|
Политика безопасности - это совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обеспечения безопасности информации.
Для того, чтобы сформировать и определить Вашу политику информационной безопасности, Вам понадобятся следующие исходные данные:
- Необходимо определить информацию которая подлежит защите и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией
- Определить топологии средств автоматизации (физической и логической)
- Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа
- Определить угрозы безопасности информации и создать модель нарушителя
- Обнаружить и описать известные угроз и уязвимости
- Расположить угрозы по убыванию уровня уровня риска (провести анализ рисков)
Так же, необходимо описать общую характеристику и специализацию организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня уровня риска).
Необходимо описать организационно-штатню структуру организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений). Так же составляется общее описание рабочего процесса,
технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполненяется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации.
Должны быть описаны так же следующие данные:
Используемые на предприятии средства вычислительной техники и программное обеспечение
- Сведения об используемых СВТ (описание аппаратных средств, коммуникационного оборудования удаленного доступа)
- Сведения об используемом общем ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение)
- Сведения об используемом специальном ПО (наименование и назначение, фирма разработчик, аппаратные требования, функциональные возможности, размещение)
Организация и структура информационных потоков и их взаимодействие
- Топология ЛВС
- Схема коммуникационных связей
- Структура и состав потоков данных (еречень входных информационных объектов и их источники, перечень выходных информационных объектов и их получатели, перечень внутренних информационных объектов)
- Организация хранения данных
Общая характеристика автоматизированных систем организации
- Расположение ЛВС
- Технические и программные средства ЛВС (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации)
- Технические и программные средства доступа к ЛВС из сетей общего доступа
- Принадлежность и типы каналов связи
- Сетевые протоколы удаленного доступа
Угрозы информационной безопасности
- Сведения о распределении обязанностей и инструкциях по обработке и защите информации
- Вероятные угрозы (угроза, ее вероятность и возможный ущерб)
- Применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты)
По окончании, Вы получите документ «Политика информационной безопасности организации», который определяет:
- Само понятие информационной безопасности и ее основных составляющих и используемых понятий
- Цели и принципы информационной безопасности
- Разъяснение политики безопасности, принципов, стандартов и требований к ее соблюдению (основные направления, способы и требования по обеспечению безопасности информации, выполнение правовых и договорных требований, требования к обучению персонала правилам безопасности, политику предупреждения и обнаружения вирусов, политику обеспечения бесперебойной работы организации)
- Определение общих и конкретных обязанностей должностных лиц организации по обеспечению информационной безопасности, включая уведомления о случаях нарушения защиты
- Перечень документов, выпускаемых в поддержку политики безопасности (положения, инструкции, регламенты и т.п.)
Для обеспечения ИТ-безопасности в организации, следует придерживаться таких правил, инструкций и требований, как:
- Правила парольной защиты
- Правила защиты от вирусов и злонамеренного программного обеспечения
- Требования по контролю за физическим доступом
- Требования по физической защите оборудования
- Инструкция по безопасному уничтожению информации или оборудования
- Инструкция по безопасности рабочего места (документов на рабочем столе и на экране монитора)
- Правила осуществления локального и удаленного доступа
- Требования резервного сохранения информации
- Требования мониторинга
- Требования при обращении с носителями данных
- Требования по проверке прав пользователей
- Правила использования системных утилит
- Правила удаленной работы мобильных пользователей
- Распределение ответственности при обеспечении безопасности
- Правила контроля вносимых изменений
К инструкциям можно добавить, что это "Инструкция по приему на работу и допуску новых сотрудников к работе в АС и наделения их необходимыми полномочиями по доступу к ресурсам системы", "Инструкция по увольнению работников и лишения их прав доступа в систему" и "Инстукция по действиям различных категорий персонала, включая сотрудников отдела безопасности информации, по ликвидации последствий кризисных ситуаций, в случае их возникновения"
|
|