Politika siguria e informacionit(Shembull)
Përmbledhje politikanët
Informacioni duhet të mbrohet gjithmonë, pavarësisht nga forma dhe mënyra se si shpërndahet, transmetohet dhe ruhet.
Prezantimi
Informacioni mund të ekzistojë në shumë forma të ndryshme. Mund të shtypet ose shkruhet në letër, të ruhet në në format elektronik dërguar me postë ose duke përdorur pajisjet elektronike, të shfaqet në kasetë ose të transmetohet gojarisht në procesin e komunikimit.
Siguria e informacionit është mbrojtja e informacionit nga kërcënimet e ndryshme, e krijuar për të garantuar vazhdimësinë e biznesit, për të minimizuar rrezikun e biznesit dhe për të maksimizuar kthimin e investimit dhe për të siguruar mundësi biznesi.
Fushëveprimi
Kjo politikë përforcon politikën e përgjithshme të sigurisë së organizatës.
Kjo politikë zbatohet për të gjithë punonjësit e organizatës.
Qëllimet e Sigurisë së Informacionit
1. Kuptimi dhe trajtimi i rreziqeve strategjike dhe operacionale të sigurisë së informacionit në mënyrë që ato të jenë të pranueshme për organizatën.
2. Mbrojtja e konfidencialitetit të informacionit të klientit, zhvillimeve të produktit dhe planeve të marketingut.
3. Ruajtja e integritetit të materialeve kontabël.
4. Pajtueshmëria me shërbimet e zakonshme të internetit dhe rrjetet e brendshme standardet përkatëse të aksesueshmërisë.
Parimet e sigurisë së informacionit
1. Kjo organizatë promovon pranimin e rrezikut dhe kapërcen rreziqet që nuk mund të kapërcehen nga organizatat me menaxhim konservativ, me kusht që rreziqet të kuptohen, monitorohen dhe përpunohen për informacion kur është e nevojshme. Pershkrim i detajuar qasjet e përdorura për të vlerësuar dhe trajtuar rreziqet mund të gjenden në politikën ISMS.
2. I gjithë personeli duhet të jetë i vetëdijshëm dhe i përgjegjshëm për sigurinë e informacionit në lidhje me përgjegjësitë e tyre të punës.
3. Duhet të bëhen përpjekje për të financuar kontrollet e sigurisë së informacionit dhe proceset e menaxhimit të projektit.
4. Mundësia për mashtrim dhe abuzim në sistemet e informacionit duhet të merret parasysh kur menaxhimi i përgjithshëm sistemet e informacionit.
5. Raportet mbi gjendjen e sigurisë së informacionit duhet të jenë të disponueshme.
6. Monitoroni rreziqet e sigurisë së informacionit dhe ndërmerrni veprime kur ndryshimet sjellin rreziqe të paparashikuara.
7. Kriteret për klasifikimin e rrezikut dhe pranueshmërinë e rrezikut mund të gjenden në politikën ISMS.
8. Situatat që mund ta çojnë organizatën në shkelje të ligjeve dhe normat e vendosura, nuk duhet lejuar.
Fushat e përgjegjësisë
1. Grupi i Lidershipit Senior Even është përgjegjës për të siguruar që informacioni të përpunohet siç duhet në të gjithë organizatën.
2. Çdo menaxher i lartë është përgjegjës për të siguruar që punonjësit që punojnë nën mbikëqyrjen e tij ose të saj të ruajnë sigurinë e informacionit në përputhje me standardet e organizatës.
3. Kreu i departamentit të sigurisë këshillon ekipin e lartë të menaxhimit, ofron ndihmë eksperte për punonjësit e organizatës dhe siguron që raportet e statusit të sigurisë së informacionit të jenë të disponueshme.
4. Të gjithë në organizatë janë përgjegjës për sigurinë e informacionit si pjesë e përgjegjësive të tyre të punës.
Gjetjet kryesore
1. Incidentet e sigurisë së informacionit nuk duhet të rezultojnë në kosto të mëdha të papritura ose ndërprerje të mëdha të shërbimeve dhe operacioneve të biznesit.
2. Humbjet për shkak të mashtrimit duhet të jenë të njohura dhe brenda kufijve të pranueshëm.
3. Çështjet e sigurisë së informacionit nuk duhet të ndikojnë negativisht në pranimin e produkteve dhe shërbimeve nga klientët
Politikat e Lidhura
Politikat e mëposhtme të detajuara përmbajnë parime dhe rekomandime për aspekte të veçanta të sigurisë së informacionit:
1. Politika e sistemit të menaxhimit të sigurisë së informacionit (ISMS);
2. Politika e kontrollit të aksesit;
3. Politika tavoline e paster Dhe ekran bosh;
4. Politika e paautorizuar software;
5. Politika në lidhje me marrjen e skedarëve të softuerit nga rrjetet e jashtme ose nëpërmjet tyre;
6. Politika në lidhje me kodi celular;
7. Politika Rezervo kopje;
8. Politika në lidhje me shkëmbimin e informacionit ndërmjet organizatave;
9. Politika e pranueshme e përdorimit mjete elektronike komunikimet;
10. Politika e mbajtjes së të dhënave;
11. Përdorni politikën shërbimet e rrjetit;
12. Politikat që kanë të bëjnë me kompjuterin celular dhe komunikimet;
13. Politika punë në distancë;
14. Politika për përdorimin e kontrollit kriptografik;
15. Politika e pajtueshmërisë;
16. Politika e Licencimit të Softuerit;
17. Politika e heqjes së softuerit;
18. Mbrojtja e të dhënave dhe politika e privatësisë.
Të gjitha këto politika përforcojnë:
· identifikimi i rrezikut duke ofruar një kornizë kontrollesh që mund të përdoren për të zbuluar mangësitë në hartimin dhe zbatimin e sistemit;
· Trajtimi i rrezikut duke ndihmuar në përcaktimin e trajtimeve për cenueshmëritë dhe kërcënimet specifike.
Politika e sigurisë së informacionit të kompanisë
· një. Dispozitat e përgjithshme
o 1.1. Qëllimi dhe qëllimi të kësaj Politike
o 1.2. Fushëveprimi i kësaj politike
o 2.1. Përgjegjësia për Asetet e Informacionit
o 2.2. Kontrolli i aksesit në sistemet e informacionit
§ 2.2.1. Dispozitat e përgjithshme
§ 2.2.2. Akses i palës së tretë në sistemet e Kompanisë
§ 2.2.3. Qasje në distancë
§ 2.2.4. hyrje në internet
o 2.3. Mbrojtja e pajisjeve
§ 2.3.1. Hardware
§ 2.3.2. Software
o 2.5. Raportimi, reagimi dhe raportimi i incidenteve të sigurisë së informacionit
o 2.6. Lokalet me mjete teknike siguria e informacionit
o 2.7. Menaxhimi i rrjetit
o 2.7.1. Mbrojtja dhe siguria e të dhënave
o 2.8. Zhvillimi i Sistemit dhe Menaxhimi i Ndryshimeve
Dispozitat e përgjithshme
Informacioni është një burim i vlefshëm dhe jetik i YOUR_COPANIA (më tej referuar si Kompania). Kjo politikë e sigurisë së informacionit parashikon miratimin masat e nevojshme për të mbrojtur asetet nga ndryshimi, zbulimi ose shkatërrimi aksidental ose i qëllimshëm, si dhe për të ruajtur konfidencialitetin, integritetin dhe disponueshmërinë e informacionit, siguroni procesin përpunimi i automatizuar të dhënat në kompani.
Çdo punonjës i Kompanisë është përgjegjës për respektimin e sigurisë së informacionit, dhe detyra kryesore është të sigurojë sigurinë e të gjitha aseteve të Kompanisë. Kjo do të thotë që informacioni duhet të mbrohet në mënyrë jo më pak të besueshme se çdo aktiv tjetër kryesor i Kompanisë. Qëllimet kryesore të Kompanisë nuk mund të arrihen pa kohë dhe dispozitë e plotë punonjësit me informacionin që u nevojitet për të kryer detyrat e tyre.
Në këtë politikë, termi "punonjës" i referohet të gjithë punonjësve të Kompanisë. Dispozitat e kësaj Politike zbatohen për personat që punojnë në Shoqëri sipas kontratave të së drejtës civile, duke përfshirë edhe ata të dërguar, nëse kjo është parashikuar në një marrëveshje të tillë.
Pavarësisht nga madhësia e organizatës dhe specifikat e sistemit të saj të informacionit, puna për të siguruar regjimin e IS zakonisht përbëhet nga hapat e mëposhtëm (Figura 1):
– përcaktimi i fushës (kufijve) të sistemit të menaxhimit të sigurisë së informacionit dhe specifikimi i qëllimeve të krijimit të tij;
– vlerësimi i rrezikut;
– përzgjedhja e kundërmasave që sigurojnë modalitetin IS;
- Menaxhimi i rreziqeve;
– auditimi i sistemit të menaxhimit të sigurisë së informacionit;
- Zhvillimi i një politike sigurie.
DIV_ADBLOCK340">
Faza 3. Strukturimi i kundërmasave për mbrojtjen e informacionit në këto nivele kryesore: administrative, procedurale, softuerike dhe harduerike.
Faza 4. Vendosja e procedurës për certifikimin dhe akreditimin e CIS për përputhjen me standardet e IS. Caktimi i shpeshtësisë së takimeve për temat e IS në nivel menaxherial, duke përfshirë rishikimin periodik të dispozitave të politikës së IS, si dhe procedurën për trajnimin e të gjitha kategorive të përdoruesve të sistemit të informacionit në fushën e IS. Dihet se zhvillimi i politikës së sigurisë së një organizate është faza më pak e formalizuar. Megjithatë, në Kohët e fundit këtu janë përqendruar përpjekjet e shumë profesionistëve të sigurisë së informacionit.
Faza 5. Përcaktimi i fushës (kufijve) të sistemit të menaxhimit të sigurisë së informacionit dhe specifikimi i qëllimeve të krijimit të tij. Në këtë fazë, përcaktohen kufijtë e sistemit për të cilin duhet të sigurohet modaliteti IS. Prandaj, sistemi i menaxhimit të sigurisë së informacionit është ndërtuar brenda këtyre kufijve. Përshkrimi i kufijve të vetë sistemit rekomandohet të kryhet sipas planit të mëposhtëm:
- struktura e organizates. Prezantimi i strukturës ekzistuese dhe ndryshimeve që pritet të bëhen në lidhje me zhvillimin (modernizimin) e sistemit të automatizuar;
– burimet e sistemit të informacionit që duhen mbrojtur. Është e këshillueshme që të merren parasysh burimet sistem i automatizuar klasat e mëposhtme: SVT, të dhëna, sisteme dhe programe aplikative. Të gjitha burimet janë me vlerë për organizatën. Për vlerësimin e tyre duhet të zgjidhet një sistem kriteresh dhe një metodologji për marrjen e rezultateve sipas këtyre kritereve;
· zhvillimi i parimeve për klasifikimin e aseteve të informacionit të një kompanie dhe vlerësimin e sigurisë së tyre;
vlerësimin e rreziqeve të informacionit dhe menaxhimin e tyre;
trajnimin e punonjësve të kompanisë në metodat e garantimit të sigurisë së informacionit, kryerjen e brifingjeve dhe monitorimin e njohurive dhe aftësive praktike të zbatimit të politikës së sigurisë nga punonjësit e kompanisë;
· këshillimin e menaxherëve të kompanive për çështjet e menaxhimit rreziqet e informacionit;
harmonizimi i politikave dhe rregulloreve të sigurisë private ndërmjet divizioneve të kompanive;
Kontroll mbi punën e cilësisë dhe shërbimeve të automatizimit të kompanisë me të drejtën e kontrollit dhe miratimit të raporteve dhe dokumenteve të brendshme;
ndërveprimi me shërbimin e personelit të kompanisë për të verifikuar të dhënat personale të punonjësve gjatë punësimit;
organizimi i masave për eliminimin situatat emergjente ose emergjencat në fushën e sigurisë së informacionit në rast të shfaqjes së tyre;
Integriteti i informacionit është ekzistenca e informacionit në një formë të pashtrembëruar (të pandryshuar në raport me një gjendje fikse). Zakonisht, subjektet janë të interesuar të ofrojnë një pronë më të gjerë - besueshmërinë e informacionit, e cila konsiston në përshtatshmërinë (plotësinë dhe saktësinë) e shfaqjes së shtetit. fusha lëndore dhe drejtpërdrejt integritetin e informacionit, pra mos shtrembërimin e tij.
Ekziston një dallim midis integritetit statik dhe dinamik. Për të shkelur integritetin statik, një sulmues mund: të fusë të dhëna të pasakta; Për të ndryshuar të dhënat. Ndonjëherë ndryshime të rëndësishme të të dhënave, ndonjëherë informacioni i shërbimit. Kërcënimet për integritetin dinamik janë shkelja e atomicitetit të transaksioneve, rirenditja, vjedhja, dyfishimi i të dhënave ose futja e mesazheve shtesë ( paketat e rrjetit etj.). Veprimet përkatëse në mjedisin e rrjetit quhen dëgjim aktiv.
Kërcënimi i integritetit nuk është vetëm falsifikimi ose modifikimi i të dhënave, por edhe refuzimi për të ndërmarrë veprime. Nëse nuk ka mjete për të siguruar "mos-refuzimin", të dhënat kompjuterike nuk mund të konsiderohen si provë. Potencialisht vulnerabël nga pikëpamja e shkeljeve të integritetit janë jo vetëm të dhënat, por edhe programet. Futja e malware është një shembull i një shkeljeje të tillë.
Një kërcënim aktual dhe shumë i rrezikshëm është futja e rootkits (një grup skedarësh të instaluar në sistem për të ndryshuar funksionalitetin e tij standard në një mënyrë keqdashëse dhe sekrete), bots (një program që kryen automatikisht një mision të caktuar; një grup kompjuterash në të cilin funksionojnë i njëjti lloj robotësh quhet botnet), lëvizjet sekrete ( malware, i cili dëgjon për komanda në porte të caktuara TCP ose UDP) dhe spyware (softuer me qëllim të keq që synon kompromentimin e të dhënave konfidenciale të përdoruesit. Për shembull, Back Orifice dhe Netbus Trojans ju lejojnë të fitoni kontrollin mbi sistemet e përdoruesve nga opsione të ndryshme MS Windows.
Kërcënimi i privatësisë
Kërcënimi i shkeljes së konfidencialitetit qëndron në faktin se informacioni bëhet i njohur për i cili nuk ka autoritet për të hyrë në të. Ndonjëherë, në lidhje me kërcënimin e konfidencialitetit, përdoret termi "rrjedhje".
Konfidencialiteti i informacionit është një karakteristikë (veti) e përcaktuar subjektivisht (e atribuar) e informacionit, që tregon nevojën për të vendosur kufizime në rrethin e subjekteve me akses në këtë informacion, dhe që sigurohet nga aftësia e sistemit (mjedisit) për ta mbajtur sekret këtë informacion. nga subjektet që nuk kanë autoritetin për të hyrë në të. . Parakushtet objektive për një kufizim të tillë të disponueshmërisë së informacionit për disa subjekte janë nevoja për të mbrojtur interesat e tyre legjitime nga subjektet e tjera të marrëdhënieve të informacionit.
Informacioni konfidencial mund të ndahet në subjekt dhe shërbim. Informacioni i shërbimit(për shembull, fjalëkalimet e përdoruesit) nuk i përket një fushe specifike lëndore, ai luan një rol teknik në sistemin e informacionit, por zbulimi i tij është veçanërisht i rrezikshëm, pasi është i mbushur me marrjen e aksesit të paautorizuar në të gjitha informacionet, përfshirë informacionin e subjektit. Një kërcënim i rrezikshëm jo-teknik për privatësinë janë metodat e ndikimit moral dhe psikologjik, të tilla si "maskarada" - kryerja e veprimeve nën maskën e një personi me autoritet për të hyrë në të dhëna. Abuzimi me pushtetin është një nga kërcënimet më të këqija ndaj të cilit është e vështirë të mbrohesh. Në shumë lloje sistemesh, një përdorues i privilegjuar (për shembull, Administratori i sistemit) është në gjendje të lexojë çdo skedar (të pakriptuar), të hyjë në postën e çdo përdoruesi.
Aktualisht, sulmet më të zakonshme të ashtuquajtura "phishing". Phishing (peshkim - peshkim) - një lloj mashtrimi në internet, qëllimi i të cilit është të fitoni akses në të dhënat konfidenciale të përdoruesit - hyrjet dhe fjalëkalimet. Kjo arrihet duke kryer postime masive emailet në emër të markave të njohura, si dhe mesazhe private brenda shërbime të ndryshme, për shembull, në emër të bankave, shërbimeve (Rambler, Mail.ru) ose brenda rrjete sociale(Facebook, Vkontakte, Odnoklassniki. ru). Objektivi i phishers sot janë klientët e bankave dhe sistemeve të pagesave elektronike. Për shembull, në Shtetet e Bashkuara, duke u maskuar si Shërbimi i të Ardhurave të Brendshme, phishers mblodhën të dhëna të rëndësishme të taksapaguesve në vitin 2009.
Në këtë temë, do të përpiqem të përpiloj një manual për zhvillimin e dokumentacionit rregullator në fushën e sigurisë së informacionit për një strukturë tregtare, bazuar në përvojë personale dhe materiale nga ueb.
Këtu mund të gjeni përgjigje për pyetjet:
- Pse nevojitet një politikë e sigurisë së informacionit?
- si ta kompozoni atë;
- si ta përdorni.
Nevoja për një politikë të sigurisë së informacionit
Ky seksion përshkruan nevojën për të zbatuar politikën e sigurisë së informacionit dhe dokumentet shoqëruese të saj gjuhë e bukur tekste dhe standarde, por mbi shembuj nga përvoja personale.Kuptimi i qëllimeve dhe objektivave të departamentit të sigurisë së informacionit
Para së gjithash, politika është e nevojshme për t'i përcjellë biznesit qëllimet dhe objektivat e sigurisë së informacionit të kompanisë. Një biznes duhet të kuptojë se një oficer sigurie nuk është vetëm një mjet për të hetuar rrjedhjet e të dhënave, por edhe një asistent në minimizimin e rreziqeve të kompanisë dhe, rrjedhimisht, në rritjen e përfitimit të kompanisë. Kërkesat e politikave janë baza për zbatimin e masave mbrojtëse
Politika e sigurisë së informacionit është e nevojshme për të justifikuar futjen e masave mbrojtëse në kompani. Politika duhet të miratohet nga organi më i lartë administrativ i kompanisë ( CEO, bordi i drejtorëve, etj.)
Çdo mbrojtje është një kompromis midis reduktimit të rrezikut dhe përvojës së përdoruesit. Kur një person i sigurisë thotë se një proces nuk duhet të ndodhë në asnjë mënyrë për shkak të shfaqjes së disa rreziqeve, atij i bëhet gjithmonë një pyetje e arsyeshme: "Si duhet të ndodhë?" Oficeri i sigurisë duhet të propozojë një model procesi në të cilin këto rreziqe reduktohen në një farë mase që është e kënaqshme për biznesin.
Në të njëjtën kohë, çdo aplikim i çdo mase mbrojtëse në lidhje me ndërveprimin e përdoruesit me sistemin e informacionit të kompanisë shkakton gjithmonë një reagim negativ nga përdoruesi. Ata nuk duan të rikualifikohen, të lexojnë udhëzimet e krijuara për ta, etj. Shumë shpesh përdoruesit bëjnë pyetje të arsyeshme:
- pse duhet te punoj sipas skemes tende te shpikur, dhe jo ato në një mënyrë të thjeshtë që e kam përdorur gjithmonë
- të cilët i dolën të gjitha këto
Nëse kompania ka një politikë të sigurisë së informacionit, ju mund të jepni një përgjigje koncize dhe koncize:
kjo masë u fut në përputhje me kërkesat e politikës së sigurisë së informacionit të kompanisë, e cila u miratua nga organi suprem administrativ i kompanisë.
Si rregull, pasi energjia e shumicës së përdoruesve zbret. Pjesa tjetër mund t'i ofrohet për t'i shkruar një memo këtij organi më të lartë administrativ të kompanisë. Këtu pjesa tjetër eliminohet. Sepse edhe nëse shënimi shkon atje, ne gjithmonë mund ta vërtetojmë nevojën masat e marra përballë menaxhmentit. Nuk e hamë bukën kot, apo jo? Ka dy gjëra që duhen mbajtur parasysh kur hartoni një politikë.
- Audienca e synuar e politikës së sigurisë së informacionit janë përdoruesit përfundimtarë dhe drejtuesit e lartë të kompanisë që nuk kuptojnë shprehjet komplekse teknike, por duhet të jenë të njohur me dispozitat e politikës.
- Nuk ka nevojë të përpiqeni të shtyni të paimagjinueshmen për të përfshirë gjithçka që është e mundur në këtë dokument! Duhet të ketë vetëm qëllime IB, metoda për arritjen e tyre dhe përgjegjësi! Asnje detaje teknike nëse kërkojnë njohuri specifike. Të gjitha këto janë materiale për udhëzime dhe rregullore.
Dokumenti përfundimtar duhet të plotësojë kërkesat e mëposhtme:
- konciziteti - një vëllim i madh i dokumentit do të trembë çdo përdorues, askush nuk do ta lexojë kurrë dokumentin tuaj (dhe ju do të përdorni frazën më shumë se një herë: "kjo është një shkelje e politikës së sigurisë së informacionit me të cilën jeni njohur")
- aksesueshmërinë për publikun e gjerë përdoruesi përfundimtar duhet të kuptojë ÇFARË shkruhet në politikë (ai kurrë nuk do të lexojë dhe kujtojë fjalët dhe frazat "ditar", "modeli i dhunuesit", "incidenti i sigurisë së informacionit", " infrastrukturën e informacionit”, “teknogjenik”, “antropogjen”, “faktor rreziku” etj.)
Në fakt, gjithçka është shumë e thjeshtë: politika e sigurisë së informacionit duhet të jetë një dokument i nivelit të parë, duhet të zgjerohet dhe plotësohet me dokumente të tjera (rregullore dhe udhëzime), të cilat tashmë do të përshkruajnë diçka specifike.
Është e mundur të bëhet një analogji me shtetin: dokumenti i nivelit të parë është kushtetuta, dhe doktrinat, konceptet, ligjet dhe aktet e tjera normative ekzistuese në shtet vetëm plotësojnë dhe rregullojnë zbatimin e dispozitave të saj. Skema e përafërt treguar në figurë.
Për të mos lyer qull në një pjatë, le të shohim vetëm shembuj të politikave të sigurisë së informacionit që mund të gjenden në internet.
| Numri i përdorshëm i faqeve* | Kushtet e ngarkuara | Vlerësimi i përgjithshëm | |
|---|---|---|---|
| OJSC "Gazprombank" | 11 | Shumë e lartë | |
| Sh.A. “Fondi për Zhvillimin e Sipërmarrjes “Damu” | 14 | lartë | Një dokument kompleks për lexim të menduar, laiku nuk do të lexojë, dhe nëse lexon, ai nuk do të kuptojë dhe nuk do të kujtohet |
| SHA NC KazMunayGas | 3 | E ulët | Një dokument i lehtë për t'u kuptuar që nuk është i mbingarkuar me terma teknikë |
| SHA "Instituti Radioteknik me emrin Akademik A. L. Mints" | 42 | Shumë e lartë | Dokument i vështirë për lexim të menduar, laik nuk do të lexojë - shumë faqe |
* E dobishme Unë e quaj numrin e faqeve pa një tabelë të përmbajtjes, Titulli i faqes dhe faqe të tjera që nuk përmbajnë informacion specifik
Përmbledhje
Politika e sigurisë së informacionit duhet të përshtatet në disa faqe, të jetë e lehtë për t'u kuptuar nga laik, të përshkruhet në pamje e përgjithshme Qëllimet e IS, metodat për arritjen e tyre dhe përgjegjësia e punonjësve.
Zbatimi dhe përdorimi i politikës së sigurisë së informacionit
Pasi të miratohet politika e IS, është e nevojshme që:- njohja e të gjithë punonjësve ekzistues me politikën;
- familjarizoni të gjithë punonjësit e rinj me politikën (si ta bëni këtë është një temë për një diskutim më vete, ne kemi një kurs hyrës për të ardhurit, ku unë flas me shpjegime);
- të analizojë proceset ekzistuese të biznesit në mënyrë që të identifikojë dhe minimizojë rreziqet;
- marrin pjesë në krijimin e proceseve të reja të biznesit, në mënyrë që të mos vrapojnë pas trenit;
- zhvilloni rregullore, procedura, udhëzime dhe dokumente të tjera që plotësojnë politikën (udhëzime për sigurimin e aksesit në internet, udhëzime për sigurimin e aksesit në lokalet me akses i kufizuar, udhëzime për të punuar me sistemet e informacionit të kompanisë, etj.);
- rishikoni politikën e IS dhe dokumentet e tjera të IS të paktën një herë në tremujor për t'i përditësuar ato.
Për pyetje dhe sugjerime, mirëpresim te komentet dhe PM.
Pyetja %username%
Kur bëhet fjalë për politikën, shefave nuk u pëlqen ajo që dua me fjalë të thjeshta. Më thonë: “Përveç meje dhe teje dhe 10 punonjësve të tjerë të IT-së, që vetë dinë dhe kuptojnë gjithçka, janë 2qind që nuk kuptojnë asgjë nga kjo, gjysma e tyre janë pensionistë”.
Mora rrugën e shkurtësisë mesatare të përshkrimeve, për shembull, rregullave mbrojtje antivirus, dhe më poshtë shkruaj sikur ka një politikë mbrojtjeje antivirus, etj. Por unë nuk e kuptoj nëse përdoruesi nënshkruan për politikën, por përsëri ai duhet të lexojë një mori dokumentesh të tjera, duket se e ka ulur politikën, por duket se nuk është.
Këtu do të ndiqja rrugën e analizës së procesit.
Le të themi mbrojtje kundër viruseve. Logjikisht duhet të jetë kështu.
Çfarë rreziqesh paraqesin për ne viruset? Shkelje e integritetit (dëmtim) të informacionit, shkelje e disponueshmërisë (ndërprerje e serverëve ose PC-ve) të informacionit. Në organizimin e duhur rrjetit, përdoruesi nuk duhet të ketë të drejta administratori lokal në sistem, domethënë, ai nuk duhet të ketë të drejtat për të instaluar softuer (dhe për rrjedhojë viruse) në sistem. Kështu, pensionistët bien, sepse këtu nuk bëjnë biznes.
Kush mund të zbusë rreziqet që lidhen me viruset? Përdoruesit me të drejta të administratorit të domenit. Administratori i domenit - një rol i ndjeshëm, i lëshuar për punonjësit e departamenteve të IT, etj. Prandaj, ata duhet të instalojnë antiviruse. Rezulton se veprimtaria sistemi antivirus janë edhe ata përgjegjës. Prandaj, ata duhet të nënshkruajnë udhëzimin për organizimin e mbrojtjes antivirus. Në fakt, kjo përgjegjësi duhet të përcaktohet në udhëzime. Për shembull, oficeri i sigurisë rregullon, administratorët ekzekutojnë.
Pyetja %username%
Atëherë pyetja është, çfarë nuk duhet të përfshihet përgjegjësia për krijimin dhe përdorimin e viruseve në udhëzimet e Anti-virus FI (apo ka një artikull dhe nuk mund ta përmendni atë)? Apo se atyre u kërkohet të raportojnë një virus ose sjellje të çuditshme të PC te Help Desk ose stafi i IT-së?
Përsëri, unë do të shikoja nga ana e menaxhimit të rrezikut. Kumbon, si të thuash, GOST 18044-2007.
në rastin tuaj " sjellje të çuditshme“Nuk është domosdoshmërisht ende një virus. Mund të jetë një frenim sistemi ose një gp, etj. Prandaj, ky nuk është një incident, por një ngjarje e sigurisë së informacionit. Përsëri, sipas GOST, çdo person mund të deklarojë një ngjarje, por është e mundur të kuptohet incidenti ose jo vetëm pas analizës.
Kështu, kjo pyetje juaja nuk përkthehet më në politikë të sigurisë së informacionit, por në menaxhim incidentesh. Duhet të thuhet në politikën tuaj se kompania duhet të ketë një sistem të trajtimit të incidenteve.
Kjo do të thotë, siç mund ta shihni, ekzekutimi administrativ i politikës u është caktuar kryesisht administratorëve dhe rojeve të sigurisë. Përdoruesit mbeten të personalizuar.
Prandaj, duhet të hartoni një lloj "Procedure për përdorimin e CBT në kompani", ku duhet të specifikoni përgjegjësitë e përdoruesve. Ky dokument duhet të lidhet me politikën e sigurisë së informacionit dhe të jetë, si të thuash, një shpjegim për përdoruesit.
NË këtë dokument mund të specifikoni që përdoruesi është i detyruar të njoftojë autoritetin përkatës për aktivitetin jonormal të kompjuterit. Epo, mund të shtoni gjithçka tjetër me porosi atje.
Në total, ju duhet të njihni përdoruesin me dy dokumente:
- politika e sigurisë së informacionit (në mënyrë që ai të kuptojë se çfarë po bëhet dhe pse, të mos tundë varkën, të mos betohet kur prezanton sisteme të reja kontrolli, etj.)
- kjo "Procedurë për përdorimin e CBT në kompani" (në mënyrë që ai të kuptojë se çfarë duhet të bëjë saktësisht në situata specifike)
Prandaj, gjatë zbatimit sistemi i ri, thjesht shtoni diçka në "Urdhrin" dhe njoftoni punonjësit për këtë duke e dërguar porosinë me e-mail (ose përmes EDMS, nëse ka).
Etiketa: Shtoni etiketa
Politika e sigurisë së informacionit - një grup ligjesh, masash, rregullash, kërkesash, kufizimesh, udhëzimesh, rregulloresh, rekomandimesh, etj., që rregullojnë procedurën e përpunimit të informacionit dhe synojnë mbrojtjen e informacionit nga lloje të caktuara të kërcënimeve.
Politika e sigurisë së informacionit është një dokument themelor për të siguruar të gjithë ciklin e sigurisë së informacionit në një kompani. Prandaj, drejtuesit e lartë të kompanisë duhet të jenë të interesuar për njohjen dhe respektimin e rreptë të pikave kryesore të saj nga i gjithë personeli i kompanisë. Të gjithë punonjësit e departamenteve përgjegjëse për regjimin e sigurisë së informacionit të kompanisë duhet të njihen me politikën e sigurisë së informacionit kundrejt nënshkrimit. Në fund të fundit, ata do të jenë përgjegjës për verifikimin e respektimit të kërkesave të politikës së sigurisë së informacionit dhe njohjen e pikave kryesore të saj nga personeli i kompanisë në pjesën që ka të bëjë me ta. Duhet të përcaktohet edhe procesi për kryerjen e auditimeve të tilla, përgjegjësitë e zyrtarët kryerja e inspektimeve të tilla dhe është hartuar një plan inspektimesh.
Një politikë e sigurisë së informacionit mund të zhvillohet për të dyja komponent i veçantë sistemin e informacionit dhe sistemin e informacionit në tërësi. Politika e sigurisë së informacionit duhet të marrë parasysh karakteristikat e mëposhtme të sistemit të informacionit: teknologjinë e përpunimit të informacionit, mjedisin kompjuterik, mjedisi fizik, mjedisi i përdoruesit, rregullat e kontrollit të aksesit, etj.
Politika e sigurisë së informacionit duhet të sigurojë përdorim kompleks standardet ligjore, morale dhe etike, organizative dhe masat teknike, softuer, harduer dhe softuer dhe harduer për sigurinë e informacionit, si dhe të përcaktojë rregullat dhe procedurat për përdorimin e tyre. Politika e sigurisë së informacionit duhet të bazohet në parimet e mëposhtme: vazhdimësia e mbrojtjes, mjaftueshmëria e masave dhe mjeteve të mbrojtjes, përputhja e tyre me mundësinë e kërcënimeve, efektiviteti i kostos, fleksibiliteti i strukturës, lehtësia e menaxhimit dhe përdorimit, etj.
Politika e sigurisë është një kompleks masat parandaluese për mbrojtjen e të dhënave konfidenciale dhe proceset e informacionit në ndërmarrje. Politika e sigurisë përfshin kërkesat për personelin, menaxherët dhe shërbimet teknike. Drejtimet kryesore të zhvillimit të politikës së sigurisë:
- duke përcaktuar se cilat të dhëna dhe sa seriozisht duhet të mbrohen,
- përcaktimi se kush dhe çfarë dëmi mund t'i shkaktojë kompanisë në aspektin informativ,
- llogaritja e rreziqeve dhe përcaktimi i një skeme për reduktimin e tyre në një vlerë të pranueshme.
Ekzistojnë dy sisteme vlerësimi gjendjen aktuale në fushën e sigurisë së informacionit në ndërmarrje. Ata kanë marrë emrat figurativ “kërkim nga poshtë lart” dhe “kërkim nga lart poshtë”. Metoda e parë është mjaft e thjeshtë, kërkon shumë më pak investime kapitale, por gjithashtu ka më pak aftësi. Ai bazohet në skemën e njohur: "Ti je një ndërhyrës, çfarë po bën?". Domethënë shërbimi i sigurisë së informacionit, bazuar në të dhënat për të gjitha specie të njohura sulmet, përpiqet t'i zbatojë ato në mënyrë që të kontrollojë nëse një sulm i tillë është i mundur nga një sulmues i vërtetë.
Metoda "nga lart-poshtë" është, përkundrazi, një analizë e detajuar e të gjithë skemës ekzistuese për ruajtjen dhe përpunimin e informacionit. Hapi i parë në këtë metodë është, si gjithmonë, të përcaktohet se cilat objekte dhe rrjedha informacioni duhet të mbrohen. Më pas vjen studimi gjendja e tanishme sistemet e sigurisë së informacionit për të përcaktuar se cila nga metodat klasike të mbrojtjes së informacionit tashmë është zbatuar, në çfarë mase dhe në çfarë niveli. Hapi i tretë është klasifikimi i të gjithëve objektet e informacionit në klasa në përputhje me kërkesat e tij për konfidencialitetin, aksesueshmërinë dhe integritetin (pandryshueshmërinë).
Më poshtë është një sqarim se sa dëm serioz është një zbulim ose sulm tjetër ndaj secilit specifik objekt informacioni. Ky hap quhet "llogaritja e rrezikut". Në një përafrim të parë, rreziku është produkt i "dëmtimit të mundshëm nga një sulm" nga "probabiliteti i një sulmi të tillë".
Politika e sigurisë së informacionit duhet të përmbajë klauzola që përmbajnë informacion nga seksionet e mëposhtme:
koncepti i sigurisë së informacionit;- përcaktimi i përbërësve dhe burimeve të sistemit të informacionit që mund të bëhen burime të shkeljeve të sigurisë së informacionit dhe nivelit të kritikitetit të tyre;
- krahasimi i kërcënimeve me objektet e mbrojtjes;
- vlerësimi i rrezikut;
- vlerësimi i sasisë së humbjeve të mundshme që lidhen me zbatimin e kërcënimeve;
- të vlerësojë koston e ndërtimit të një sistemi të sigurisë së informacionit;
- përcaktimin e kërkesave për metodat dhe mjetet e sigurimit të sigurisë së informacionit;
- përzgjedhja e zgjidhjeve bazë të sigurisë së informacionit;
- organizimi i punës restauruese dhe sigurimi funksionimin e vazhdueshëm sistemi informativ;
- rregullat e kontrollit të aksesit.
Politika e sigurisë së informacionit të një ndërmarrje është shumë e rëndësishme për të garantuar sigurinë gjithëpërfshirëse të një ndërmarrje. Mund të zbatohet në harduer dhe softuer duke përdorur zgjidhje DLP.
Publikime të ngjashme
|
29 Prill 2014 Shumë kompani blejnë me shpenzimet e tyre pajisje celulare për punonjësit që udhëtojnë shpesh. Në këto kushte, shërbimi IT ka nevojë urgjente për të kontrolluar pajisjet që kanë akses në të dhënat e korporatës, por janë jashtë perimetrit të rrjetit të korporatës. |
|
Në këtë temë, do të përpiqem të përpiloj një manual për zhvillimin e dokumentacionit rregullator në fushën e sigurisë së informacionit për një strukturë tregtare, bazuar në përvojën personale dhe materialet nga rrjeti.
Këtu mund të gjeni përgjigje për pyetjet:
- Pse nevojitet një politikë e sigurisë së informacionit?
- si ta kompozoni atë;
- si ta përdorni.
Nevoja për një politikë të sigurisë së informacionit
Ky seksion përshkruan nevojën për të zbatuar politikën e sigurisë së informacionit dhe dokumentet shoqëruese jo në gjuhën e bukur të teksteve dhe standardeve, por duke përdorur shembuj nga përvoja personale.Kuptimi i qëllimeve dhe objektivave të departamentit të sigurisë së informacionit
Para së gjithash, politika është e nevojshme për t'i përcjellë biznesit qëllimet dhe objektivat e sigurisë së informacionit të kompanisë. Një biznes duhet të kuptojë se një oficer sigurie nuk është vetëm një mjet për të hetuar rrjedhjet e të dhënave, por edhe një asistent në minimizimin e rreziqeve të kompanisë dhe, rrjedhimisht, në rritjen e përfitimit të kompanisë. Kërkesat e politikave janë baza për zbatimin e masave mbrojtëse
Politika e sigurisë së informacionit është e nevojshme për të justifikuar futjen e masave mbrojtëse në kompani. Politika duhet të miratohet nga organi më i lartë administrativ i shoqërisë (drejtori i përgjithshëm, bordi i drejtorëve, etj.)Çdo mbrojtje është një kompromis midis reduktimit të rrezikut dhe përvojës së përdoruesit. Kur një person i sigurisë thotë se një proces nuk duhet të ndodhë në asnjë mënyrë për shkak të shfaqjes së disa rreziqeve, atij i bëhet gjithmonë një pyetje e arsyeshme: "Si duhet të ndodhë?" Oficeri i sigurisë duhet të propozojë një model procesi në të cilin këto rreziqe reduktohen në një farë mase që është e kënaqshme për biznesin.
Në të njëjtën kohë, çdo aplikim i çdo mase mbrojtëse në lidhje me ndërveprimin e përdoruesit me sistemin e informacionit të kompanisë shkakton gjithmonë një reagim negativ nga përdoruesi. Ata nuk duan të rikualifikohen, të lexojnë udhëzimet e krijuara për ta, etj. Shumë shpesh përdoruesit bëjnë pyetje të arsyeshme:
- pse duhet te punoj sipas skemes tende te shpikur, dhe jo ne menyren e thjeshte qe kam perdorur gjithmone
- të cilët i dolën të gjitha këto
Nëse kompania ka një politikë të sigurisë së informacionit, ju mund të jepni një përgjigje koncize dhe koncize:
kjo masë u fut në përputhje me kërkesat e politikës së sigurisë së informacionit të kompanisë, e cila u miratua nga organi suprem administrativ i kompanisë.
Si rregull, pasi energjia e shumicës së përdoruesve zbret. Pjesa tjetër mund t'i ofrohet për t'i shkruar një memo këtij organi më të lartë administrativ të kompanisë. Këtu pjesa tjetër eliminohet. Sepse edhe nëse nota shkon aty, ne mund të vërtetojmë gjithmonë nevojën e masave të marra në udhëheqje. Nuk e hamë bukën kot, apo jo? Ka dy gjëra që duhen mbajtur parasysh kur hartoni një politikë.
- Audienca e synuar e politikës së sigurisë së informacionit janë përdoruesit përfundimtarë dhe drejtuesit e lartë të kompanisë që nuk kuptojnë shprehjet komplekse teknike, por duhet të jenë të njohur me dispozitat e politikës.
- Nuk ka nevojë të përpiqeni të shtyni të paimagjinueshmen për të përfshirë gjithçka që është e mundur në këtë dokument! Duhet të ketë vetëm qëllime IB, metoda për arritjen e tyre dhe përgjegjësi! Nuk ka detaje teknike nëse ato kërkojnë njohuri specifike. Të gjitha këto janë materiale për udhëzime dhe rregullore.
Dokumenti përfundimtar duhet të plotësojë kërkesat e mëposhtme:
- konciziteti - një vëllim i madh i dokumentit do të trembë çdo përdorues, askush nuk do ta lexojë kurrë dokumentin tuaj (dhe ju do të përdorni frazën më shumë se një herë: "kjo është një shkelje e politikës së sigurisë së informacionit me të cilën jeni njohur")
- aksesi për një laik të thjeshtë - përdoruesi përfundimtar duhet të kuptojë ÇFARË shkruhet në politikë (ai kurrë nuk do të lexojë dhe kujtojë fjalët dhe frazat "ditar", "modeli i dhunuesit", "incidenti i sigurisë së informacionit", "infrastruktura e informacionit", "teknogjene" ", "antropogjenik", "faktor rreziku", etj.)
Në fakt, gjithçka është shumë e thjeshtë: politika e sigurisë së informacionit duhet të jetë një dokument i nivelit të parë, duhet të zgjerohet dhe plotësohet me dokumente të tjera (rregullore dhe udhëzime), të cilat tashmë do të përshkruajnë diçka specifike.
Është e mundur të bëhet një analogji me shtetin: dokumenti i nivelit të parë është kushtetuta, dhe doktrinat, konceptet, ligjet dhe aktet e tjera normative ekzistuese në shtet vetëm plotësojnë dhe rregullojnë zbatimin e dispozitave të saj. Një skemë shembullore është paraqitur në figurë.
Për të mos lyer qull në një pjatë, le të shohim vetëm shembuj të politikave të sigurisë së informacionit që mund të gjenden në internet.
| Numri i përdorshëm i faqeve* | Kushtet e ngarkuara | Vlerësimi i përgjithshëm | |
|---|---|---|---|
| OJSC "Gazprombank" | 11 | Shumë e lartë | |
| Sh.A. “Fondi për Zhvillimin e Sipërmarrjes “Damu” | 14 | lartë | Një dokument kompleks për lexim të menduar, laiku nuk do të lexojë, dhe nëse lexon, ai nuk do të kuptojë dhe nuk do të kujtohet |
| SHA NC KazMunayGas | 3 | E ulët | Një dokument i lehtë për t'u kuptuar që nuk është i mbingarkuar me terma teknikë |
| SHA "Instituti Radioteknik me emrin Akademik A. L. Mints" | 42 | Shumë e lartë | Dokument i vështirë për lexim të menduar, laik nuk do të lexojë - shumë faqe |
* E dobishme Unë e quaj numrin e faqeve pa një tabelë të përmbajtjes, faqe titulli dhe faqe të tjera që nuk përmbajnë informacion specifik
Përmbledhje
Politika e sigurisë së informacionit duhet të përshtatet në disa faqe, të jetë e lehtë për t'u kuptuar nga personi mesatar, të përshkruajë në terma të përgjithshëm qëllimet e sigurisë së informacionit, metodat për arritjen e tyre dhe përgjegjësinë e punonjësve.
Zbatimi dhe përdorimi i politikës së sigurisë së informacionit
Pasi të miratohet politika e IS, është e nevojshme që:- njohja e të gjithë punonjësve ekzistues me politikën;
- familjarizoni të gjithë punonjësit e rinj me politikën (si ta bëni këtë është një temë për një diskutim më vete, ne kemi një kurs hyrës për të ardhurit, ku unë flas me shpjegime);
- të analizojë proceset ekzistuese të biznesit në mënyrë që të identifikojë dhe minimizojë rreziqet;
- marrin pjesë në krijimin e proceseve të reja të biznesit, në mënyrë që të mos vrapojnë pas trenit;
- zhvilloni rregullore, procedura, udhëzime dhe dokumente të tjera që plotësojnë politikën (udhëzime për sigurimin e aksesit në internet, udhëzime për sigurimin e aksesit në dhoma me akses të kufizuar, udhëzime për të punuar me sistemet e informacionit të kompanisë, etj.);
- rishikoni politikën e IS dhe dokumentet e tjera të IS të paktën një herë në tremujor për t'i përditësuar ato.
Për pyetje dhe sugjerime, mirëpresim te komentet dhe PM.
Pyetja %username%
Përsa i përket politikës, pushtetarëve nuk u pëlqen ajo që dua me fjalë të thjeshta. Më thonë: “Përveç meje dhe teje dhe 10 punonjësve të tjerë të IT-së, që vetë dinë dhe kuptojnë gjithçka, janë 2qind që nuk kuptojnë asgjë nga kjo, gjysma e tyre janë pensionistë”.
Kam ndjekur rrugën e shkurtësisë mesatare të përshkrimeve, për shembull, rregullat e mbrojtjes kundër viruseve, dhe më poshtë shkruaj sikur ekziston një politikë e mbrojtjes kundër viruseve, etj. Por unë nuk e kuptoj nëse përdoruesi nënshkruan për politikën, por përsëri ai duhet të lexojë një mori dokumentesh të tjera, duket se e ka ulur politikën, por duket se nuk është.
Këtu do të ndiqja rrugën e analizës së procesit.
Le të themi mbrojtje kundër viruseve. Logjikisht duhet të jetë kështu.
Çfarë rreziqesh paraqesin për ne viruset? Shkelje e integritetit (dëmtim) të informacionit, shkelje e disponueshmërisë (ndërprerje e serverëve ose PC-ve) të informacionit. Me organizimin e duhur të rrjetit, përdoruesi nuk duhet të ketë të drejta të administratorit lokal në sistem, domethënë, ai nuk duhet të ketë të drejtat për të instaluar softuer (dhe për rrjedhojë viruse) në sistem. Kështu, pensionistët bien, sepse këtu nuk bëjnë biznes.
Kush mund të zbusë rreziqet që lidhen me viruset? Përdoruesit me të drejta të administratorit të domenit. Administratori i domenit - një rol i ndjeshëm, i lëshuar për punonjësit e departamenteve të IT, etj. Prandaj, ata duhet të instalojnë antiviruse. Rezulton se ata janë përgjegjës edhe për aktivitetin e sistemit antivirus. Prandaj, ata duhet të nënshkruajnë udhëzimin për organizimin e mbrojtjes antivirus. Në fakt, kjo përgjegjësi duhet të përcaktohet në udhëzime. Për shembull, oficeri i sigurisë rregullon, administratorët ekzekutojnë.
Pyetja %username%
Atëherë pyetja është, çfarë nuk duhet të përfshihet përgjegjësia për krijimin dhe përdorimin e viruseve në udhëzimet e Anti-virus FI (apo ka një artikull dhe nuk mund ta përmendni atë)? Apo se atyre u kërkohet të raportojnë një virus ose sjellje të çuditshme të PC te Help Desk ose stafi i IT-së?
Përsëri, unë do të shikoja nga ana e menaxhimit të rrezikut. Kumbon, si të thuash, GOST 18044-2007.
Në rastin tuaj, "sjellja e çuditshme" nuk është domosdoshmërisht një virus. Mund të jetë një frenim sistemi ose një gp, etj. Prandaj, ky nuk është një incident, por një ngjarje e sigurisë së informacionit. Përsëri, sipas GOST, çdo person mund të deklarojë një ngjarje, por është e mundur të kuptohet incidenti ose jo vetëm pas analizës.
Kështu, kjo pyetje juaja nuk përkthehet më në politikë të sigurisë së informacionit, por në menaxhim incidentesh. Duhet të thuhet në politikën tuaj se kompania duhet të ketë një sistem të trajtimit të incidenteve.
Kjo do të thotë, siç mund ta shihni, ekzekutimi administrativ i politikës u është caktuar kryesisht administratorëve dhe rojeve të sigurisë. Përdoruesit mbeten të personalizuar.
Prandaj, duhet të hartoni një lloj "Procedure për përdorimin e CBT në kompani", ku duhet të specifikoni përgjegjësitë e përdoruesve. Ky dokument duhet të lidhet me politikën e sigurisë së informacionit dhe të jetë, si të thuash, një shpjegim për përdoruesit.
Në këtë dokument, mund të specifikoni që përdoruesi është i detyruar të njoftojë autoritetin përkatës për aktivitetin jonormal të kompjuterit. Epo, mund të shtoni gjithçka tjetër me porosi atje.
Në total, ju duhet të njihni përdoruesin me dy dokumente:
- politika e sigurisë së informacionit (në mënyrë që ai të kuptojë se çfarë po bëhet dhe pse, të mos tundë varkën, të mos betohet kur prezanton sisteme të reja kontrolli, etj.)
- kjo "Procedurë për përdorimin e CBT në kompani" (në mënyrë që ai të kuptojë se çfarë duhet të bëjë saktësisht në situata specifike)
Prandaj, kur futni një sistem të ri, thjesht shtoni diçka në "Urdhrin" dhe njoftoni punonjësit për të duke e dërguar porosinë me e-mail (ose përmes EDMS, nëse ka).
Etiketa:
- Siguria e Informacionit
- Menaxhimi i rreziqeve
- Politika e sigurisë
