Политики информационной безопасности

В интересах любого руководителя создать эффективные политики безопасности  на предприятии. Когда в компании нет формализованных правил и контроля дисциплины, это вызывает определенные проблемы, связанные с эффективностью как отдельно взятого сотрудника, так и организации в целом.  Темпы развития бизнеса и технологий зачастую значительно опережают темпы разработки нормативно-правовой базы. Даже если происходят изменения в документах, остается проблема доведения их к сведенью пользователей и контроля уровня знаний.

Такая ситуация приводит к необходимости, помимо законов Украины и других нормативных документов в этой области, использовать ряд международных рекомендаций. В том числе адаптировать их к конкретному предприятию и применять на практике методики международных стандартов, таких как: ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и другие. Задача использования методик управления информационными рисками в совокупности с оценками экономической эффективности инвестиций для обеспечения защиты информации предприятия значительно усложняется, учитывая специфические требования бизнеса.

Требования стандартов для работы бизнеса, как правило, избыточны. Исходя из опыта, компания Brainkeeper выделяет следующие ключевые риски современного бизнеса:

Потеря данных организации:

  • Потеря данных из-за сбоя оборудования
  • Потеря данных из-за человеческого фактора (несанкционированное уничтожение информации пользователем, потеря или изъятие носителей информации)

Временная недоступность сервисов, простой в работе:

  • Невозможность работать из-за сбоя сети и систем
  • Вирусные эпидемии, сетевые атаки, уязвимости программного обеспечения.

Утечка информации:

  • Возможность выноса информации сотрудниками компании (особенно при увольнении)
  • Возможность сотрудника просматривать и копировать все файлы организации.

Потеря рабочего времени сотрудников

  • Использование рабочего времени и интернет в личных целях (социальные сети, он-лайн игры, icq, skype)

Данная задача уже не нова, и эффективные решения для предприятия можно применить без длительного изучения международных стандартов безопасности. Решить проблемы информационной безопасности компании можно, обратившись к помощи квалифицированных специалистов. Затраты на проведение работ при этом будут значительно ниже, чем время, потраченное на изучение документов и технических средств, подготовку необходимых политик, экономических обоснований.

Техническое описание:

Предлагаемая методика разработки политики информационной безопасности (ИБ) предприятия позволяет полностью проанализировать и документально оформить требования бизнеса к этим процессам. Экономическая оценка обоснований технических и организационных мероприятий защиты позволяет избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, а также оказать помощь в планировании и осуществлении защиты на всех стадиях бизнес процессов.

Главная цель любой системы ИБ заключается в обеспечении устойчивого функционирования объекта в разрезе критериев оценки:

  1. Конфиденциальность– информация должна быть доступна только тем, кто с ней должен работать.
  2. Целостность– информация должна изменяться только легитимными методами.
  3. Доступность– информация должна быть доступна на всех этапах технологических процессов для успешной работы бизнеса.
  4. Наблюдаемость– любые изменения информации не должны происходить бесследно.

Для достижения этих целей с детализацией, необходимой и достаточной для бизнеса, проводится аудит безопасности на предприятии. Это недорогое, но эффективное, мероприятие позволяет получить в форме интервью и обследования объектов защиты ожидания бизнеса от безопасности и перечень применяемых мер. В результате аудита руководство предприятия получает объективную картину положения дел ИБ и рекомендации по применению лучших практик международных стандартов.

Такие рекомендации могут содержать обновление политик безопасности, или же обоснование для их создания. Типичные политики безопасности для современного предприятия:

  1. Положение о безопасности на предприятии
  2. Политика антивирусной защиты
  3. Политика ПК (стандартизация программного обеспечения и настроек операционных систем)
  4. Политика назначения прав пользователю ЛВС
  5. Руководство по физической безопасности (регламентированный доступ к помещениям, планы эвакуации, журналы учета вскрытия помещений, инструкция для персонала, пожарная безопасность)

Для небольших предприятий характерно меньшее количество политик, но большего объема:

  1. Положение о безопасности на предприятии
  2. Инструкция пользователя

Если ограничить действия пользователей лишь административно без технической реализации, то такая политика будет наносить больше вреда, чем пользы. Такой реализацией могут послужить:

  1. Антивирусное ПО
  2. Управление пользователями (Active Directory)
  3. Межсетевые экраны
  4. Системы контроля доступа к помещениям

Важно понимать, что перед внедрением каких-либо технических или организационных мер по защите информации, необходимо разработать политики безопасности, адекватные целям и задачам бизнеса предприятия. Например, одна из политик безопасности должна описывать порядок предоставления и использования прав пользователей, а также требования ответственности пользователей за свои действия на предприятии. Система ИБ будет эффективной, если политики, определяющие требования, средства, реализующие политики, и бизнес задачи предприятия гармонично дополняют друг друга в достижении общих целей.
 
 
Copyright © Brainkeeper. Designed by Visualizers, developed by Gyrus Solutions.