, administrativno izvršenje politike je uglavnom dodijeljeno administratorima i zaštitarima. Korisnici ostaju prilagođeni.

Stoga je potrebno izraditi neku vrstu "Procedure za korištenje CBT-a u kompaniji", gdje morate navesti odgovornosti korisnika. Ovaj dokument treba da bude u korelaciji sa politikom bezbednosti informacija i da bude, da tako kažem, objašnjenje za korisnika.

U ovom dokumentu možete navesti da je korisnik dužan da obavesti nadležni organ o nenormalnoj aktivnosti računara. Pa, možete dodati sve ostalo prilagođeno tamo.

Ukupno morate upoznati korisnika sa dva dokumenta:

  • politika informacione sigurnosti (da razumije šta se radi i zašto, ne ljulja čamac, ne psuje prilikom uvođenja novih sistema kontrole itd.)
  • ovaj "Procedura za upotrebu CBT-a u kompaniji" (kako bi shvatio šta tačno treba da radi u konkretnim situacijama)

Shodno tome, prilikom uvođenja novog sistema, jednostavno dodate nešto u „Narudžbu“ i o tome obavijestite zaposlene slanjem naloga e-poštom (ili putem EDMS-a, ako postoji).

Tagovi:

  • Sigurnost informacija
  • Upravljanje rizicima
  • Sigurnosna politika
Dodaj oznake

Top Related Articles

iPad linija Preview tablet od Apple-a
iPad linija Preview tablet od Apple-a
Kako ispraviti greške vezane za prijavu na vaš Apple ID račun Apple ID je onemogućen što treba učiniti
Kako ispraviti greške vezane za prijavu na vaš Apple ID račun Apple ID je onemogućen što treba učiniti
Zašto se iPhone ne uključuje: šta učiniti kada jabuka izgori i ugasi
Zašto se iPhone ne uključuje: šta učiniti kada jabuka izgori i ugasi
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.