20 ноября 2010
Что такое политика информационной безопасности предприятия?
Политика информационной безопасности - набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных видов угроз.
Политика информационной безопасности является фундаментальным документом по обеспечению всего цикла безопасности информации в компании. Поэтому высшее руководство компании должно быть заинтересовано в знании и четком соблюдении основных ее пунктов всем персоналом компании. Все сотрудники подразделений, отвечающих за режим информационной безопасности компании, должны быть ознакомлены с политикой информационной безопасности под роспись. Ведь на них ляжет ответственность за проверку соблюдения требований политики информационной безопасности и знаний основных ее пунктов персоналом компании в части, что их касается. Также должен быть определен процесс проведения таких проверок, обязанности должностных лиц, осуществляющих такие проверки, и разработан график проверок.
Политика информационной безопасности может быть разработана как для отдельного компонента информационной системы, так и для информационной системы в целом. Политика информационной безопасности должна учитывать следующие особенности информационной системы: технологию обработки информации, вычислительную среда, физическую среду, среду пользователей, правила разграничения доступа и т.д.
Политика информационной безопасности должна обеспечивать комплексное использование правовых, морально-этических норм, организационных и технических мероприятий, программных, аппаратных и программно-аппаратных средств обеспечения информационной безопасности, а также определять правила и порядок их использования. Политика информационной безопасности должна базироваться на следующих принципах: непрерывность защиты, достаточность мероприятий и средств защиты, их соответствие вероятности реализации угроз, рентабельность, гибкость структуры, простота управления и использования и т.д.
Политика безопасности - это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности :
- определение какие данные и насколько серьезно необходимо защищать,
- определение кто и какой ущерб может нанести фирме в информационном аспекте,
- вычисление рисков и определение схемы уменьшения их до приемлимой величины.
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : "Вы - злоумышленник. Ваши действия ?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.
Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки".
Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:
концепция безопасности информации;- определение компонентов и ресурсов информационной системы, которые могут стать источниками нарушения информационной безопасности и уровень их критичности;
- сопоставление угроз с объектами защиты;
- оценка рисков;
- оценка величины возможных убытков, связанных с реализацией угроз;
- оценка расходов на построение системы информационной безопасности;
- определение требований к методам и средствам обеспечения информационной безопасности;
- выбор основных решений обеспечения информационной безопасности;
- организация проведения восстановительных работ и обеспечение непрерывного функционирования информационной системы;
- правила разграничения доступа.
Политика информационной безопасности предприятия очень важна, для обеспечения комплексной безопасности предприятия. Программно-аппаратно её можно внедрять с помощью DLP-решений.
Публикации по теме
|
|
|
29 апреля 2014
Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
|
 |
28 февраля 2014
Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.
|
 |
28 января 2014
По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.
|
 |
30 декабря 2013
Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
|
 |
