Основные правила информационной безопасности – Портал службы поддержки

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ

АУДИТ — ПОЛИТИКА — ЗАЩИТА

Под информационной безопасностью понимается защищённость информации и поддерживающей инфраструктуры. Пара строк с описанием нового продукта могут стоить предприятию миллионы рублей. Обеспечить информационную безопасность — значить не дать, чтобы эта пара строк ушла в руки злоумышленника. Так что же такое информация, и как её можно и нужно защищать.

Информация — это переговоры начальников в курилке и письма, приходящие и отсылаемые с корпоративных ящиков ежедневно сотнями и тысячами. Технические задания изделий, служебная документация, особенности организации и работы организации. Это то, что выбрасывается в мусорные вёдра и забывается на столах у коллег.

Но далеко не все сведения имеют важность, а значит прежде чем перейти к защите, нужно понять, что защищать, а что нет.

Сведения, распространение или уничтожение которых нанесёт ощутимый вред предприятию, называются активами. Всего у активов выделяют три основных свойства:

  • конфиденциальность;
  • целостность;
  • доступность.

Под конфиденциальностью понимается, что актив недоступен лицам без соответствующего доступа. Доступность означает, что сведения используется только сотрудниками, имеющими на это право. Целостность — это неповреждённость сведений. Таким образом, задача информационной безопасности сводится к обеспечению этих трёх свойств. Следующий этап после определения активов, которые требуется защищать — изучение угроз.

Угроза — это некоторые действия или события, в результате которых активам организации будет нанесён ущерб. Примеры угроз:

  • «слив» критически важной информации конкурентам;
  • внезапная смерть или уход специалиста, без которого проект нереализуем;
  • падение метеорита;
  • взлом компьютерной сети.

Если компьютерная сеть предприятия будет взломана, злоумышленник получит доступ к информации и нанесёт этим вред. При падении метеорита предприятие перестанет существовать. По убыткам второе событие во много раз превышает первое, но организации не переезжают в подземные бункеры, а ставит антивирусы. Причина — в разнице вероятностей реализации этих двух угроз.

Действительно, вероятность падения метеорита на здание мала. И постройка подземного бункера обойдётся в сотни раз дороже, чем аренда или покупка офисного здания. Между тем, в мире часто проводятся кибернетические атаки, и в свете последних событий — массового заражения вирусом Wanna Cry — приобретение средств защиты информации имеет смысл.

На любом предприятии реализован некоторый уровень информационной безопасности. Другой вопрос, насколько этот уровень высок. Работают ли сотрудники на компьютерах, защищённых паролями? Блокируют ли компьютеры, отходя от рабочего места? Легко ли постороннему человеку пройти на территорию организации? На эти и другие вопросы отвечает аудит информационной безопасности.

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Итак, необходимость достижения безопасности информации не требует доказательств. Пришло время узнать, насколько эта безопасность обеспечивается. Информацию о защищённости предприятия получают, проводя аудит в следующих направлениях:

  • аттестация всего, связанного с информацией и поддерживающей инфраструктурой;
  • контроль защищённости информации;
  • исследования устройств на наличие побочных электромагнитных излучений и наводок;
  • проектирование с учётом необходимости соответствия требованиям информационной безопасности.

Аттестация, как правило, проводится сторонними организациями. Цель аттестации — выявить, соответствует ли объект предъявляемым требованиям безопасности. При аттестации могут быть выявлены уязвимости — особенности автоматизированных систем, систем связи, технических средств и тому подобных объектов, которые могут быть использованы злоумышленником.

Под контролем защищённости понимается изучение способов доступа к информационным ресурсам, а также наблюдение за эффективностью средств, обеспечивающих защиту этого ресурса. Примеры способов доступа:

  • прослушивание помещений с помощью «жучков»;
  • кража пароля с целью получения доступа к компьютеру сотрудника;
  • изучение мусорной корзины;
  • отсылка письма с трояном сотруднику, чтобы получить удалённый доступ к корпоративной сети;
  • расспросы сотрудников с целью выведать конфиденциальную информацию.
Использование этих путей получения информации в корыстных целях — потенциальная угроза. Поэтому необходимо наблюдать за ними, а также за работой системы защиты информации, которая предотвращает реализацию этих угроз.

С помощью анализа и обработки побочных излучений можно получить информацию конфиденциального характера. К примеру, использование телефонов, переговорных устройств порождает электромагнитные излучения. Эти излучения можно преобразовать в акустическую информацию. Затем и проводится аудит устройства на наличие таких излучений и подводок.

Некоторые помещения требуют повышенного уровня безопасности. Например, залы для переговоров, кабинеты высшего руководства. В таких помещениях важно учитывать расположение окон, дверей, силовых кабелей, розеток, толщина и исполнение стен.

Безопасно проектировать можно и автоматизированные системы: каким образом будут использоваться её составляющие, какие данные будут подаваться на вход и так далее. Безопасное проектирование — также важное направление аудита безопасности.

Различают внешний и внутренний аудит. И если внешний аудит проходит разово, желательно на регулярной основе, то внутренний проводится постоянно с целью актуализации информационной безопасности. При проведении аудита следует руководствоваться политикой безопасности, регламентирующей в общих чертах что защищать и как. Речь об этом документе пойдёт в следующем разделе.

В начало

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Уже были упомянуты активы, угрозы и уязвимости. Теперь пришло время разобраться, что такое риски и оценка рисков. Дело в том, что каждый актив имеет свою стоимость, а атака на актив — свои последствия.

Под угрозой понимается атака или событие (к примеру, природное явление), которое приносит ущерб активу. Но угрозе не совершиться, если нет уязвимости — особенности в защите предприятия, которую можно использовать ему во вред.

Риск — это вероятность совершения угрозы через существующую уязвимость, помноженная на сумму, в которую оценивается ущерб, нанесённый активу. Чем выше вероятность и выше стоимость, тем выше риск, и наоборот. Некоторые риски с высокой стоимостью ущерба, как падение метеорита, будут низкими из-за очень малой вероятности осуществления.

Поэтому в политике информационной безопасности не встретить ответственного за действия при падении метеорита лица — и при этом часто можно увидеть ответственного при кибернетической атаке.

Политика информационной безопасности предприятия — это документ, в котором:

  • определяются основные термины безопасности, например «информационная безопасность», «защита информации»;
  • прописываются основные риски и ситуации, возникающие при реализации рисков;
  • определяются общие требования для предотвращения реализации рисков, детектирования, реагирования и восстановления в случае, если риск всё-таки осуществится.

В политике безопасности можно встретить список действий при приёме сотрудника на работу, описание контрольно-пропускной системы, требования, предъявляемые при работе с автоматизированными системами, и другие жизненно важные моменты. Именно этот документ используется в первую очередь при организации защиты информации.

В начало

ЗАЩИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Следует разделять организационные и технические меры защиты. Ведь организация состоит в первую очередь из сотрудников, и только потом из зданий, мебели, компьютеров и другого имущества. Потому важная часть безопасности — это проведение семинаров, составление брошюр о защите собственных данных от утечки.

Это мотивация сотрудников, обеспечение им комфортных условий, а также наличие штрафных мер — важно балансировать между кнутом и пряником, чтобы не получить в результате сотрудника-злоумышленника.

Регулярное проведение аудитов и актуализирование политики безопасности также входит в организационные меры. Необходимо доводить до сотрудников изменения в политике для поддержания уровня защищённости. Уязвимости, выявленные при аудите технических средств, должны учитываться и при необходимости закрываться.

Под техническими методами понимается защита от несанкционированного доступа к информации. Среди технических методов распространены:

СЗИ позволяют контролировать корпоративную среду и быстро реагировать на события, отвечающие признакам реализации угрозы. Контрольно-пропускная система исключит возможность появления стороннего нарушителя, а система видеонаблюдения позволит среагировать или выяснить, если сотрудник делает то, что не должен делать, или находится там, где не должен быть.

Контроль доступа к информационным ресурсам не даст сотруднику безосновательно получить важные сведения, а блокировка излучений усложнит удалённое считывание информации.

Существуют комплексные СЗИ, при установке которые организация может быть уверена — она защищена со всех сторон. Но иногда достаточно установить качественный антивирус со встроенным межсетевым экраном, прочитать лекцию сотрудникам, нанять вахтёра и тем самым закрыть актуальные угрозы, не потратившись на излишний функционал.

Благодаря аудиту и политике информационной безопасности предприятие точно будет знать, что и как необходимо защитить. А значит, организует безопасность по принципу разумной достаточности.

В начало

© 2010-2018 г.г.. Все права защищены.
Материалы, представленные на сайте, имеют ознакомительно-информационный характер и не могут использоваться в качестве руководящих документов

Политики информационной безопасности

Информационная безопасность очень важна при работе с данными в электронном виде. Чтобы свести к минимуму риски потери важной информации, мы рекомендуем придерживаться при работе в Системе простых правил.

Пароль должен быть надёжным

Пароль — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий.

Наиболее надёжный пароль содержит буквы разных регистров, цифры и специальные символы, не содержит логин, содержит не менее 8 символов.

Пример: «12345678» — плохой пароль, который очень легко подобрать. Пароль «LublU-ShkoLu75» — хороший пароль, подобрать его очень сложно.

Нельзя оставлять логин и пароль в общедоступных местах, например, записывать в ежедневнике или приклеивать на монитор компьютера

Злоумышленники могут воспользоваться данными для входа с целью получения конфиденциальной информации, а также разместить от имени пользователя любые материалы, и факт взлома в этом случае будет невозможно отследить, т.к. фактически взлом не происходит.

Нельзя передавать пароль третьим лицам, даже своим коллегам

Если под одним аккаунтом будут работать несколько пользователей, это может привести к потере данных, и невозможно будет установить личность, по чьей вине они пропали. Например, сотрудник может зайти под профилем администратора и неправильно импортировать журнал, тем самым удалив все оценки из Системы. В случае, если права администратора или редактора требуются другому лицу, он должен попросить школьного администратора расширить круг его полномочий.

Нельзя разрешать программному обеспечению «запоминать» логин и пароль в общедоступных местах

При включении функции сохранения пароля интернет-браузер запомнит данные пользователя для входа, и воспользоваться профилем сможет любой желающий, продолживший работать за общедоступным компьютером.

Из учетной записи в школе необходимо выходитьпосле завершения работы

После завершения работы в Системе на общедоступном устройстве (например, на школьном компьютере) необходимо выйти из учётной записи, чтобы никто не смог продолжить работу в Системе от его имени.

Особенно важен выход из учётной записи для педагогов, когда они покидают свое рабочее место в присутствии обучающихся.

Необходимо подтверждать email и номер телефона

Подтверждённый email необходим для защиты страницы. При попытке смены пароля на почту пользователя придёт соответствующее уведомление, и злоумышленник не сможет осуществить взлом.

Также с его помощью можно быстро и самостоятельно восстановить доступ в Систему, если пользователь забудет свой пароль.

Соблюдение простых правил предосторожности помогут избежать потерь информации!

20 ноября 2010

Что такое политика информационной безопасности предприятия?

Политика информационной безопасности — набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных видов угроз.

Политика информационной безопасности является фундаментальным документом по обеспечению всего цикла безопасности информации в компании. Поэтому высшее руководство компании должно быть заинтересовано в знании и четком соблюдении основных ее пунктов всем персоналом компании. Все сотрудники подразделений, отвечающих за режим информационной безопасности компании, должны быть ознакомлены с политикой информационной безопасности под роспись. Ведь на них ляжет ответственность за проверку соблюдения требований политики информационной безопасности и знаний основных ее пунктов персоналом компании в части, что их касается. Также должен быть определен процесс проведения таких проверок, обязанности должностных лиц, осуществляющих такие проверки, и разработан график проверок.

Политика информационной безопасности может быть разработана как для отдельного компонента информационной системы, так и для информационной системы в целом. Политика информационной безопасности должна учитывать следующие особенности информационной системы: технологию обработки информации, вычислительную среда, физическую среду, среду пользователей, правила разграничения доступа и т.д.

Политика информационной безопасности должна обеспечивать комплексное использование правовых, морально-этических норм, организационных и технических мероприятий, программных, аппаратных и программно-аппаратных средств обеспечения информационной безопасности, а также определять правила и порядок их использования. Политика информационной безопасности должна базироваться на следующих принципах: непрерывность защиты, достаточность мероприятий и средств защиты, их соответствие вероятности реализации угроз, рентабельность, гибкость структуры, простота управления и использования и т.д.

Политика безопасности — это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности :

  • определение какие данные и насколько серьезно необходимо защищать,
  • определение кто и какой ущерб может нанести фирме в информационном аспекте,
  • вычисление рисков и определение схемы уменьшения их до приемлимой величины.

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : "Вы — злоумышленник. Ваши действия ?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации.

Политика информационной безопасности организации

Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки".

Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:

  • концепция безопасности информации;
  • определение компонентов и ресурсов информационной системы, которые могут стать источниками нарушения информационной безопасности и уровень их критичности;
  • сопоставление угроз с объектами защиты;
  • оценка рисков;
  • оценка величины возможных убытков, связанных с реализацией угроз;
  • оценка расходов на построение системы информационной безопасности;
  • определение требований к методам и средствам обеспечения информационной безопасности;
  • выбор основных решений обеспечения информационной безопасности;
  • организация проведения восстановительных работ и обеспечение непрерывного функционирования информационной системы;
  • правила разграничения доступа. 

Политика информационной безопасности предприятия очень важна, для обеспечения комплексной безопасности предприятия. Программно-аппаратно её можно внедрять с помощью DLP-решений.

Публикации по теме

29 апреля 2014

MDM-система берет гаджеты под контроль

Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.

28 февраля 2014

Антивирус для смартфона – уже не прихоть, а необходимость

Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.

28 января 2014

Защита для виртуальных систем

По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.

30 декабря 2013

Стремительная эволюция систем Endpoint Security

Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.

Dec. 4, 2017

Проблема информационной безопасности в последние годы остро встаёт перед пользователями Интернета.

Каждый старается защититься от злоумышленника всеми возможными способами от регулярного изменения пароля до установки пассивных и активных средств защиты. Такие средства занимают уйму времени и нередко больших денежных затрат.

Для коммерческих организаций конфиденциальность данных может привести к непоправимым, катастрофическим последствиям. Никто не желает разглашать информацию о своих клиентах, доходах и работе компании. Утечка такой информации нанесёт сильный удар по имиджу компании, или, куда хуже, учинит финансовый ущерб.

Одним из эффективных средств борьбы с нарушением конфиденциальности является введение корпоративной политики информационной безопасности.

Основная цель политики – защита всей информации, связанной с деятельностью организации.

Лекция. Политика информационной безопасности предприятия

Политика позволит перекрыть все способы утечки данных и минимизировать риски.

В первую очередь руководство компании должно понимать, что простому пользователю нет дела до рисков компании. Им без разницы украдут данные хакеры компаний конкурентов или потребуют с вас деньги за расшифровку заблокированной информации. Иначе она попадёт в нежелательные руки. А это значит, что руководитель должен сам обезопасить себя от нежелательных ситуаций. Учреждение политики информационной безопасности обяжет всех сотрудников компании выполнять меры защиты, которыми обычно пренебрегают. Правильная настройка и техническое сопровождение, автоматизирует большую часть работы, такую как создание новых пользователей с корректными правами доступа, систему резервирования данных на случай случайного или преднамеренного удаления какой – либо информации.

Важный фактор при разработке политики – целевая аудитория. Обычные пользователи, которые буду следовать указаниям не понимают технических терминов, поэтому нужно включить в документ самое важное: цели, методы их достижения и ответственность – материалы понятные любому сотруднику.

Утвердив политику безопасности организации надо ознакомить с ней всех сотрудников, не забывая о новых. Провести анализ бизнес – процессов, чтобы выявить и минимизировать риски, и участвовать в создании новых процессов. К тому же понадобится разработать дополнительные документы (инструкции, процедуры) и проводить проверку политики с целью усовершенствования.

Угрозу информационной безопасности можно ликвидировать ещё до её зарождения, не допуская злоумышленников к секретным данным компании.

Anexa nr. __________

la Ordinul nr. __________

din ____ __________ 2009

Технический регламент

Обеспечение информационной безопасности при предоставлении электронных публичных услуг.
Технические требования

1 Область применения

Настоящий технический регламент разработан как составной компонент законодательной базы для регламентирования сферы информационно-коммуникационных технологий, поддержания национальной стратегии создания информационного общества, а также внедрения информационно-коммуникационных технологий во все сферы взаимодействия государства, бизнеса и общества.

В данном техническом регламенте установлены основные требования к процессу предоставления электронных публичных услуг (далее – публичные услуги), связанные с обеспечением безопасности информационных ресурсов, информационных систем (ИС) и с оценкой соответствия этим требованиям, и определены требования, которые необходимо выполнять для организации и поддержки процесса управления безопасностью информации при предоставлении публичных услуг.

Целью регламента является описание методик, способов и средств обеспечения безопасности при предоставлении публичных услуг в общенациональном информационном пространстве, а также выполнение требований по безопасности, закрепленных в cоглашениях с заказчиками и пользователями услуг и в действующем законодательстве Республики Молдова, и обеспечение принятого минимального уровня обеспечения информационной безопасности при оказании публичных услуг.

Обеспечение безопасности процесса предоставления публичных услуг в Республике Молдова является составной частью государственной политики построения информационного общества, повышения эффективности публичного управления и обеспечение высокого уровня качества системы предоставления публичных услуг.

Настоящий регламент применяется для управления и обеспечения безопасности информационных ресурсов и систем, аппаратных и программных средств, а также телекоммуникационных средств, участвующих в процессе предоставления публичных услуг, нарушение безопасности которых может привести к существенному ущербу для пользователей публичных услуг, общества и государства.

2 Нормативно-правовая база

Настоящий документ разработан на основе следующих законодательных актов Республики Молдова:

                  — Закон Республики Молдова «О доступе к информации» № 982-XIV от 11.05.2000;

                  — Закон Республики Молдова «Об оценке соответствия продукции» № 186 от 24.04.2003;

                  — Закон Республики Молдова «Об информатизации и государственных информационных ресурсах» № 467-XV от 21.11.2003;

                  — Закон Республики Молдова «Об электронном документе и цифровой подписи» № 264-XV от 15.07.2004;

                  — Закон Республики Молдова «Об электронной торговле» № 284-XV от 22.07.2004;

                  — Закон Республики Молдова «О техническом регулировании» № 420–XVI от 22.12.2006;

                  — Закон Республики Молдова «О защите персональных данных» № 17-XVI от 15.02.2007;

                  — Закон Республики Молдова «О государственной тайне» № 245 от 27.11.2008;

                  — Закон Республики Молдова «О регистрах» № 71-XVI от 22.03.2007.

3 Терминология

В настоящем регламенте применяются следующие термины:

Санкционированный доступ к информации – доступ к информации, не нарушающий правила разграничения доступа.

Несанкционированный доступ – получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или владельцем информации прав или правил доступа к защищаемой информации.

Соглашение об уровне услуг – письменное соглашение между поставщиком услуг и заказчиком (заказчиками), которое описывает согласованные уровни обслуживания по какой-либо услуге.

Алгоритм – точное предписание совершения определенной последовательности действий для достижения поставленной цели за конечное число шагов.

Алгоритмы асимметричного шифрования – алгоритмы шифрования, в которых для шифрования и дешифрования используются два разных ключа, называемые открытым и закрытым ключами, причем, зная один из ключей, вычислить другой невозможно.

Алгоритмы симметричного шифрования – алгоритмы шифрования, в которых для шифрования и дешифрования используется один и тот же ключ или ключ дешифрования легко может быть получен из ключа шифрования.

Криптографический алгоритм – алгоритм преобразования данных, являющийся полностью или частично секретным и использующий при работе набор секретных параметров.

Архитектура информационной системы — это набор ключевых решений по организации информационной системы, а также набор структурных элементов и интерфейсов, из которых она состоит, вместе с поведением, описываемым в терминах коопераций этих элементов.

Аттестация – форма оценки соответствия процесса эксплуатации информационной системы требованиям безопасности.

Аутентичность — свойство данных быть подлинными, что означает, что данные были созданы законными участниками информационного процесса, и данные не подвергались случайным или преднамеренным искажениям.

Требования безопасности – требования, предъявляемые к информационным технологиям, реализация которых обеспечивает конфиденциальность, целостность и доступность информации.

Криптографический ключ – параметр, используемый криптографическим алгоритмом.

Шифрование – процесс преобразования открытых данных в зашифрованные данные при помощи шифра.

Конфиденциальность – обеспечение доступа к информации только авторизованным пользователям.

Конфигурация – совокупность объектов информационной системы.

Дешифрование – процесс преобразования зашифрованных данных в открытые данные при помощи шифра.

Доступность – обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Экранирование – средство разграничения доступа клиентов из одного множества к серверам из другого множества для контроля информационных потоков.

Оценка рисков – оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения.

Дискретное (избирательное) управление доступом — разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.

Аппаратное обеспечение — оборудование, используемое для ввода, обработки и вывода данных в информационных системах.

Инцидент – одно или серия нежелательных или неожиданных событий в системе защиты информации, которые имеют большой шанс скомпрометировать стандартные операции и поставить под угрозу защиту информации.

Инфраструктура, основанная на открытых ключах – совокупность программно-аппаратных средств, политик, процедур и законных обязательств, которые обеспечивают внедрение и функционирование криптографических систем открытых ключей, основанных на сертификатах для обеспечения безопасности сообщений (конфиденциальность, целостность, аутентичность, неотказуемость) с обеих сторон.

ИТ инфраструктура — совокупность информационно-вычислительных центров, банков данных и знаний интегрированной автоматизированной системы связи и организации, которая обеспечивает пользователям общие условия доступа к хранящейся информации.

Целостность – обеспечение достоверности и полноты информации и методов ее обработки.

Мандатное управление доступом основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.

Среда функционирования — среда, в которой функционирует информационная система.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ

Метка чувствительности — определенные маркировки информационных ресурсов и систем, например, степень секретности, категории.

Средства обеспечения безопасности — аппаратные, программно-аппаратные и программные средства, реализующие совокупность функций, обеспечивающих выполнение требований по защите информации и по контролю эффективности защиты информации.

Средство управления конфигурациями – программный продукт, обеспечивающий автоматизацию поддержки изменений, конфигураций и контроля версий.

Средство криптографической защиты информации – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, используемые для защиты целостности и конфиденциальности информации.

Криптографический модуль – совокупность аппаратного, программного обеспечения или некоторая их комбинация, которая реализует криптографическую логику или процессы защиты, включая криптографические алгоритмы или генерацию ключей, и содержится внутри некоторого физического объема.

Мониторинг – процесс сбора, анализа данных, представления отчетов по выполнению работ.

Неотказуемость — невозможность отказаться от совершенных действий.

Аутентификационный пакет — механизм подтверждения подлинности заявляемого идентификатора пользователя.

Гриф секретности – отметка, проставляемая на материальном носителе сведений, отнесенных к государственной тайне, и/или указанная в сопроводительной документации к ним, подтверждающая степень секретности сведений, содержащихся в их носителе.

Угроза – совокупность потенциально возможных событий и действий, реализация которых приносит ущерб информационным ресурсам или информационной инфраструктуре.

Предоставление публичных услуг – набор взаимосвязанных процессов, направленных на достижение целей – взаимодействие между субъектами электронного правления, осуществляющегося по двум четким контурам — внутреннему и внешнему, сообщающимся между собой через правительственный портал.

Политика управления доступом — правила предоставления доступа к компьютерным системам и сети отдельным пользователям.

Политика информационной безопасности – набор правил или процедур, предписанных организацией для защиты чувствительных данных.

Профиль защиты — жестко структурированный документ, содержащий требования безопасности для определенного класса программно-технических средств.

Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения — субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных действующим законодательством.

Защита информации — совокупность организационно-технических мероприятий, программно-аппаратных средств и нормативных актов, используемых для сохранения конфиденциальности, целостности и доступности информации, а также для обеспечения неотказуемости.

Криптографическая защита – защита информационных процессов от целенаправленных попыток отклонить их от нормальных условий протекания.

Риск – внутреннее или внешнее воздействие на систему, которое может неблагоприятно повлиять на область проекта или привести к его провалу.

Актив – совокупность материальных благ принадлежащих одному предприятию или организации (информационные, технические, программные и другие ресурсы, входящие в состав информационных систем).

Безопасность информационных систем – состояние информационных систем, обеспечивающее ее применение на объектах эксплуатации, при котором отсутствует недопустимый риск, связанный с причинением ущерба личности, обществу и государства.

Публичная услуга – услуга, которая обуславливает три типа взаимодействия составляющих электронного правления: взаимодействие «Правительство — Гражданин» (G2C); взаимодействие «Правительство — Бизнес» (G2B); взаимодействие «Правительство — Правительство» (G2G) с подкатегорией «Взаимодействие Правительства и его сотрудников» (G2E).

Информационная система — совокупность программных и аппаратных средств, предназначенных для сбора, обработки, хранения и распространения информации, информационных ресурсов с целью поддержки принятия решений, управления, анализа и увеличения наглядности в организации.

Программное обеспечение — совокупность программ системы обработки информации и программных документов, необходимых для эксплуатации этих программ.

Туннеллирование – применение специального протокола, с помощью которого два удаленных офиса организовывают между собой безопасный туннель (сеанс связи), в результате чего данные передаются между сетями.

Уязвимость – слабое место в системе, используя которое, возможно вызвать ее неправильную работу.

Политика информационной безопасности компании

Пример политики

Далее приведен пример политики информационной безопасности, показывающий ее структуру и пример содержания.

Политика информационной безопасности (Пример)

Краткое изложение политики

Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.

Введение

Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.

Информационная безопасность — это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.

Область действия

Данная политика подкрепляет общую политику безопасности организации.
Данная политика применяется ко всем сотрудникам организации.

Цели информационной безопасности

1. Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.

2. Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.

3. Сохранение целостности материалов бухгалтерского учета.

4. Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.

Принципы информационной безопасности

1. Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.

2. Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении своих должностных обязанностей.

3. Необходимо принять меры для финансирования средств управления информационной безопасностью и процессов управления проектами.

4. Возможности мошенничества и злоупотреблений в области информационных систем должны быть приняты в расчет при общем управлении информационными системами.

5. Отчеты о состоянии информационной безопасности должны быть доступны.

6. Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.

7. Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.

8. Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.

Сферы ответственности

1. Группа руководителей высшего эвена отвечает за обеспечение соответствующей проработки информации во всей организации.

2. Каждый руководитель высшего звена отвечает за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации.

3. Начальник отела безопасности консультирует группу руководителей высшего звена, оказывает экспертную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.

4. Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.

Ключевые результаты

1. Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.

2. Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.

3. Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг

Связанные политики

Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информационной безопасности:

1. Политика системы менеджмента информационной безопасности (СМИБ);

2. Политика контроля доступа;

3. Политика чистого стола и чистого экрана;

4. Политика неразрешенного программного обеспечения;

5. Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них;

6. Политика, касающаяся мобильного кода;

7. Политика резервного копирования;

8. Политика, касающаяся обмена информацией между организациями;

9. Политика, касающаяся допустимого использования электронных средств связи;

10. Политика сохранения записей;

11. Политика использования сетевых служб;

12. Политика, касающаяся мобильных вычислений и связи;

13. Политика дистанционной работы;

14. Политика использования криптографического контроля;

15. Политика соответствия;

16. Политика лицензирования программного обеспечения;

17. Политика удаления программного обеспечения;

18. Политика защиты и секретности данных.

Все эти политики подкрепляют:

· идентификацию риска путем предоставления основы средств управления, которые могут использоваться для обнаружения недостатков в проектировании и внедрении систем;

· обработку риска путем оказания помощи в определении способов обработки для определенных уязвимостей и угроз.

 

Политика информационной безопасности компании

Содержание

· 1. Общие положения

o 1.1. Цель и назначение настоящей Политики

o 1.2. Область применения настоящей Политики

· 2. Требования и рекомендации

o 2.1. Ответственность за информационные активы

o 2.2. Контроль доступа к информационным системам

§ 2.2.1. Общие положения

§ 2.2.2. Доступ третьих лиц к системам Компании

§ 2.2.3. Удаленный доступ

§ 2.2.4. Доступ к сети Интернет

o 2.3. Защита оборудования

§ 2.3.1. Аппаратное обеспечение

§ 2.3.2. Программное обеспечение

o 2.4. Рекомендуемые правила пользования электронной почтой

o 2.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность

o 2.6.

Что такое политика информационной безопасности предприятия?

Помещения с техническими средствами информационной безопасности

o 2.7. Управление сетью

o 2.7.1. Защита и сохранность данных

o 2.8. Разработка систем и управление внесением изменений

Общие положения

Информация является ценным и жизненно важным ресурсом ВАША_КОПАНИЯ (далее – Компания). Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных в Компании.

Ответственность за соблюдение информационной безопасности несет каждый сотрудник Компании, при этом первоочередной задачей является обеспечение безопасности всех активов Компании. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив Компании. Главные цели Компании не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.

В настоящей Политике под термином "сотрудник" понимаются все сотрудники Компании. На лиц, работающих в Компании по договорам гражданско-правового характера, в том числе прикомандированных, положения настоящей Политики распространяются в случае, если это обусловлено в таком договоре.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *