Come configurare smartphone e PC. Portale informativo
  • casa
  • Ferro
  • La politica dell'organizzazione ib. Un esempio di approccio aziendale IBM

La politica dell'organizzazione ib. Un esempio di approccio aziendale IBM

16.05.2019 Ferro

Politica sulla sicurezza delle informazioni (esempio)

Breve politica

Le informazioni devono essere sempre protette, indipendentemente dalla loro forma e dalle modalità di diffusione, trasmissione e conservazione.

introduzione

Le informazioni possono esistere in molte forme diverse. Può essere stampato o scritto su carta, archiviato elettronicamente, trasmesso per posta o mediante dispositivi elettronici, mostrato su nastro o trasmesso oralmente nel corso della comunicazione.

La sicurezza delle informazioni è la protezione delle informazioni da una varietà di minacce per garantire la continuità aziendale, ridurre al minimo i rischi aziendali e massimizzare il ritorno sull'investimento e le opportunità di business.

Scopo

Questa politica supporta la politica di sicurezza generale dell'organizzazione.
Questa politica si applica a tutti i membri dell'organizzazione.

Obiettivi di sicurezza delle informazioni

1. Comprendere e gestire i rischi per la sicurezza delle informazioni strategiche e operative in modo che siano accettabili per l'organizzazione.

2. Proteggere la riservatezza delle informazioni sui clienti, sullo sviluppo del prodotto e sui piani di marketing.

3. Conservazione dell'integrità dei materiali contabili.

4. Conformità dei servizi web condivisi e delle intranet agli standard di accessibilità appropriati.

Principi di sicurezza delle informazioni

1. Questa organizzazione promuove l'accettazione del rischio e supera i rischi che le organizzazioni gestite in modo conservativo non possono superare, a condizione che i rischi siano compresi, monitorati e trattati per le informazioni necessarie. Una descrizione dettagliata degli approcci utilizzati per valutare e trattare i rischi può essere trovata nella politica ISMS.

2. Tutto il personale dovrebbe essere informato e responsabile della sicurezza delle informazioni in relazione alle proprie responsabilità lavorative.

3. Dovrebbero essere presi accordi per finanziare i controlli sulla sicurezza delle informazioni ei processi di gestione dei progetti.

4. Il potenziale di frode e abuso nei sistemi di informazione dovrebbe essere preso in considerazione nella gestione complessiva dei sistemi di informazione.

5. Dovrebbero essere disponibili rapporti sullo stato della sicurezza delle informazioni.

6. È necessario monitorare i rischi per la sicurezza delle informazioni e agire quando le modifiche portano a rischi imprevisti.

7. I criteri per la classificazione e l'accettabilità del rischio possono essere trovati nella politica ISMS.

8. Non dovrebbero essere tollerate situazioni che potrebbero portare l'organizzazione a violare leggi e regolamenti.

Aree di responsabilità

1. Il gruppo senior pari è responsabile di garantire che le informazioni vengano elaborate correttamente in tutta l'organizzazione.

2. Ogni dirigente ha la responsabilità di assicurare che coloro che sono sotto la sua direzione proteggano le informazioni secondo gli standard organizzativi.

3. Il Chief Security Officer fornisce consulenza al team dirigenziale senior, fornisce assistenza esperta ai dipendenti dell'organizzazione e garantisce che i rapporti sullo stato della sicurezza delle informazioni siano disponibili.

4. Tutti i membri dell'organizzazione sono responsabili della sicurezza delle informazioni nell'ambito dell'adempimento delle proprie responsabilità lavorative.

Risultati chiave

1. Gli incidenti relativi alla sicurezza delle informazioni non devono comportare gravi costi imprevisti o gravi interruzioni dei servizi e delle attività dell'impresa.

2. Le perdite dovute a frode devono essere note ed entro limiti accettabili.

3. I problemi di sicurezza delle informazioni non dovrebbero influire negativamente sull'accettazione di prodotti e servizi da parte dei clienti.

Politiche associate

Le seguenti politiche dettagliate contengono principi e linee guida per aspetti specifici della sicurezza delle informazioni:

1. Politica del sistema di gestione della sicurezza delle informazioni (ISMS);

2. Politica di controllo degli accessi;

3. La politica di una scrivania chiara e uno schermo chiaro;

4. Politica relativa al software non autorizzato;

5. Politica relativa alla ricezione di file software da o tramite reti esterne;

6. Politica relativa al codice mobile;

7. Politica di backup;

8. Politica in materia di scambio di informazioni tra organizzazioni;

9. Politica sull'uso accettabile delle comunicazioni elettroniche;

10. Politica di conservazione dei registri;

11. Policy per l'utilizzo dei servizi di rete;

12. Politica in materia di mobile computing e comunicazioni;

13. Politica del telelavoro;

14. Politica sull'uso del controllo crittografico;

15. Politica di conformità;

16. Politica di licenza del software;

17. Politica di rimozione del software;

18. Tutela dei dati e informativa sulla privacy.

Tutte queste politiche rafforzano:

· Identificazione del rischio fornendo un quadro per i controlli che possono essere utilizzati per rilevare difetti nella progettazione e implementazione dei sistemi;

· Trattamento del rischio aiutando a determinare come gestire vulnerabilità e minacce specifiche.


Politica di sicurezza delle informazioni aziendali

· 1. Disposizioni generali

o 1.1. Scopo e scopo di questa politica

o 1.2. Ambito di questa politica

o 2.1. Responsabilità per il patrimonio informativo

o 2.2. Controllo degli accessi ai sistemi informativi

§ 2.2.1. Disposizioni generali

§ 2.2.2. Accesso di terzi ai sistemi della Società

§ 2.2.3. Accesso remoto

§ 2.2.4. accesso ad Internet

o 2.3. Protezione dell'attrezzatura

§ 2.3.1. Hardware

§2.3.2. Software

o 2.5. Segnalazione, risposta e segnalazione di incidenti sulla sicurezza delle informazioni

o 2.6. Locali con mezzi tecnici di sicurezza delle informazioni

o 2.7. Gestione della rete

o 2.7.1. Protezione e sicurezza dei dati

o 2.8. Sviluppo di sistemi e gestione del cambiamento

Disposizioni generali

Le informazioni sono una risorsa preziosa e vitale della TUA_AZIENDA (di seguito - la Società). La presente politica di sicurezza delle informazioni prevede l'adozione delle misure necessarie al fine di proteggere i beni da alterazione, divulgazione o distruzione accidentali o intenzionali, nonché al fine di mantenere la riservatezza, l'integrità e la disponibilità delle informazioni, per garantire il processo di trattamento automatizzato dei dati nell'azienda.

Ogni dipendente della Società è responsabile del rispetto della sicurezza delle informazioni, mentre il compito principale è garantire la sicurezza di tutti i beni della Società. Ciò significa che le informazioni devono essere protette in modo non meno affidabile di qualsiasi altro bene principale della Società. Gli obiettivi principali della Società non possono essere raggiunti senza una tempestiva e completa fornitura ai dipendenti delle informazioni di cui hanno bisogno per svolgere le loro funzioni ufficiali.

In questa Politica, il termine "dipendente" si riferisce a tutti i dipendenti della Società. Le disposizioni della presente Politica si applicano alle persone che lavorano per la Società con contratto civile, anche distaccato, se previsto in tale accordo.

Indipendentemente dalle dimensioni dell'organizzazione e dalle specificità del suo sistema informativo, il lavoro per garantire il regime IS consiste solitamente nelle seguenti fasi (Figura 1):

- definire l'ambito (confini) del sistema di gestione della sicurezza delle informazioni e specificare gli obiettivi della sua creazione;

- valutazione del rischio;

- selezione di contromisure per garantire la modalità IS;

- Gestione dei rischi;

- audit del sistema di gestione SI;

- sviluppo di una politica di sicurezza.

DIV_ADBLOCK340 ">

Fase 3. Strutturazione delle contromisure per la protezione delle informazioni sui seguenti livelli principali: amministrativo, procedurale, software e hardware.

Fase 4. Istituzione della procedura per la certificazione e l'accreditamento dei sistemi informativi aziendali per la conformità agli standard IS. La nomina della frequenza delle riunioni sul tema della sicurezza delle informazioni a livello gestionale, compresa la revisione periodica delle disposizioni della politica di sicurezza delle informazioni, nonché la procedura per la formazione di tutte le categorie di utenti del sistema informativo in materia di informazioni di sicurezza. È noto che lo sviluppo della politica di sicurezza di un'organizzazione è la fase meno formalizzata. Tuttavia, negli ultimi anni, è qui che si sono concentrati gli sforzi di molti specialisti della sicurezza informatica.

Fase 5. Determinazione dell'ambito (confini) del sistema di gestione della sicurezza delle informazioni e definizione degli obiettivi della sua creazione. In questa fase vengono determinati i confini del sistema per il quale deve essere garantita la modalità di sicurezza delle informazioni. Di conseguenza, il sistema di gestione della sicurezza delle informazioni è costruito all'interno di questi confini. Si raccomanda di eseguire la descrizione stessa dei confini del sistema secondo il seguente piano:

- la struttura dell'organizzazione. Presentazione della struttura esistente e delle modifiche che dovrebbero essere introdotte in relazione allo sviluppo (ammodernamento) del sistema automatizzato;

- le risorse del sistema informativo da proteggere. Si consiglia di considerare le risorse di un sistema automatizzato delle seguenti classi: SVT, dati, software di sistema e applicativo. Tutte le risorse sono di valore per l'organizzazione. Per valutarli, dovrebbe essere selezionato un sistema di criteri e una metodologia per ottenere risultati secondo questi criteri;

· Elaborazione di principi per la classificazione del patrimonio informativo aziendale e valutazione della loro sicurezza;

· Valutazione dei rischi informativi e loro gestione;

· Formazione dei dipendenti dell'azienda sui metodi di sicurezza delle informazioni, conduzione di briefing e controllo delle conoscenze e delle abilità pratiche nell'attuazione della politica di sicurezza da parte dei dipendenti dell'azienda;

· Consulenza ai dirigenti aziendali sulla gestione del rischio informatico;

· Coordinamento delle polizze private e della normativa sulla sicurezza tra le divisioni dell'azienda;

· Controllo sull'operato dei servizi di qualità e automazione dell'azienda con facoltà di verificare ed approvare rapporti e documenti interni;

· Interazione con il servizio del personale aziendale per la verifica dei dati anagrafici dei dipendenti in fase di assunzione;

· Organizzazione di misure per eliminare situazioni di emergenza o emergenze nel campo della protezione delle informazioni in caso di loro verificarsi;

Integrità delle informazioni - l'esistenza di informazioni in una forma non distorta (invariata rispetto ad alcuni dei suoi stati fissi). Di solito, i soggetti sono interessati a fornire una proprietà più ampia: l'affidabilità delle informazioni, che consiste nell'adeguatezza (completezza e accuratezza) della visualizzazione dello stato dell'area disciplinare e l'integrità delle informazioni stesse, ovvero la sua non distorsione.

C'è una distinzione tra integrità statica e dinamica. Per violare l'integrità statica, un utente malintenzionato può: inserire dati errati; Per modificare i dati. A volte modifiche significative ai dati, a volte - informazioni sul servizio. Le minacce all'integrità dinamica sono la violazione dell'atomicità delle transazioni, il riordino, il furto, la duplicazione dei dati o l'introduzione di messaggi aggiuntivi (pacchetti di rete, ecc.). Le azioni corrispondenti in un ambiente di rete sono chiamate ascolto attivo.

L'integrità non è minacciata solo dalla falsificazione o alterazione dei dati, ma anche dal rifiuto di agire. Se non vi è alcun mezzo per garantire il "non ripudio", i dati informatici non possono essere considerati prove. Non solo i dati, ma anche i programmi sono potenzialmente vulnerabili dal punto di vista della violazione dell'integrità. L'iniezione di malware è un esempio di tale violazione.

Una minaccia urgente e molto pericolosa è l'introduzione di rootkit (un insieme di file installati in un sistema per modificarne le funzionalità standard in modo dannoso e segreto), bot (un programma che esegue automaticamente una determinata missione; un gruppo di computer su cui operano bot dello stesso tipo si chiama botnet), secret move (malware che ascolta i comandi su determinate porte TCP o UDP) e spyware (malware volto a compromettere i dati riservati degli utenti. Ad esempio, Back Orifice e Netbus Trojan consentono di per assumere il controllo dei sistemi utente con diverse varianti di MS -Windows.

Minaccia alla riservatezza

La minaccia di una violazione della riservatezza è che le informazioni vengano a conoscenza di qualcuno che non ha l'autorità per accedervi. A volte il termine "perdita" viene utilizzato in relazione alla minaccia di violazione della riservatezza.

La riservatezza delle informazioni è una caratteristica (proprietà) delle informazioni determinata soggettivamente (attribuita), indicante la necessità di imporre restrizioni alla gamma dei soggetti che hanno accesso a tali informazioni e assicurata dalla capacità del sistema (ambiente) di conservare tali informazioni segreto da soggetti che non hanno l'autorità per accedervi... I presupposti oggettivi di tale restrizione alla disponibilità delle informazioni per alcuni soggetti risiedono nella necessità di tutelare i loro legittimi interessi da altri soggetti del rapporto informativo.

Le informazioni riservate possono essere suddivise in informazioni sull'oggetto e sul servizio. Le informazioni di servizio (ad esempio, le password degli utenti) non appartengono a un'area tematica specifica, svolgono un ruolo tecnico nel sistema informativo, ma la loro divulgazione è particolarmente pericolosa, poiché è irta di accesso non autorizzato a tutte le informazioni, comprese le informazioni sull'oggetto. Le pericolose minacce non tecniche alla riservatezza sono metodi di influenza morale e psicologica, come la "mascherata" - l'esecuzione di azioni sotto le spoglie di una persona con l'autorità di accedere ai dati. Minacce spiacevoli da cui è difficile difendersi includono l'abuso di potere. Su molti tipi di sistemi, un utente privilegiato (ad esempio, un amministratore di sistema) è in grado di leggere qualsiasi file (non crittografato), accedere alla posta di qualsiasi utente.

Attualmente, i cosiddetti attacchi di phishing più comuni. La pesca (pesca - pesca) è un tipo di frode su Internet, il cui scopo è ottenere l'accesso a dati riservati dell'utente - login e password. Ciò si ottiene effettuando invii di massa di e-mail per conto di marchi famosi, nonché messaggi privati ​​all'interno di vari servizi, ad esempio per conto di banche, servizi (Rambler, Mail.ru) o all'interno dei social network (Facebook, Vkontakte, Odnoklassniki .ru). Oggi i phisher prendono di mira i clienti delle banche e dei sistemi di pagamento elettronico. Ad esempio, negli Stati Uniti, spacciandosi per l'Internal Revenue Service, i phisher hanno raccolto dati significativi sui contribuenti nel 2009.

In questo argomento, cercherò di compilare un manuale per lo sviluppo di documenti normativi nel campo della sicurezza delle informazioni per una struttura commerciale, basato sull'esperienza personale e sui materiali della rete.

Qui puoi trovare le risposte alle domande:

  • a cosa serve la politica di sicurezza delle informazioni;
  • come comporlo;
  • come usarlo.

La necessità di una politica di sicurezza delle informazioni
Questa sezione descrive la necessità di implementare una politica di sicurezza delle informazioni e documenti correlati non nel bel linguaggio dei libri di testo e degli standard, ma utilizzando esempi tratti dall'esperienza personale.
Comprendere gli obiettivi e gli obiettivi del dipartimento di sicurezza delle informazioni
Prima di tutto, è necessaria una politica per trasmettere al business gli obiettivi e gli obiettivi della sicurezza delle informazioni dell'azienda. L'azienda deve capire che un addetto alla sicurezza non è solo uno strumento per indagare su fughe di dati, ma anche un assistente per ridurre al minimo i rischi dell'azienda e quindi per aumentare la redditività dell'azienda.
Requisiti della politica - Base per l'attuazione delle salvaguardie
La politica di sicurezza delle informazioni è necessaria per giustificare l'introduzione di misure di protezione in azienda. La politica deve essere approvata dal più alto organo amministrativo della società (CEO, consiglio di amministrazione, ecc.)

Qualsiasi misura di protezione è un compromesso tra la riduzione del rischio e l'esperienza dell'utente. Quando un addetto alla sicurezza afferma che il processo non dovrebbe avvenire in alcun modo a causa della comparsa di alcuni rischi, gli viene sempre posta una domanda ragionevole: "Come dovrebbe avvenire?" Al responsabile della sicurezza deve essere offerto un modello di processo in cui questi rischi sono ridotti in una certa misura, il che è soddisfacente per l'azienda.

Allo stesso tempo, l'eventuale applicazione di eventuali misure di protezione relative all'interazione dell'utente con il sistema informativo aziendale provoca sempre una reazione negativa da parte dell'utente. Non vogliono imparare di nuovo, leggere le istruzioni sviluppate per loro, ecc. Molto spesso gli utenti fanno domande ragionevoli:

  • perché dovrei lavorare secondo il tuo schema inventato, e non nel modo semplice che ho sempre usato
  • chi ha inventato tutto questo?
La pratica ha dimostrato che l'utente non si preoccupa dei rischi, puoi spiegargli a lungo e noiosamente gli hacker, il codice penale e così via, non ne verrà fuori nulla tranne lo spreco di cellule nervose.
Se l'azienda ha una politica di sicurezza delle informazioni, puoi dare una risposta concisa e succinta:
questa misura è stata introdotta per soddisfare i requisiti della politica di sicurezza delle informazioni della società, che è stata approvata dal più alto organo amministrativo della società

Di norma, dopo che l'energia della maggior parte degli utenti scompare. Il resto può essere invitato a scrivere una nota a questo organo amministrativo più alto della società. Il resto viene eliminato qui. Perché anche se la nota va lì, possiamo sempre dimostrare la necessità dei provvedimenti presi prima della dirigenza. Non mangiamo il nostro pane per niente, giusto? Ci sono due cose da tenere a mente quando sviluppi la tua polizza.
  • I destinatari della politica di sicurezza delle informazioni sono gli utenti finali e il top management dell'azienda che non comprendono espressioni tecniche complesse, ma devono avere familiarità con le disposizioni della politica.
  • Non è necessario cercare di stipare qualcosa di poco invadente e includere tutto ciò che puoi in questo documento! Dovrebbero esserci solo obiettivi di sicurezza delle informazioni, metodi per raggiungerli e responsabilità! Nessun dettaglio tecnico se richiedono conoscenze specifiche. Questi sono tutti materiali per istruzioni e regolamenti.


Il documento finale deve soddisfare i seguenti requisiti:
  • concisione: un grande volume di un documento spaventerà qualsiasi utente, nessuno leggerà mai il tuo documento (e utilizzerai la frase più di una volta: "questa è una violazione della politica di sicurezza delle informazioni che ti è stata presentata")
  • accessibilità per un semplice profano - l'utente finale deve capire COSA è scritto nella politica (non leggerà né ricorderà mai le parole e le frasi "registrazione", "modello di intruso", "incidente di sicurezza delle informazioni", "infrastruttura delle informazioni", "uomo -fatto", "fatto dall'uomo "," Fattore di rischio ", ecc.)
Come si può ottenere questo?

In effetti, tutto è molto semplice: una policy sulla sicurezza delle informazioni dovrebbe essere un documento di primo livello, dovrebbe essere ampliato e integrato da altri documenti (regolamenti e istruzioni), che descriveranno già qualcosa di specifico.
Puoi tracciare un'analogia con lo stato: il documento di primo livello è la costituzione e le dottrine, i concetti, le leggi e gli altri atti normativi esistenti nello stato integrano e regolano solo l'attuazione delle sue disposizioni. Un diagramma approssimativo è mostrato nella figura.

Per non spalmare il porridge su un piatto, diamo un'occhiata agli esempi di politiche di sicurezza delle informazioni che possono essere trovate su Internet.

Numero utile di pagine * Caricato con termini Punteggio totale
OJSC "Gazprombank" 11 Molto alto
Fondo per lo sviluppo dell'imprenditorialità Damu JSC 14 Alto Un documento difficile per una lettura ponderata, il profano non leggerà e, se legge, non capirà e non ricorderà
JSC NC "KazMunayGas" 3 Basso Un documento di facile comprensione, non ingombra di termini tecnici
JSC "Istituto di ingegneria radiofonica intitolato all'accademico A. L. Mints" 42 Molto alto Un documento difficile per una lettura ponderata, il profano non leggerà - ci sono troppe pagine

* Utile chiamo il numero di pagine senza indice, frontespizio e altre pagine che non portano informazioni specifiche

Riepilogo

Una politica per la sicurezza delle informazioni dovrebbe occupare più pagine, essere di facile comprensione per i non addetti ai lavori, descrivere in termini generali gli obiettivi della sicurezza delle informazioni, i metodi per raggiungerli e la responsabilità dei dipendenti.
Attuazione e utilizzo della politica di sicurezza delle informazioni
Dopo l'approvazione della politica IS, è necessario:
  • familiarizzare con la politica tutti i dipendenti che già lavorano;
  • familiarizzare tutti i nuovi dipendenti con la politica (il modo migliore per farlo è un argomento per una conversazione separata, abbiamo un corso introduttivo per i nuovi arrivati, in cui parlo con spiegazioni);
  • analizzare i processi aziendali esistenti al fine di identificare e minimizzare i rischi;
  • partecipare alla creazione di nuovi processi aziendali, per non rincorrere poi il treno;
  • sviluppare regolamenti, procedure, istruzioni e altri documenti che integrano la politica (istruzioni per fornire l'accesso a Internet, istruzioni per fornire l'accesso a locali con accesso limitato, istruzioni per lavorare con i sistemi informativi aziendali, ecc.);
  • rivedere la politica SI e altri documenti SI almeno una volta al trimestre per aggiornarli.

Per domande e suggerimenti, benvenuto nei commenti e PM.

Domanda% nome utente%

Per quanto riguarda la politica, ai capi non piace quello che voglio in termini semplici. Mi dicono: "Abbiamo qui, oltre a me e te, e altri 10 dipendenti IT che sanno e capiscono loro stessi tutto, ce ne sono 2cento che non capiscono nulla, metà di loro sono pensionati".
Ho seguito il percorso di media brevità delle descrizioni, ad esempio regole di protezione antivirus, e di seguito scrivo come ci fosse una policy di protezione antivirus, ecc. Ma non capisco se l'utente firma per la politica, ma di nuovo ha bisogno di leggere un sacco di altri documenti, sembra che abbia ridotto la politica, ma sembra che non l'abbia fatto.

Qui vorrei seguire il percorso di analisi dei processi.
Diciamo protezione antivirus. Logicamente, dovrebbe essere così.

Quali sono i rischi dei virus? Violazione dell'integrità (danno) delle informazioni, violazione della disponibilità (downtime di server o PC) informazioni. Con una corretta organizzazione della rete, l'utente non dovrebbe disporre dei diritti di amministratore locale nel sistema, ovvero non dovrebbe avere i diritti per installare software (e quindi virus) nel sistema. Pertanto, i pensionati cadono, poiché non fanno affari qui.

Chi può ridurre i rischi associati ai virus? Utenti con diritti di amministratore di dominio. Amministratore di dominio: un ruolo sensibile, assegnato ai dipendenti dei reparti IT, ecc. Di conseguenza, dovrebbero installare antivirus. Si scopre che sono anche responsabili dell'attività del sistema antivirus. Di conseguenza, dovrebbero anche firmare le istruzioni sull'organizzazione della protezione antivirus. In realtà, questa responsabilità deve essere prescritta nelle istruzioni. Ad esempio, le unità bezopasnik, gli amministratori eseguono.

Domanda% nome utente%

Quindi la domanda è, quale responsabilità per la creazione e l'uso di virus non dovrebbe essere inclusa nelle istruzioni dell'Anti-Virus ZI (o c'è un articolo e non può essere menzionato)? O che sono obbligati a segnalare un virus o un comportamento strano del PC all'Help Desk o ai responsabili IT?

Ancora una volta, guarderei dal lato della gestione del rischio. Qui profuma, per così dire, di GOST 18044-2007.
Nel tuo caso, "comportamento strano" non è necessariamente un virus. Questo può essere un freno di sistema o un gposhek, ecc. Di conseguenza, questo non è un incidente, ma un evento di sicurezza delle informazioni. Anche in questo caso, secondo GOST, qualsiasi persona può dichiarare un evento, ma è possibile comprendere un incidente o non solo dopo l'analisi.

Quindi, questa tua domanda non si traduce più in una politica di sicurezza delle informazioni, ma in una gestione degli incidenti. Qui nella tua politica dovrebbe essere specificato che l'azienda deve disporre di un sistema di gestione degli incidenti.

Cioè, come puoi vedere, l'esecuzione amministrativa della politica è principalmente affidata agli amministratori e al personale di sicurezza. Gli utenti ne hanno uno personalizzato.

Pertanto, è necessario redigere una certa "Procedura per l'utilizzo della CBT in azienda", in cui è necessario indicare le responsabilità degli utenti. Questo documento dovrebbe essere correlato alla politica di sicurezza delle informazioni ed essere, per così dire, una spiegazione per l'utente.

In questo documento è possibile specificare che l'utente è obbligato a notificare all'autorità competente l'attività anomala del computer. Bene, tutto il resto è personalizzato che puoi aggiungere lì.

In totale, è necessario familiarizzare l'utente con due documenti:

  • Politica IS (in modo che capisca cosa si sta facendo e perché, non agita le acque, non giura quando si introduce nuovi sistemi di controllo, ecc.)
  • questa "Procedura per l'utilizzo della CBT in azienda" (in modo che capisca esattamente cosa fare in situazioni specifiche)

Di conseguenza, quando si introduce un nuovo sistema, è sufficiente aggiungere qualcosa all'"Ordine" e informarne i dipendenti inviando l'ordine via e-mail (o tramite l'EDMS, se presente).

Tag: Aggiungi tag

La politica di sicurezza delle informazioni è un insieme di leggi, misure, regole, requisiti, restrizioni, istruzioni, regolamenti, raccomandazioni, ecc., che regolano la procedura per l'elaborazione delle informazioni e mirano a proteggere le informazioni da determinati tipi di minacce.

La politica di sicurezza delle informazioni è un documento fondamentale per garantire l'intero ciclo di sicurezza delle informazioni in un'azienda. Pertanto, il top management dell'azienda dovrebbe essere interessato alla conoscenza e alla rigorosa osservanza dei suoi punti principali da parte di tutto il personale dell'azienda. Tutti i dipendenti dei dipartimenti responsabili del regime di sicurezza delle informazioni dell'azienda devono essere a conoscenza della politica di sicurezza delle informazioni contro la firma. Dopotutto, saranno responsabili della verifica del rispetto dei requisiti della politica di sicurezza delle informazioni e della conoscenza dei suoi punti principali da parte del personale dell'azienda in termini di ciò che li riguarda. Dovrebbero essere definiti anche il processo per condurre tali ispezioni, le responsabilità dei funzionari che effettuano tali ispezioni e un programma delle ispezioni.

Una politica di sicurezza delle informazioni può essere sviluppata sia per un componente separato di un sistema informativo sia per un sistema informativo nel suo insieme. La politica di sicurezza delle informazioni dovrebbe tenere conto delle seguenti caratteristiche del sistema informativo: tecnologia di elaborazione delle informazioni, ambiente informatico, ambiente fisico, ambiente utente, regole di controllo degli accessi, ecc.

La politica di sicurezza delle informazioni dovrebbe garantire l'uso completo di standard legali, morali ed etici, misure organizzative e tecniche, software, hardware e software e strumenti hardware per garantire la sicurezza delle informazioni, nonché determinare le regole e le procedure per il loro utilizzo. La politica di sicurezza delle informazioni dovrebbe basarsi sui seguenti principi: continuità della protezione, sufficienza delle misure e dei mezzi di protezione, rispetto della probabilità di attuazione della minaccia, efficacia dei costi, flessibilità della struttura, facilità di gestione e utilizzo, ecc.

Una politica di sicurezza è un insieme di misure preventive per proteggere i dati riservati ei processi informativi in ​​un'azienda. La politica di sicurezza include i requisiti per il personale, i dirigenti e i servizi tecnici. Le principali direzioni dello sviluppo della politica di sicurezza:

  • determinare quali dati e quanto seriamente devono essere protetti,
  • determinare chi e quali danni può infliggere all'azienda sotto l'aspetto informativo,
  • calcolo dei rischi e determinazione di uno schema per ridurli ad un valore accettabile.

Esistono due sistemi per valutare la situazione attuale nel campo della sicurezza delle informazioni in azienda. Sono chiamate in senso figurato ricerca dal basso verso l'alto e ricerca dall'alto verso il basso. Il primo metodo è abbastanza semplice, richiede un investimento di capitale molto inferiore, ma ha anche meno capacità. Si basa sul noto schema: "Sei un intruso. Quali sono le tue azioni?" Cioè, il servizio di sicurezza delle informazioni, sulla base dei dati su tutti i tipi di attacchi noti, cerca di applicarli nella pratica per verificare se un tale attacco è possibile da un vero aggressore.

Il metodo "top-down" è, al contrario, un'analisi dettagliata dell'intero schema esistente per l'archiviazione e l'elaborazione delle informazioni. Il primo passo in questo metodo è, come sempre, determinare quali oggetti e flussi di informazioni devono essere protetti. Segue uno studio dello stato attuale del sistema di sicurezza delle informazioni al fine di determinare quale dei metodi classici di protezione delle informazioni è già stato implementato, in quale misura ea quale livello. Nella terza fase, tutti gli oggetti informativi sono classificati in classi in base alla sua riservatezza, requisiti di accessibilità e integrità (immutabilità).

Il passaggio successivo consiste nello scoprire quanto grave può causare all'azienda una divulgazione o un altro attacco a ogni specifico oggetto informativo. Questa fase è chiamata "calcolo del rischio". In prima approssimazione, il rischio è il prodotto del "possibile danno da un attacco" dalla "probabilità di un tale attacco".

La politica di sicurezza delle informazioni dovrebbe contenere clausole in cui sarebbero presenti le informazioni delle seguenti sezioni:


  • concetto di sicurezza delle informazioni;
  • determinazione delle componenti e delle risorse del sistema informativo che possono diventare fonti di violazioni della sicurezza delle informazioni e del livello della loro criticità;
  • confronto delle minacce con gli oggetti di protezione;
  • valutazione del rischio;
  • valutazione dell'ammontare delle possibili perdite associate all'attuazione delle minacce;
  • valutazione dei costi di realizzazione di un sistema di sicurezza delle informazioni;
  • determinazione dei requisiti per metodi e mezzi per garantire la sicurezza delle informazioni;
  • selezione di soluzioni di base per la sicurezza delle informazioni;
  • organizzazione dei lavori di ripristino e garanzia del funzionamento continuo del sistema informativo;
  • regole di controllo degli accessi.

La politica di sicurezza delle informazioni dell'impresa è molto importante per garantire la sicurezza completa dell'impresa. Hardware e software, può essere implementato utilizzando soluzioni DLP.

Pubblicazioni correlate

29 aprile 2014 Molte aziende acquistano a proprie spese gadget mobili per i dipendenti che sono spesso in viaggio d'affari. In queste condizioni il reparto IT ha l'urgente necessità di controllare i dispositivi che hanno accesso ai dati aziendali, ma allo stesso tempo si trovano al di fuori del perimetro della rete aziendale.

In questo argomento, cercherò di compilare un manuale per lo sviluppo di documenti normativi nel campo della sicurezza delle informazioni per una struttura commerciale, basato sull'esperienza personale e sui materiali della rete.

Qui puoi trovare le risposte alle domande:

  • a cosa serve la politica di sicurezza delle informazioni;
  • come comporlo;
  • come usarlo.

La necessità di una politica di sicurezza delle informazioni
Questa sezione descrive la necessità di implementare una politica di sicurezza delle informazioni e documenti correlati non nel bel linguaggio dei libri di testo e degli standard, ma utilizzando esempi tratti dall'esperienza personale.
Comprendere gli obiettivi e gli obiettivi del dipartimento di sicurezza delle informazioni
Prima di tutto, è necessaria una politica per trasmettere al business gli obiettivi e gli obiettivi della sicurezza delle informazioni dell'azienda. L'azienda deve capire che un addetto alla sicurezza non è solo uno strumento per indagare su fughe di dati, ma anche un assistente per ridurre al minimo i rischi dell'azienda e quindi per aumentare la redditività dell'azienda.
Requisiti della politica - Base per l'attuazione delle salvaguardie
La politica di sicurezza delle informazioni è necessaria per giustificare l'introduzione di misure di protezione in azienda. La politica deve essere approvata dal più alto organo amministrativo della società (CEO, consiglio di amministrazione, ecc.)

Qualsiasi misura di protezione è un compromesso tra la riduzione del rischio e l'esperienza dell'utente. Quando un addetto alla sicurezza afferma che il processo non dovrebbe avvenire in alcun modo a causa della comparsa di alcuni rischi, gli viene sempre posta una domanda ragionevole: "Come dovrebbe avvenire?" Al responsabile della sicurezza deve essere offerto un modello di processo in cui questi rischi sono ridotti in una certa misura, il che è soddisfacente per l'azienda.

Allo stesso tempo, l'eventuale applicazione di eventuali misure di protezione relative all'interazione dell'utente con il sistema informativo aziendale provoca sempre una reazione negativa da parte dell'utente. Non vogliono imparare di nuovo, leggere le istruzioni sviluppate per loro, ecc. Molto spesso gli utenti fanno domande ragionevoli:

  • perché dovrei lavorare secondo il tuo schema inventato, e non nel modo semplice che ho sempre usato
  • chi ha inventato tutto questo?
La pratica ha dimostrato che l'utente non si preoccupa dei rischi, puoi spiegargli a lungo e noiosamente gli hacker, il codice penale e così via, non ne verrà fuori nulla tranne lo spreco di cellule nervose.
Se l'azienda ha una politica di sicurezza delle informazioni, puoi dare una risposta concisa e succinta:
questa misura è stata introdotta per soddisfare i requisiti della politica di sicurezza delle informazioni della società, che è stata approvata dal più alto organo amministrativo della società

Di norma, dopo che l'energia della maggior parte degli utenti scompare. Il resto può essere invitato a scrivere una nota a questo organo amministrativo più alto della società. Il resto viene eliminato qui. Perché anche se la nota va lì, possiamo sempre dimostrare la necessità dei provvedimenti presi prima della dirigenza. Non mangiamo il nostro pane per niente, giusto? Ci sono due cose da tenere a mente quando sviluppi la tua polizza.
  • I destinatari della politica di sicurezza delle informazioni sono gli utenti finali e il top management dell'azienda che non comprendono espressioni tecniche complesse, ma devono avere familiarità con le disposizioni della politica.
  • Non è necessario cercare di stipare qualcosa di poco invadente e includere tutto ciò che puoi in questo documento! Dovrebbero esserci solo obiettivi di sicurezza delle informazioni, metodi per raggiungerli e responsabilità! Nessun dettaglio tecnico se richiedono conoscenze specifiche. Questi sono tutti materiali per istruzioni e regolamenti.


Il documento finale deve soddisfare i seguenti requisiti:
  • concisione: un grande volume di un documento spaventerà qualsiasi utente, nessuno leggerà mai il tuo documento (e utilizzerai la frase più di una volta: "questa è una violazione della politica di sicurezza delle informazioni che ti è stata presentata")
  • accessibilità per un semplice profano - l'utente finale deve capire COSA è scritto nella politica (non leggerà né ricorderà mai le parole e le frasi "registrazione", "modello di intruso", "incidente di sicurezza delle informazioni", "infrastruttura delle informazioni", "uomo -fatto", "fatto dall'uomo "," Fattore di rischio ", ecc.)
Come si può ottenere questo?

In effetti, tutto è molto semplice: una policy sulla sicurezza delle informazioni dovrebbe essere un documento di primo livello, dovrebbe essere ampliato e integrato da altri documenti (regolamenti e istruzioni), che descriveranno già qualcosa di specifico.
Puoi tracciare un'analogia con lo stato: il documento di primo livello è la costituzione e le dottrine, i concetti, le leggi e gli altri atti normativi esistenti nello stato integrano e regolano solo l'attuazione delle sue disposizioni. Un diagramma approssimativo è mostrato nella figura.

Per non spalmare il porridge su un piatto, diamo un'occhiata agli esempi di politiche di sicurezza delle informazioni che possono essere trovate su Internet.

Numero utile di pagine * Caricato con termini Punteggio totale
OJSC "Gazprombank" 11 Molto alto
Fondo per lo sviluppo dell'imprenditorialità Damu JSC 14 Alto Un documento difficile per una lettura ponderata, il profano non leggerà e, se legge, non capirà e non ricorderà
JSC NC "KazMunayGas" 3 Basso Un documento di facile comprensione, non ingombra di termini tecnici
JSC "Istituto di ingegneria radiofonica intitolato all'accademico A. L. Mints" 42 Molto alto Un documento difficile per una lettura ponderata, il profano non leggerà - ci sono troppe pagine

* Utile chiamo il numero di pagine senza indice, frontespizio e altre pagine che non portano informazioni specifiche

Riepilogo

Una politica per la sicurezza delle informazioni dovrebbe occupare più pagine, essere di facile comprensione per i non addetti ai lavori, descrivere in termini generali gli obiettivi della sicurezza delle informazioni, i metodi per raggiungerli e la responsabilità dei dipendenti.
Attuazione e utilizzo della politica di sicurezza delle informazioni
Dopo l'approvazione della politica IS, è necessario:
  • familiarizzare con la politica tutti i dipendenti che già lavorano;
  • familiarizzare tutti i nuovi dipendenti con la politica (il modo migliore per farlo è un argomento per una conversazione separata, abbiamo un corso introduttivo per i nuovi arrivati, in cui parlo con spiegazioni);
  • analizzare i processi aziendali esistenti al fine di identificare e minimizzare i rischi;
  • partecipare alla creazione di nuovi processi aziendali, per non rincorrere poi il treno;
  • sviluppare regolamenti, procedure, istruzioni e altri documenti che integrano la politica (istruzioni per fornire l'accesso a Internet, istruzioni per fornire l'accesso a locali con accesso limitato, istruzioni per lavorare con i sistemi informativi aziendali, ecc.);
  • rivedere la politica SI e altri documenti SI almeno una volta al trimestre per aggiornarli.

Per domande e suggerimenti, benvenuto nei commenti e PM.

Domanda% nome utente%

Per quanto riguarda la politica, ai capi non piace quello che voglio in termini semplici. Mi dicono: "Abbiamo qui, oltre a me e te, e altri 10 dipendenti IT che sanno e capiscono loro stessi tutto, ce ne sono 2cento che non capiscono nulla, metà di loro sono pensionati".
Ho seguito il percorso di media brevità delle descrizioni, ad esempio regole di protezione antivirus, e di seguito scrivo come ci fosse una policy di protezione antivirus, ecc. Ma non capisco se l'utente firma per la politica, ma di nuovo ha bisogno di leggere un sacco di altri documenti, sembra che abbia ridotto la politica, ma sembra che non l'abbia fatto.

Qui vorrei seguire il percorso di analisi dei processi.
Diciamo protezione antivirus. Logicamente, dovrebbe essere così.

Quali sono i rischi dei virus? Violazione dell'integrità (danno) delle informazioni, violazione della disponibilità (downtime di server o PC) informazioni. Con una corretta organizzazione della rete, l'utente non dovrebbe disporre dei diritti di amministratore locale nel sistema, ovvero non dovrebbe avere i diritti per installare software (e quindi virus) nel sistema. Pertanto, i pensionati cadono, poiché non fanno affari qui.

Chi può ridurre i rischi associati ai virus? Utenti con diritti di amministratore di dominio. Amministratore di dominio: un ruolo sensibile, assegnato ai dipendenti dei reparti IT, ecc. Di conseguenza, dovrebbero installare antivirus. Si scopre che sono anche responsabili dell'attività del sistema antivirus. Di conseguenza, dovrebbero anche firmare le istruzioni sull'organizzazione della protezione antivirus. In realtà, questa responsabilità deve essere prescritta nelle istruzioni. Ad esempio, le unità bezopasnik, gli amministratori eseguono.

Domanda% nome utente%

Quindi la domanda è, quale responsabilità per la creazione e l'uso di virus non dovrebbe essere inclusa nelle istruzioni dell'Anti-Virus ZI (o c'è un articolo e non può essere menzionato)? O che sono obbligati a segnalare un virus o un comportamento strano del PC all'Help Desk o ai responsabili IT?

Ancora una volta, guarderei dal lato della gestione del rischio. Qui profuma, per così dire, di GOST 18044-2007.
Nel tuo caso, "comportamento strano" non è necessariamente un virus. Questo può essere un freno di sistema o un gposhek, ecc. Di conseguenza, questo non è un incidente, ma un evento di sicurezza delle informazioni. Anche in questo caso, secondo GOST, qualsiasi persona può dichiarare un evento, ma è possibile comprendere un incidente o non solo dopo l'analisi.

Quindi, questa tua domanda non si traduce più in una politica di sicurezza delle informazioni, ma in una gestione degli incidenti. Qui nella tua politica dovrebbe essere specificato che l'azienda deve disporre di un sistema di gestione degli incidenti.

Cioè, come puoi vedere, l'esecuzione amministrativa della politica è principalmente affidata agli amministratori e al personale di sicurezza. Gli utenti ne hanno uno personalizzato.

Pertanto, è necessario redigere una certa "Procedura per l'utilizzo della CBT in azienda", in cui è necessario indicare le responsabilità degli utenti. Questo documento dovrebbe essere correlato alla politica di sicurezza delle informazioni ed essere, per così dire, una spiegazione per l'utente.

In questo documento è possibile specificare che l'utente è obbligato a notificare all'autorità competente l'attività anomala del computer. Bene, tutto il resto è personalizzato che puoi aggiungere lì.

In totale, è necessario familiarizzare l'utente con due documenti:

  • Politica IS (in modo che capisca cosa si sta facendo e perché, non agita le acque, non giura quando si introduce nuovi sistemi di controllo, ecc.)
  • questa "Procedura per l'utilizzo della CBT in azienda" (in modo che capisca esattamente cosa fare in situazioni specifiche)

Di conseguenza, quando si introduce un nuovo sistema, è sufficiente aggiungere qualcosa all'"Ordine" e informarne i dipendenti inviando l'ordine via e-mail (o tramite l'EDMS, se presente).

tag:

  • Informazioni di sicurezza
  • Gestione dei rischi
  • Politica di sicurezza
Aggiungi i tag

Principali articoli correlati

Diversi movimenti del mouse in verticale e in orizzontale
Diversi movimenti del mouse in verticale e in orizzontale
Come comprimere le trame in fallout 4
Come comprimere le trame in fallout 4
Resta solo da capire il livello richiesto
Resta solo da capire il livello richiesto
Categorie:
© 2021 bumotors.ru. Come configurare smartphone e PC. Portale informativo.