Политика безопасности - это совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обеспечения безопасности информации.
Для того, чтобы сформировать и определить Вашу политику информационной безопасности, Вам понадобятся следующие исходные данные:
- Необходимо определить информацию которая подлежит защите и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией
- Определить топологии средств автоматизации (физической и логической)
- Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа
- Определить угрозы безопасности информации и создать модель нарушителя
- Обнаружить и описать известные угроз и уязвимости
- Расположить угрозы по убыванию уровня уровня риска (провести анализ рисков)
Так же, необходимо описать общую характеристику и специализацию организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня уровня риска).
Необходимо описать организационно-штатню структуру организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений). Так же составляется общее описание рабочего процесса,
технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполненяется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации.
Должны быть описаны так же следующие данные:
Используемые на предприятии средства вычислительной техники и программное обеспечение
- Сведения об используемых СВТ (описание аппаратных средств, коммуникационного оборудования удаленного доступа)
- Сведения об используемом общем ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение)
- Сведения об используемом специальном ПО (наименование и назначение, фирма разработчик, аппаратные требования, функциональные возможности, размещение)
Организация и структура информационных потоков и их взаимодействие
- Топология ЛВС
- Схема коммуникационных связей
- Структура и состав потоков данных (еречень входных информационных объектов и их источники, перечень выходных информационных объектов и их получатели, перечень внутренних информационных объектов)
- Организация хранения данных
Общая характеристика автоматизированных систем организации
- Расположение ЛВС
- Технические и программные средства ЛВС (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации)
- Технические и программные средства доступа к ЛВС из сетей общего доступа
- Принадлежность и типы каналов связи
- Сетевые протоколы удаленного доступа
Угрозы информационной безопасности
- Сведения о распределении обязанностей и инструкциях по обработке и защите информации
- Вероятные угрозы (угроза, ее вероятность и возможный ущерб)
- Применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты)
|