نحوه راه اندازی گوشی های هوشمند و رایانه های شخصی پرتال اطلاعاتی
  • خانه
  • جالب هست
  • نمونه سیاست امنیت اطلاعات سازمان الزامات سیاست امنیتی

نمونه سیاست امنیت اطلاعات سازمان الزامات سیاست امنیتی

21.07.2019 جالب هست

خط مشی امنیت اطلاعات (مثال)

خلاصه سیاست

اطلاعات بدون در نظر گرفتن شکل و نحوه انتشار، انتقال و ذخیره سازی آنها باید همیشه محافظت شود.

معرفی

اطلاعات می تواند به اشکال مختلف وجود داشته باشد. می توان آن را روی کاغذ چاپ یا نوشت، به صورت الکترونیکی ذخیره کرد، از طریق پست یا با استفاده از دستگاه های الکترونیکی ارسال کرد، روی نوار نشان داده شد، یا به صورت شفاهی در طول ارتباط منتقل شد.

امنیت اطلاعات محافظت از اطلاعات در برابر انواع تهدیدها برای اطمینان از تداوم کسب و کار، به حداقل رساندن ریسک تجاری و به حداکثر رساندن بازگشت سرمایه و فرصت های تجاری است.

محدوده

این سیاست از سیاست امنیتی کلی سازمان پشتیبانی می کند.
این سیاست برای همه افراد در سازمان اعمال می شود.

اهداف امنیت اطلاعات

1. درک و رسیدگی به ریسک های امنیت اطلاعات استراتژیک و عملیاتی به گونه ای که برای سازمان قابل قبول باشد.

2. حفاظت از محرمانه بودن اطلاعات مشتری، برنامه های توسعه محصول و بازاریابی.

3. حفظ یکپارچگی مواد حسابداری.

4. انطباق سرویس های وب مشترک و اینترانت با استانداردهای دسترسی مناسب.

اصول امنیت اطلاعات

1. این سازمان پذیرش ریسک را ترویج می کند و بر ریسک هایی غلبه می کند که سازمان های محافظه کارانه نمی توانند بر آنها غلبه کنند، مشروط بر اینکه ریسک ها درک، نظارت و برای کسب اطلاعات در صورت نیاز درمان شوند. شرح مفصلی از رویکردهای مورد استفاده برای ارزیابی و درمان خطرات را می توان در خط مشی ISMS یافت.

2. همه پرسنل باید در زمینه امنیت اطلاعات در رابطه با مسئولیت های شغلی خود آگاه و پاسخگو باشند.

3. باید ترتیباتی برای تأمین مالی کنترل امنیت اطلاعات و فرآیندهای مدیریت پروژه انجام شود.

4. احتمال تقلب و سوء استفاده در سیستم های اطلاعاتی باید در مدیریت کلی سیستم های اطلاعاتی در نظر گرفته شود.

5. گزارش وضعیت امنیت اطلاعات باید در دسترس باشد.

6. نظارت بر خطرات امنیت اطلاعات و انجام اقدامات لازم در زمانی که تغییرات منجر به خطرات پیش بینی نشده می شود، ضروری است.

7. معیارهای طبقه بندی ریسک و پذیرش ریسک را می توان در خط مشی ISMS یافت.

8. شرایطی که می تواند سازمان را به نقض قوانین و مقررات سوق دهد نباید تحمل شود.

حوزه های مسئولیت

1. گروه حتی ارشد مسئول اطمینان از پردازش صحیح اطلاعات در سراسر سازمان است.

2. هر یک از مدیران ارشد مسئول این است که اطمینان حاصل کند که کسانی که تحت هدایت او هستند از اطلاعات مطابق با استانداردهای سازمانی محافظت می کنند.

3. افسر ارشد امنیت به تیم مدیریت ارشد مشاوره می دهد، به کارکنان سازمان کمک های تخصصی ارائه می دهد و از در دسترس بودن گزارش های وضعیت امنیت اطلاعات اطمینان حاصل می کند.

4. همه افراد در سازمان به عنوان بخشی از اجرای مسئولیت های شغلی خود مسئول امنیت اطلاعات هستند.

نتایج کلیدی

1. حوادث امنیت اطلاعات نباید منجر به هزینه های غیرقابل پیش بینی جدی یا اختلال جدی در خدمات و فعالیت های شرکت شود.

2. زیان ناشی از تقلب باید معلوم و در حدود قابل قبول باشد.

3. مسائل امنیت اطلاعات نباید بر پذیرش محصولات و خدمات توسط مشتریان تأثیر منفی بگذارد.

سیاست های مرتبط

خط مشی های تفصیلی زیر حاوی اصول و دستورالعمل هایی برای جنبه های خاص امنیت اطلاعات است:

1. سیاست سیستم مدیریت امنیت اطلاعات (ISMS).

2. سیاست کنترل دسترسی.

3. سیاست میز روشن و صفحه شفاف.

4. سیاست نرم افزار غیرمجاز.

5. سیاست در مورد دریافت فایل های نرم افزار از یا از طریق شبکه های خارجی.

6. سیاست در مورد کد تلفن همراه;

7. سیاست پشتیبان گیری;

8. سیاست در مورد تبادل اطلاعات بین سازمانها.

9. سیاست استفاده قابل قبول از ارتباطات الکترونیکی.

10. سیاست حفظ سوابق.

11. سیاست استفاده از خدمات شبکه.

12. سیاست در مورد محاسبات و ارتباطات سیار.

13. سیاست دورکاری;

14. سیاست استفاده از کنترل رمزنگاری.

15. سیاست انطباق;

16. سیاست صدور مجوز نرم افزار.

17. سیاست حذف نرم افزار.

18. حفاظت از داده ها و سیاست حفظ حریم خصوصی.

همه این سیاست ها تقویت می کنند:

شناسایی ریسک با ارائه چارچوبی برای کنترل‌ها که می‌تواند برای تشخیص نقص در طراحی و اجرای سیستم‌ها استفاده شود.

· درمان خطر با کمک به تعیین نحوه رسیدگی به آسیب پذیری ها و تهدیدهای خاص.


خط مشی امنیت اطلاعات شرکت

· 1. مقررات عمومی

o 1.1. هدف و هدف این سیاست

o 1.2. محدوده این سیاست

o 2.1. مسئولیت دارایی های اطلاعاتی

o 2.2. کنترل دسترسی به سیستم های اطلاعاتی

§ 2.2.1. مقررات عمومی

§ 2.2.2. دسترسی شخص ثالث به سیستم های شرکت

§ 2.2.3. دسترسی از راه دور

§ 2.2.4. دسترسی به اینترنت

o 2.3. حفاظت از تجهیزات

§ 2.3.1. سخت افزار

§ 2.3.2. نرم افزار

o 2.5. گزارش حوادث امنیت اطلاعات، پاسخ و گزارش

o 2.6. محل با ابزار فنی امنیت اطلاعات

o 2.7. مدیریت شبکه

o 2.7.1. حفاظت و ایمنی داده ها

o 2.8. توسعه سیستم ها و مدیریت تغییر

مقررات عمومی

اطلاعات یک منبع ارزشمند و حیاتی YOUR_COMPANY (از این پس - شرکت) است. این خط مشی امنیت اطلاعات اتخاذ تدابیر لازم را برای محافظت از دارایی ها در برابر تغییر، افشا یا تخریب تصادفی یا عمدی و همچنین به منظور حفظ محرمانگی، یکپارچگی و در دسترس بودن اطلاعات، برای اطمینان از فرآیند پردازش خودکار داده ها اتخاذ می کند. در شرکت.

هر یک از کارکنان شرکت مسئولیت رعایت امنیت اطلاعات را بر عهده دارند، در حالی که وظیفه اصلی تضمین امنیت کلیه دارایی های شرکت است. این بدان معنی است که اطلاعات باید با اطمینان کمتر از سایر دارایی های اصلی شرکت محافظت شود. اهداف اصلی شرکت بدون ارائه به موقع و کامل اطلاعات کارکنان برای انجام وظایف رسمی قابل دستیابی نیست.

در این سیاست، اصطلاح "کارمند" به کلیه کارکنان شرکت اطلاق می شود. مفاد این سیاست در مورد افرادی که در شرکت تحت قراردادهای مدنی کار می کنند، از جمله کسانی که اعزام شده اند، اعمال می شود، در صورتی که در چنین قراردادی تصریح شده باشد.

صرف نظر از اندازه سازمان و مشخصات سیستم اطلاعاتی آن، کار برای اطمینان از رژیم IS معمولاً شامل مراحل زیر است (شکل 1):

- تعیین محدوده (مرزهای) سیستم مدیریت امنیت اطلاعات و تعیین اهداف ایجاد آن.

- ارزیابی ریسک؛

- انتخاب اقدامات متقابل برای اطمینان از حالت IS.

- مدیریت ریسک؛

- ممیزی سیستم مدیریت IS؛

- توسعه یک سیاست امنیتی

DIV_ADBLOCK315 ">

مرحله 3. ساختار اقدامات متقابل برای محافظت از اطلاعات در سطوح اصلی زیر: اداری، رویه ای، نرم افزاری و سخت افزاری.

مرحله 4. ایجاد رویه برای صدور گواهینامه و اعتبار سیستم های اطلاعاتی شرکت ها برای انطباق با استانداردهای IS. تعیین مکرر جلسات با موضوع امنیت اطلاعات در سطح مدیریت از جمله بازنگری دوره ای مفاد خط مشی امنیت اطلاعات و همچنین نحوه آموزش کلیه رده های کاربران سیستم اطلاعاتی در حوزه امنیت اطلاعات. . مشخص است که توسعه خط مشی امنیتی یک سازمان کمترین مرحله رسمی است. با این حال، در سال های اخیر، تلاش بسیاری از متخصصان امنیت اطلاعات در اینجا متمرکز شده است.

مرحله 5. تعیین محدوده (مرزهای) سیستم مدیریت امنیت اطلاعات و تعیین اهداف ایجاد آن. در این مرحله مرزهای سیستمی که باید حالت امنیت اطلاعات برای آن تضمین شود مشخص می شود. بر این اساس، سیستم مدیریت امنیت اطلاعات در این محدوده ها ساخته می شود. توصیه می شود که شرح مرزهای سیستم طبق طرح زیر انجام شود:

- ساختار سازمان ارائه ساختار موجود و تغییراتی که قرار است در ارتباط با توسعه (مدرن سازی) سیستم خودکار معرفی شود.

- منابع سیستم اطلاعاتی که باید محافظت شوند. توصیه می شود منابع یک سیستم خودکار از کلاس های زیر را در نظر بگیرید: SVT، داده ها، سیستم و نرم افزارهای کاربردی. همه منابع برای سازمان ارزش دارند. برای ارزیابی آنها، باید یک سیستم از معیارها و یک روش برای به دست آوردن نتایج بر اساس این معیارها انتخاب شود.

· تدوین اصول طبقه بندی دارایی های اطلاعاتی شرکت و ارزیابی امنیت آنها.

· ارزیابی ریسک های اطلاعاتی و مدیریت آنها.

· آموزش کارکنان شرکت در روش های امنیت اطلاعات، برگزاری جلسات توجیهی و کنترل دانش و مهارت های عملی در اجرای سیاست های امنیتی توسط کارکنان شرکت.

· مشاوره به مدیران شرکت در مورد مدیریت ریسک اطلاعات.

· هماهنگی سیاست های خصوصی و مقررات امنیتی در بین بخش های شرکت.

· کنترل بر کار کیفیت و خدمات اتوماسیون شرکت با حق بررسی و تایید گزارشات و اسناد داخلی.

· تعامل با خدمات پرسنلی شرکت برای تأیید اطلاعات شخصی کارکنان هنگام استخدام.

· سازماندهی اقدامات برای حذف شرایط اضطراری یا اضطراری در زمینه حفاظت از اطلاعات در صورت وقوع آنها.

یکپارچگی اطلاعات - وجود اطلاعات به شکل تحریف نشده (بدون تغییر در رابطه با برخی از حالت های ثابت آن). معمولاً آزمودنی ها علاقه مند به ارائه ویژگی گسترده تری هستند - قابلیت اطمینان اطلاعات که شامل کفایت (کامل و دقت) نمایش وضعیت حوزه موضوعی و یکپارچگی خود اطلاعات است، یعنی عدم وجود آن. اعوجاج.

بین یکپارچگی استاتیک و پویا تمایز وجود دارد. به منظور نقض یکپارچگی استاتیک، یک مهاجم می تواند: داده های نادرست را وارد کند. برای تغییر داده ها گاهی اوقات داده های معنی دار تغییر می کند، گاهی اوقات - اطلاعات خدمات. تهدیدهای یکپارچگی پویا عبارتند از نقض اتمی تراکنش، ترتیب مجدد، سرقت، تکراری بودن داده ها یا معرفی پیام های اضافی (بسته های شبکه و غیره). اقدامات مربوطه در یک محیط شبکه ای را گوش دادن فعال می نامند.

صداقت نه تنها با جعل یا تغییر داده ها تهدید می شود، بلکه با امتناع از انجام اقدام نیز تهدید می شود. اگر ابزاری برای اطمینان از "عدم انکار" وجود نداشته باشد، داده های رایانه ای نمی توانند به عنوان مدرک در نظر گرفته شوند. نه تنها داده ها، بلکه برنامه ها نیز به طور بالقوه از نقطه نظر نقض یکپارچگی آسیب پذیر هستند. تزریق بدافزار نمونه ای از چنین تخلفاتی است.

یک تهدید فوری و بسیار خطرناک، معرفی روت کیت ها (مجموعه ای از فایل های نصب شده در یک سیستم به منظور تغییر عملکرد استاندارد آن به روشی مخرب و مخفیانه)، ربات ها (برنامه ای که به طور خودکار یک ماموریت خاص را انجام می دهد، گروهی از رایانه ها است. که ربات‌هایی از همان نوع روی آن کار می‌کنند، بات‌نت نامیده می‌شود)، حرکات مخفی (بدافزاری که به دستورات در پورت‌های TCP یا UDP خاص گوش می‌دهد) و جاسوس‌افزار (بدافزارهایی که هدف آنها به خطر انداختن اطلاعات محرمانه کاربر است. به عنوان مثال، Back Orifice و Trojans Netbus به شما اجازه می‌دهند. کنترل سیستم های کاربر با انواع مختلف MS -Windows.

تهدید محرمانگی

خطر نقض محرمانه بودن این است که اطلاعات برای کسی که صلاحیت دسترسی به آن را ندارد شناخته شود. گاهی اوقات اصطلاح "نشت" در ارتباط با تهدید نقض محرمانگی استفاده می شود.

محرمانه بودن اطلاعات یک مشخصه (ویژگی) اطلاعات است که به طور ذهنی تعیین می شود (نسبت داده شده) که نشان دهنده نیاز به اعمال محدودیت در طیف افراد دارای دسترسی به این اطلاعات است و با توانایی سیستم (محیط) برای حفظ این اطلاعات تضمین می شود. راز از سوژه هایی که صلاحیت دسترسی به آن را ندارند... پیش نیازهای عینی چنین محدودیتی در دسترسی به اطلاعات برای برخی از افراد در نیاز به محافظت از منافع مشروع آنها در برابر سایر موضوعات روابط اطلاعاتی نهفته است.

اطلاعات محرمانه را می توان به اطلاعات موضوعی و خدماتی تقسیم کرد. اطلاعات سرویس (به عنوان مثال، رمزهای عبور کاربر) به یک حوزه موضوعی خاص تعلق ندارد، نقش فنی را در سیستم اطلاعات ایفا می کند، اما افشای آن به ویژه خطرناک است، زیرا مملو از دسترسی غیرمجاز به تمام اطلاعات، از جمله اطلاعات موضوع است. تهدیدهای غیر فنی خطرناک برای محرمانگی، روش‌های تأثیر اخلاقی و روانی هستند، مانند "بالماسکه" - انجام اقدامات تحت پوشش شخصی با اختیار برای دسترسی به داده‌ها. تهدیدهای ناخوشایندی که دفاع در برابر آنها دشوار است شامل سوء استفاده از قدرت است. در بسیاری از انواع سیستم ها، یک کاربر ممتاز (به عنوان مثال، یک مدیر سیستم) می تواند هر فایل (رمزگذاری نشده) را بخواند، به نامه هر کاربر دسترسی داشته باشد.

در حال حاضر، رایج ترین حملات به اصطلاح فیشینگ است. ماهیگیری (ماهیگیری - ماهیگیری) نوعی کلاهبرداری اینترنتی است که هدف آن دسترسی به اطلاعات محرمانه کاربر - لاگین و رمز عبور است. این امر با ارسال ایمیل‌های انبوه از طرف مارک‌های محبوب و همچنین پیام‌های خصوصی در سرویس‌های مختلف، به عنوان مثال، از طرف بانک‌ها، خدمات (Rambler، Mail.ru) یا در شبکه‌های اجتماعی (Facebook، Vkontakte، Odnoklassniki) به دست می‌آید. .ru). فیشرها امروزه مشتریان بانک ها و سیستم های پرداخت الکترونیکی را هدف قرار داده اند. به عنوان مثال، در ایالات متحده که به عنوان خدمات درآمد داخلی ظاهر می شود، فیشارها داده های قابل توجهی از مالیات دهندگان در سال 2009 جمع آوری کردند.

برای یک شرکت، اطلاعات آن منبع مهمی است. خط مشی امنیت اطلاعات اقدامات لازم را برای محافظت از اطلاعات در برابر دریافت تصادفی یا عمدی، تخریب و غیره تعریف می کند. هر یک از کارکنان شرکت مسئول رعایت سیاست ایمنی هستند. اهداف سیاست امنیتی عبارتند از:

  • اجرای دسترسی مستمر به منابع شرکت برای انجام عادی وظایف کارکنان
  • تامین منابع اطلاعاتی حیاتی
  • حفاظت از یکپارچگی داده ها
  • تخصیص میزان مسئولیت و وظایف کارکنان برای اجرای امنیت اطلاعات در شرکت
  • برای آشنایی کاربران با خطرات مرتبط با inf کار کنید. منابع سازمانی

کارمندان باید به طور دوره ای برای رعایت سیاست امنیت اطلاعات بررسی شوند. قوانین خط مشی برای همه منابع و اطلاعات موجود در شرکت اعمال می شود. این شرکت دارای حقوق مالکیت منابع محاسباتی، اطلاعات تجاری، نرم افزارهای دارای مجوز و ایجاد شده، محتوای ایمیل، اسناد مختلف است.

برای تمام دارایی های اطلاعاتی یک شرکت، باید افراد مناسبی وجود داشته باشند که مسئولیت استفاده از آن یا سایر دارایی ها را دارند.

کنترل دسترسی به سیستم های اطلاعاتی

تمام وظایف آنها باید فقط بر روی رایانه هایی که برای استفاده در شرکت تأیید شده اند انجام شود. استفاده از دستگاه های قابل حمل و ذخیره سازی آنها فقط با توافق امکان پذیر است. تمام اطلاعات محرمانه باید به صورت رمزگذاری شده در هارد دیسک هایی که نرم افزار رمزگذاری هارد دیسک پیاده سازی شده است ذخیره شود. حقوق کارکنان نسبت به سیستم اطلاعاتی باید به صورت دوره ای بررسی شود. برای اجرای دسترسی مجاز به یک منبع اطلاعاتی، سیستم باید با یک نام کاربری و رمز عبور منحصر به فرد وارد سیستم شوید. رمزهای عبور باید رعایت شود. همچنین، در هنگام استراحت یا غیبت یک کارمند در محل کار، عملکرد محافظ صفحه باید فعال شود تا دستگاه کار را مسدود کند.

دسترسی شخص ثالث به سیستم اطلاعات سازمانی

هر کارمند باید به سرویس امنیت اطلاعات اطلاع دهد که دسترسی اشخاص ثالث به منابع شبکه اطلاعات را فراهم می کند.

دسترسی از راه دور

کارمندانی که از دستگاه‌های دستی شخصی استفاده می‌کنند می‌توانند درخواست دسترسی از راه دور به شبکه اطلاعات سازمانی کنند. کارمندانی که خارج از شرکت کار می کنند و دسترسی از راه دور دارند، از کپی کردن داده ها از شبکه شرکت منع می شوند. همچنین، چنین کارکنانی نمی توانند بیش از یک اتصال به شبکه های مختلف که متعلق به شرکت نیستند داشته باشند. رایانه های دارای دسترسی از راه دور باید حاوی.

دسترسی به اینترنت

چنین دسترسی فقط باید برای اهداف تولید مجاز باشد و نه برای استفاده شخصی. توصیه ها در زیر نشان داده شده است:

  • بازدید از یک منبع اینترنتی که برای جامعه توهین آمیز تلقی می شود یا دارای داده های جنسی، تبلیغاتی و غیره است ممنوع است.
  • کارمندان نباید از اینترنت برای ذخیره داده های سازمانی استفاده کنند
  • کارمندانی که دارای حساب های ارائه شده توسط ارائه دهندگان عمومی هستند، از استفاده از تجهیزات شرکت منع می شوند
  • تمام فایل های اینترنت باید از نظر ویروس اسکن شوند
  • دسترسی به اینترنت برای تمامی افرادی که کارمند نیستند ممنوع است

حفاظت از تجهیزات

کارکنان همچنین باید مراقب اجرای حفاظت فیزیکی برای تجهیزاتی باشند که داده‌های سازمانی روی آن‌ها ذخیره یا پردازش می‌شود. پیکربندی دستی سخت افزار و نرم افزار ممنوع است، برای این کار متخصصان امنیت اطلاعات وجود دارد.

سخت افزار

کاربرانی که با اطلاعات محرمانه کار می کنند باید یک اتاق جداگانه داشته باشند تا دسترسی فیزیکی به آنها و محل کارشان محدود شود.

هر کارمند با دریافت تجهیزات از شرکت برای استفاده موقت (سفر کاری) باید از آن مراقبت کند و آن را بدون مراقبت رها نکند. در صورت مفقود شدن یا سایر موارد اضطراری، داده های رایانه باید از قبل رمزگذاری شوند.

قالب‌بندی داده‌ها قبل از نوشتن یا از بین بردن رسانه تضمینی صددرصدی برای تمیز بودن دستگاه نیست. همچنین، پورت های انتقال داده در رایانه های ثابت باید مسدود شود، مگر اینکه کارمند اجازه کپی داده ها را داشته باشد.

نرم افزار

کلیه نرم افزارهای نصب شده بر روی کامپیوترهای شرکت متعلق به شرکت بوده و باید در امور تجاری مورد استفاده قرار گیرند. نصب نرم افزارهای دیگر بدون هماهنگی با سرویس امنیت اطلاعات برای کارکنان ممنوع است. همه کامپیوترهای ثابت باید دارای حداقل مجموعه نرم افزاری باشند:

  • نرم افزار آنتی ویروس
  • نرم افزار رمزگذاری هارد دیسک
  • نرم افزار رمزگذاری ایمیل

کارکنان شرکت نباید:

  • سایر نرم افزارهای آنتی ویروس را مسدود یا نصب کنید
  • تنظیمات حفاظت را تغییر دهید

پیام های الکترونیکی (حتی آنهایی که حذف شده اند) می توانند توسط دولت استفاده شوند. مقامات یا رقبای تجاری در دادگاه به عنوان مدرک. بنابراین، محتوای پیام‌ها باید کاملاً با استانداردهای اخلاقی تجاری مطابقت داشته باشد.

کارمندان نمی توانند اطلاعات محرمانه شرکت را از طریق پست بدون اجرای رمزگذاری ارسال کنند. همچنین کارمندان نمی توانند از صندوق پستی عمومی استفاده کنند. فقط صندوق پستی شرکتی باید برای جریان اسناد استفاده شود. اقدامات غیرقابل حل در هنگام پیاده سازی ایمیل به شرح زیر است:

  • توزیع گروهی برای همه کاربران شرکت
  • ارسال پیام های شخصی با استفاده از منابع ایمیل شرکت
  • اشتراک در لیست های پستی صندوق پستی سازمانی
  • ارسال مطالب غیر مرتبط با کار

گزارش رویداد، پاسخ و گزارش

همه کارمندان باید هرگونه سوء ظن به آسیب پذیری های امنیتی را گزارش کنند. همچنین افشای نقاط ضعف سیستم امنیتی شناخته شده برای کارمند غیرممکن است. اگر مشکوک به وجود ویروس یا سایر اقدامات مخرب در رایانه باشد، کارمند باید:

  • به کارکنان امنیت اطلاعات اطلاع دهید
  • کامپیوتر آلوده را روشن نکنید و از آن استفاده نکنید
  • کامپیوتر را به شبکه اطلاعات شرکت وصل نکنید

محل با روش های حفاظت فنی

تمام جلسات / جلسات محرمانه باید فقط در مناطق اختصاصی برگزار شود. شرکت کنندگان از آوردن دستگاه های ضبط (صوتی / تصویری) و تلفن های همراه به محل بدون رضایت سرویس امنیت اطلاعات منع شده اند. ضبط صوتی / تصویری را می توان با مجوز از سرویس امنیت اطلاعات توسط یک کارمند انجام داد.

نرم افزار TSF خارج از هسته شامل برنامه های کاربردی قابل اعتمادی است که برای اجرای عملکردهای امنیتی استفاده می شود. توجه داشته باشید که کتابخانه های مشترک، از جمله ماژول های PAM، در برخی موارد توسط برنامه های کاربردی قابل اعتماد استفاده می شوند. با این حال، هیچ نمونه ای وجود ندارد که خود کتابخانه مشترک به عنوان یک شی مورد اعتماد در نظر گرفته شود. دستورات مورد اعتماد را می توان به صورت زیر گروه بندی کرد.

  • مقداردهی اولیه سیستم
  • شناسایی و احراز هویت
  • برنامه های کاربردی شبکه
  • پردازش دسته ای
  • مدیریت سیستم
  • ممیزی سطح کاربر
  • پشتیبانی رمزنگاری
  • پشتیبانی از ماشین مجازی

اجزای اجرای کرنل را می توان به سه بخش تقسیم کرد: هسته اصلی، رشته های هسته و ماژول های هسته، بسته به نحوه اجرای آنها.

  • هسته اصلی شامل کدهایی است که برای ارائه یک سرویس اجرا می شود، مانند سرویس یک syscall کاربر یا سرویس یک رویداد استثنا یا وقفه. اکثر کدهای هسته کامپایل شده در این دسته قرار می گیرند.
  • نخ های هسته. هسته فرآیندها یا رشته‌های داخلی را برای انجام برخی وظایف رایج ایجاد می‌کند، مانند شستشوی حافظه پنهان دیسک یا آزاد کردن حافظه با بارگیری بلوک‌های صفحه استفاده نشده. Thread ها دقیقاً مانند فرآیندهای معمولی برنامه ریزی می شوند، اما در حالت غیرمجاز هیچ زمینه ای ندارند. رشته های هسته عملکردهای خاصی از زبان هسته C را انجام می دهند. رشته های کرنل در فضای هسته قرار دارند و فقط در حالت ممتاز اجرا می شوند.
  • ماژول کرنل و ماژول کرنل درایور دستگاه قطعاتی از کد هستند که می‌توانند در صورت نیاز درون و از هسته آن بارگیری و تخلیه شوند. آنها عملکرد هسته را بدون نیاز به راه اندازی مجدد سیستم گسترش می دهند. پس از بارگذاری، کد شی ماژول هسته می تواند به سایر کدها و داده های هسته به همان روشی که کد شی هسته پیوند استاتیکی دارد، دسترسی پیدا کند.
درایور دستگاه نوع خاصی از ماژول هسته است که به هسته اجازه دسترسی به سخت افزار متصل به سیستم را می دهد. این دستگاه ها می توانند هارد دیسک، مانیتور یا رابط شبکه باشند. درایور از طریق یک رابط تعریف‌شده با بقیه هسته ارتباط برقرار می‌کند که به هسته اجازه می‌دهد تا بدون توجه به پیاده‌سازی‌های زیربنایی آنها، با همه دستگاه‌ها به روشی یکنواخت برخورد کند.

هسته از زیر سیستم های منطقی تشکیل شده است که عملکردهای مختلفی را ارائه می کنند. اگرچه هسته تنها برنامه اجرایی است، خدمات مختلفی که ارائه می دهد را می توان از هم جدا کرد و در اجزای منطقی مختلف ترکیب کرد. این مؤلفه ها برای ارائه عملکرد خاصی با هم تعامل دارند. هسته از زیر سیستم های منطقی زیر تشکیل شده است:

  • زیرسیستم فایل و زیر سیستم I/O: این زیرسیستم توابع مربوط به اشیاء سیستم فایل را پیاده سازی می کند. توابع پیاده‌سازی شده شامل آنهایی هستند که فرآیندی را قادر می‌سازد تا اشیاء سیستم فایل را ایجاد، نگهداری، تعامل و حذف کند. این اشیاء شامل فایل‌های معمولی، دایرکتوری‌ها، پیوندهای نمادین، پیوندهای سخت، فایل‌های خاص دستگاه، لوله‌های نام‌گذاری شده و سوکت‌ها می‌شوند.
  • زیرسیستم فرآیند: این زیرسیستم توابع مربوط به کنترل فرآیند و کنترل نخ را پیاده سازی می کند. توابع پیاده سازی شده به شما امکان ایجاد، برنامه ریزی، اجرا و حذف فرآیندها و اصول رشته را می دهند.
  • زیر سیستم حافظه: این زیرسیستم توابع مربوط به مدیریت منابع حافظه سیستم را پیاده سازی می کند. توابع پیاده سازی شده شامل مواردی است که حافظه مجازی را ایجاد و مدیریت می کند، از جمله مدیریت الگوریتم های صفحه بندی و جداول صفحه بندی.
  • زیر سیستم شبکه: این زیرسیستم سوکت های یونیکس و دامنه اینترنت و الگوریتم های مورد استفاده برای زمان بندی بسته های شبکه را پیاده سازی می کند.
  • زیر سیستم IPC: این زیرسیستم توابع مربوط به مکانیزم های IPC را پیاده سازی می کند. توابع پیاده سازی شده شامل آنهایی است که تبادل کنترل شده اطلاعات بین فرآیندها را با امکان به اشتراک گذاری داده ها و همگام سازی اجرای آنها در هنگام تعامل با یک منبع مشترک تسهیل می کند.
  • زیر سیستم ماژول های هسته: این زیر سیستم زیرساختی را برای پشتیبانی از ماژول های قابل بارگذاری پیاده سازی می کند. توابع پیاده سازی شده شامل بارگذاری، مقداردهی اولیه و تخلیه ماژول های هسته است.
  • پسوندهای امنیتی لینوکس: برنامه های افزودنی امنیتی لینوکس جنبه های مختلفی از امنیت را که برای کل هسته ارائه شده است، اجرا می کند، از جمله چارچوب ماژول امنیتی لینوکس (LSM). چارچوب LSM به عنوان چارچوبی برای ماژول ها عمل می کند تا سیاست های امنیتی مختلف از جمله SELinux را برای پیاده سازی فعال کند. SELinux یک زیرسیستم منطقی مهم است. این زیرسیستم توابع کنترل دسترسی اجباری را برای دستیابی به دسترسی بین تمام اشیا و اشیاء پیاده سازی می کند.
  • زیرسیستم درایور دستگاه: این زیرسیستم از طریق یک رابط مشترک مستقل از دستگاه پشتیبانی از دستگاه های سخت افزاری و نرم افزاری مختلف را پیاده سازی می کند.
  • زیر سیستم حسابرسی: این زیرسیستم توابع مربوط به ثبت رویدادهای مهم امنیتی را در سیستم پیاده سازی می کند. توابع پیاده‌سازی شده شامل مواردی است که هر فراخوانی سیستم را برای ضبط رویدادهای مهم امنیتی و آنهایی که جمع‌آوری و ثبت مسیرهای حسابرسی را اجرا می‌کنند، می‌گیرند.
  • زیرسیستم KVM: این زیرسیستم نگهداری از چرخه حیات ماشین مجازی را پیاده سازی می کند. تکمیل دستورالعمل را انجام می دهد، که برای دستورالعمل هایی استفاده می شود که فقط به بررسی های کوچک نیاز دارند. برای هر تکمیل دیگر عبارت، KVM مولفه فضای کاربر QEMU را فراخوانی می کند.
  • Crypto API: این زیرسیستم یک کتابخانه رمزنگاری داخلی برای تمام اجزای هسته فراهم می کند. این نرم افزار رمزنگاری اولیه را برای تماس گیرندگان فراهم می کند.

هسته بخش اصلی سیستم عامل است. مستقیماً با سخت‌افزار تعامل دارد، اشتراک‌گذاری منابع را پیاده‌سازی می‌کند، خدمات کلی را برای برنامه‌ها ارائه می‌کند و از دسترسی مستقیم برنامه‌ها به توابع وابسته به سخت‌افزار جلوگیری می‌کند. خدمات ارائه شده توسط کرنل عبارتند از:

1. مدیریت اجرای فرآیندها، از جمله عملیات ایجاد، خاتمه یا تعلیق آنها و ارتباطات بین فرآیندی. این شامل:

  • زمان‌بندی معادل فرآیندها برای اجرا در CPU.
  • تقسیم فرآیندها در CPU با استفاده از حالت تقسیم زمان.
  • اجرای فرآیند در CPU
  • تعلیق هسته پس از اتمام زمان کوانتومی اختصاص داده شده به آن.
  • اختصاص زمان هسته برای اجرای یک فرآیند دیگر.
  • زمان بندی مجدد زمان هسته برای اجرای یک فرآیند معلق.
  • ابرداده‌های مربوط به امنیت فرآیند مانند UID، GID، برچسب‌های SELinux، شناسه‌های ویژگی را مدیریت کنید.
2. تخصیص RAM برای فرآیند اجرایی. این عملیات شامل:
  • مجوز هسته برای فرآیندها برای به اشتراک گذاشتن بخشی از فضای آدرس خود تحت شرایط خاص. با این حال، هسته از فضای آدرس خود فرآیند در برابر تداخل خارجی محافظت می کند.
  • اگر حافظه خالی سیستم تمام شود، هسته با نوشتن فرآیند به طور موقت در حافظه سطح دوم یا فضای مبادله، حافظه را آزاد می کند.
  • تعامل هماهنگ با سخت افزار ماشین برای ایجاد نقشه ای از آدرس های مجازی به آدرس های فیزیکی، که آدرس های تولید شده توسط کامپایلر را به آدرس های فیزیکی نگاشت می کند.
3. نگهداری از چرخه حیات ماشین های مجازی که شامل:
  • محدودیت هایی را بر روی منابع پیکربندی شده توسط برنامه شبیه سازی برای یک ماشین مجازی معین تنظیم می کند.
  • راه اندازی کد برنامه ماشین مجازی برای اجرا.
  • خاموش شدن ماشین‌های مجازی را با تکمیل یک دستورالعمل یا تأخیر در تکمیل یک دستورالعمل برای شبیه‌سازی فضای کاربر مدیریت کنید.
4. نگهداری فایل سیستم. آن شامل:
  • تخصیص حافظه ثانویه برای ذخیره سازی کارآمد و بازیابی اطلاعات کاربر.
  • تخصیص حافظه خارجی برای فایل های کاربر.
  • فضای ذخیره سازی استفاده نشده را بازیافت کنید.
  • سازماندهی ساختار فایل سیستم (با استفاده از اصول ساختاری روشن).
  • محافظت از فایل های کاربر در برابر دسترسی غیرمجاز.
  • دسترسی فرآیند کنترل شده را به دستگاه های جانبی مانند پایانه ها، درایوهای نوار، درایوهای دیسک و دستگاه های شبکه ارائه دهید.
  • سازماندهی دسترسی متقابل به داده ها برای افراد و اشیاء، ارائه دسترسی کنترل شده بر اساس خط مشی DAC و هر سیاست دیگری که توسط LSM بارگذاری شده اجرا می شود.
هسته لینوکس نوعی هسته سیستم عامل است که برنامه ریزی پیشگیرانه را پیاده سازی می کند. در کرنل هایی که این قابلیت را ندارند، اجرای کد کرنل تا تکمیل ادامه می یابد، یعنی. زمانبند قادر به زمانبندی مجدد یک کار در زمانی که در هسته است نیست. علاوه بر این، اجرای کد هسته به صورت مشترک و بدون زمان‌بندی پیش‌دستانه برنامه‌ریزی می‌شود و اجرای این کد تا پایان و بازگشت به فضای کاربر یا تا زمانی که به‌صراحت مسدود شود ادامه می‌یابد. در هسته‌های پیشگیرانه، زمانی که هسته در حالتی است که زمان‌بندی مجدد آن امن است، می‌توان یک کار را در هر نقطه‌ای بارگذاری کرد.

در این مبحث سعی خواهم کرد بر اساس تجربیات شخصی و مطالب موجود در شبکه، کتابچه راهنمای توسعه اسناد نظارتی در زمینه امنیت اطلاعات برای یک ساختار تجاری را گردآوری کنم.

در اینجا می توانید پاسخ سوالات را بیابید:

  • سیاست امنیت اطلاعات برای چیست
  • چگونه آن را بسازیم؛
  • نحوه استفاده از آن

نیاز به سیاست امنیت اطلاعات
این بخش نیاز به پیاده سازی یک خط مشی امنیت اطلاعات و اسناد مرتبط را نه به زبان زیبای کتاب های درسی و استانداردها، بلکه با استفاده از مثال هایی از تجربیات شخصی تشریح می کند.
درک اهداف و مقاصد بخش امنیت اطلاعات
اول از همه، یک خط مشی لازم است تا اهداف و مقاصد امنیت اطلاعات شرکت را به تجارت منتقل کند. کسب و کار باید درک کند که یک افسر امنیتی نه تنها ابزاری برای بررسی نشت داده ها است، بلکه کمکی برای به حداقل رساندن ریسک های شرکت و در نتیجه افزایش سودآوری شرکت است.
الزامات خط مشی - مبنای اجرای پادمان ها
سیاست امنیت اطلاعات برای توجیه اعمال تدابیر حفاظتی در شرکت ضروری است. این سیاست باید به تایید بالاترین ارگان اداری شرکت (مدیرعامل، هیئت مدیره و ...) برسد.

هر گونه اقدام حفاظتی یک مبادله بین کاهش ریسک و تجربه کاربر است. وقتی یک افسر امنیتی می گوید به دلیل بروز برخی خطرات به هیچ وجه نباید این روند اتفاق بیفتد، همیشه یک سوال منطقی از او پرسیده می شود: "چطور باید اتفاق بیفتد؟" به افسر امنیتی باید یک مدل فرآیندی ارائه شود که در آن این ریسک ها تا حدی کاهش یابد که برای کسب و کار رضایت بخش است.

در عین حال هرگونه اعمال هرگونه تدابیر حفاظتی در خصوص تعامل کاربر با سیستم اطلاعاتی شرکت همواره باعث واکنش منفی کاربر می شود. آنها نمی خواهند دوباره یاد بگیرند، دستورالعمل های ایجاد شده برای آنها را بخوانید و غیره. اغلب کاربران سوالات منطقی می پرسند:

  • چرا باید طبق طرح اختراعی شما کار کنم و نه به روش ساده ای که همیشه استفاده می کردم
  • که همه اینها را اختراع کرد
تمرین نشان داده است که کاربر به خطرات اهمیتی نمی دهد، می توانید برای مدت طولانی و خسته کننده در مورد هکرها، قوانین جنایی و غیره برای او توضیح دهید، جز هدر دادن سلول های عصبی چیزی از آن دریغ نمی کند.
اگر شرکت دارای خط مشی امنیت اطلاعات است، می توانید پاسخی مختصر و مختصر بدهید:
این اقدام به منظور تحقق الزامات خط مشی امنیت اطلاعات شرکت که به تایید بالاترین مقام اداری شرکت رسیده است، ارائه شده است.

به عنوان یک قاعده، پس از اینکه انرژی اکثر کاربران از بین می رود. بقیه را می توان برای نوشتن یادداشت به این عالی ترین نهاد اداری شرکت دعوت کرد. بقیه اینجا حذف می شوند. چرا که حتی اگر تبصره به آنجا هم برود، همیشه می توانیم لزوم اقدامات انجام شده را نزد رهبری ثابت کنیم. ما نان خود را بیهوده نمی خوریم، درست است؟ هنگام تدوین خط مشی خود دو نکته را باید در نظر داشته باشید.
  • مخاطبان خط مشی امنیت اطلاعات کاربران نهایی و مدیریت ارشد شرکت هستند که عبارات فنی پیچیده را درک نمی کنند، اما باید با مفاد این خط مشی آشنا باشند.
  • نیازی نیست سعی کنید چیزی غیرممکن را جمع کنید و هر چیزی را که می توانید در این سند بگنجانید! فقط باید اهداف امنیت اطلاعات، روش های دستیابی به آنها و مسئولیت وجود داشته باشد! در صورت نیاز به دانش خاصی، جزئیات فنی وجود ندارد. اینها همه مواد برای دستورالعمل ها و مقررات هستند.


سند نهایی باید شرایط زیر را داشته باشد:
  • مختصر - حجم زیادی از یک سند هر کاربری را می ترساند، هیچ کس هرگز سند شما را نخواهد خواند (و شما بیش از یک بار از این عبارت استفاده خواهید کرد: "این نقض خط مشی امنیت اطلاعات است که به شما معرفی شده است")
  • دسترسی به یک فرد غیر عادی - کاربر نهایی باید بفهمد چه چیزی در خط مشی نوشته شده است (او هرگز کلمات و عبارات "ورود به سیستم"، "مدل مزاحم"، "حادثه امنیت اطلاعات"، "زیرساخت اطلاعات"، "مرد" را نمی خواند یا به خاطر می آورد. ساخته شده، "ساخت انسان"، عامل خطر "، و غیره)
چگونه می توان به این امر دست یافت؟

در واقع، همه چیز بسیار ساده است: یک خط مشی امنیت اطلاعات باید یک سند سطح اول باشد، باید با اسناد دیگر (مقررات و دستورالعمل ها) که قبلاً چیزی خاص را توصیف می کند، گسترش یافته و تکمیل شود.
می توانید با دولت تشبیه کنید: سند سطح اول قانون اساسی است و دکترین ها، مفاهیم، ​​قوانین و سایر اقدامات هنجاری موجود در دولت فقط تکمیل و تنظیم کننده اجرای مفاد آن است. یک نمودار تقریبی در شکل نشان داده شده است.

برای اینکه فرنی را روی بشقاب آغشته نکنید، فقط به نمونه هایی از سیاست های امنیت اطلاعات که در اینترنت یافت می شوند نگاهی بیندازیم.

تعداد صفحات مفید * مملو از شرایط نمره کلی
OJSC "Gazprombank" 11 خیلی بالا
صندوق توسعه کارآفرینی دامو JSC 14 بالا سندی دشوار برای خواندن متفکرانه، عوام نمی خواند و اگر بخواند نمی فهمد و به خاطر نمی آورد.
JSC NC "KazMunayGas" 3 کم سندی آسان برای درک، که با اصطلاحات فنی به هم ریخته نیست
JSC "موسسه مهندسی رادیو به نام آکادمی A. L. Mints" 42 خیلی بالا یک سند دشوار برای خواندن متفکرانه، افراد غیر عادی نمی خواهند بخوانند - صفحات بسیار زیادی وجود دارد

* مفید من تعداد صفحات بدون فهرست مطالب، صفحه عنوان و سایر صفحاتی که حاوی اطلاعات خاصی نیستند تماس می‌گیرم.

خلاصه

یک خط مشی امنیت اطلاعات باید در چندین صفحه قرار گیرد، برای افراد عادی قابل درک باشد، به طور کلی اهداف امنیت اطلاعات، روش های دستیابی به آنها و مسئولیت کارکنان را شرح دهد.
پیاده سازی و استفاده از سیاست امنیت اطلاعات
پس از تایید خط مشی IS، لازم است:
  • برای آشنایی همه کارکنانی که قبلاً مشغول به کار هستند با این خط مشی؛
  • برای آشنایی همه کارمندان جدید با این خط مشی (نحوه بهترین انجام این موضوع برای یک گفتگو جداگانه است، ما یک دوره مقدماتی برای تازه واردان داریم که در آن با توضیحات صحبت می کنم).
  • تجزیه و تحلیل فرآیندهای تجاری موجود به منظور شناسایی و به حداقل رساندن خطرات؛
  • در ایجاد فرآیندهای تجاری جدید شرکت کنید، تا بعداً دنبال قطار نروید.
  • تدوین مقررات، رویه ها، دستورالعمل ها و سایر اسناد تکمیل کننده خط مشی (دستورالعمل هایی برای دسترسی به اینترنت، دستورالعمل های دسترسی به اماکن با دسترسی محدود، دستورالعمل های کار با سیستم های اطلاعاتی شرکت و غیره).
  • سیاست IS و سایر اسناد IS را حداقل هر سه ماه یک بار به منظور به روز رسانی آنها تجدید نظر کنید.

برای سوالات و پیشنهادات، به نظرات و PM خوش آمدید.

سوال% نام کاربری%

در مورد سیاست، رئیس ها آنچه را که من می خواهم به زبان ساده دوست ندارند. آنها به من می گویند: "ما اینجا داریم، غیر از من و شما، و 10 کارمند IT دیگر که خودشان همه چیز را می دانند و می فهمند، 200 نفر هستند که چیزی از این موضوع نمی فهمند، نیمی از آنها مستمری بگیر هستند."
من مسیر کوتاهی متوسط ​​توضیحات مثلا قوانین حفاظت از آنتی ویروس را دنبال کردم و در زیر می نویسم مثل اینکه یک خط مشی محافظت از آنتی ویروس و غیره وجود دارد. اما نمی‌فهمم که کاربر برای خط‌مشی امضا می‌کند یا نه، اما دوباره باید یک سری اسناد دیگر را بخواند، به نظر می‌رسد که خط‌مشی را کاهش داده است، اما به نظر نمی‌رسد.

در اینجا من مسیر تجزیه و تحلیل فرآیندها را طی می کنم.
بیایید بگوییم محافظت از آنتی ویروس. منطقاً باید اینطور باشد.

خطرات ویروس ها چیست؟ نقض یکپارچگی (آسیب) اطلاعات، نقض در دسترس بودن (از کار افتادن سرورها یا رایانه های شخصی) اطلاعات. با سازماندهی مناسب شبکه، کاربر نباید از حقوق مدیر محلی در سیستم برخوردار باشد، یعنی حق نصب نرم افزار (و در نتیجه ویروس ها) در سیستم را نداشته باشد. بنابراین، بازنشستگان سقوط می کنند، زیرا آنها در اینجا تجارت نمی کنند.

چه کسی می تواند خطرات مرتبط با ویروس ها را کاهش دهد؟ کاربران با حقوق مدیریت دامنه مدیر دامنه - نقش حساسی که برای کارمندان بخش های فناوری اطلاعات و غیره صادر می شود. بر این اساس باید آنتی ویروس نصب کنند. به نظر می رسد که آنها همچنین مسئول فعالیت سیستم ضد ویروس هستند. بر این اساس، آنها همچنین باید دستورالعمل سازماندهی حفاظت ضد ویروس را امضا کنند. در واقع این مسئولیت باید در دستورالعمل ها پیش بینی شود. به عنوان مثال، درایوهای bezopasnik، ادمین ها اجرا می کنند.

سوال% نام کاربری%

سپس سوال این است که چه مسئولیتی برای ایجاد و استفاده از ویروس ها نباید در دستورالعمل آنتی ویروس ZI (یا مقاله ای وجود دارد و قابل ذکر نیست) باشد؟ یا اینکه آنها موظف هستند یک ویروس یا رفتار عجیب رایانه شخصی را به Help Desk یا افسران فناوری اطلاعات گزارش دهند؟

باز هم از سمت مدیریت ریسک نگاه می کنم. در اینجا بوی GOST 18044-2007 به مشام می رسد.
در مورد شما، "رفتار عجیب" لزوما یک ویروس نیست. این می تواند یک ترمز سیستم یا gposhek و غیره باشد. بر این اساس، این یک حادثه نیست، بلکه یک رویداد امنیت اطلاعات است. باز هم، طبق GOST، هر شخصی می تواند یک رویداد را اعلام کند، اما می توان یک حادثه را درک کرد یا نه تنها پس از تجزیه و تحلیل.

بنابراین، این سوال شما دیگر به سیاست امنیت اطلاعات ترجمه نمی شود، بلکه به مدیریت حوادث تبدیل می شود. در اینجا در خط مشی شما باید این موضوع مشخص شود شرکت باید یک سیستم رسیدگی به حوادث داشته باشد.

یعنی همانطور که می بینید اجرای اداری سیاست عمدتاً به مدیران و پرسنل امنیتی سپرده می شود. کاربران با یک مورد سفارشی باقی می مانند.

بنابراین، شما باید یک "روش استفاده از CBT در شرکت" را تنظیم کنید، که در آن باید مسئولیت های کاربران را مشخص کنید. این سند باید با خط مشی امنیت اطلاعات مرتبط باشد و به اصطلاح توضیحی برای کاربر باشد.

در این سند می توانید مشخص کنید که کاربر موظف است فعالیت غیرعادی رایانه را به مرجع مربوطه اطلاع دهد. خوب، هر چیز دیگری سفارشی است که می توانید آنجا اضافه کنید.

در کل، شما باید کاربر را با دو سند آشنا کنید:

  • سیاست IS (به طوری که او بفهمد چه کاری انجام می شود و چرا، قایق را تکان نمی دهد، هنگام معرفی سیستم های کنترل جدید فحش نمی دهد، و غیره)
  • این "رویه استفاده از CBT در شرکت" (به طوری که او بفهمد دقیقاً در شرایط خاص چه کاری انجام دهد)

بر این اساس، هنگام معرفی یک سیستم جدید، شما به سادگی چیزی را به "سفارش" اضافه می کنید و با ارسال سفارش از طریق ایمیل (یا از طریق EDMS، در صورت وجود، آن را به کارکنان اطلاع می دهید).

برچسب ها:

  • امنیت اطلاعات
  • مدیریت ریسک ها
  • خط مشی امنیتی
افزودن برچسب

مقالات مرتبط برتر

چگونه بفهمیم کامپیوتر شما هک شده است؟
چگونه بفهمیم کامپیوتر شما هک شده است؟
چگونه مانیتور خود را در خانه کالیبره و تنظیم کنید
چگونه مانیتور خود را در خانه کالیبره و تنظیم کنید
چگونه مانیتور خود را در ویندوز یا مک کالیبره کنیم
چگونه مانیتور خود را در ویندوز یا مک کالیبره کنیم
دسته بندی ها:
© 2021 bumotors.ru. نحوه راه اندازی گوشی های هوشمند و رایانه های شخصی پرتال اطلاعاتی