- •Управление информационной безопасностью
- •Основные программно-технические меры
- •Идентификация и аутентификация
- •Наиболее распространенные угрозы
- •Общая структура управления иб на предприятии
- •Общие принципы Управления информационной безопасностью на государственном уровне
- •Операционные регуляторы
- •Управление персоналом
- •Физическая защита
- •Организационная структура, персонал и основные задачи департамента информационной безопасности предприятия
- •Основные задачи
- •Операционные регуляторы
- •Планирование восстановительных работ
- •Операционные регуляторы
- •Поддержание работоспособности
- •Политика безопасности в примерах
- •Описание аспекта.
- •Область применения.
- •Позиция организации.
- •Роли и обязанности (общие положения).
- •Законопослушность.
- •Роли и обязанности (детальное изложение). Руководители подразделений обязаны:
- •Администраторы локальной сети обязаны:
- •Администраторы сервисов обязаны:
- •Пользователи обязаны:
- •Политика информационной безопасности предприятия: верхний уровень
- •Политика информационной безопасности предприятия: нижний уровень
- •Политика информационной безопасности предприятия: средний уровень
- •1. Предварительное обследование системы иб.
- •Предпосылки развития управления иб предприятии
- •Программа реализации политики безопасности — управленческий аспект
- •2. Проектирование системы иб.
- •Основные программно-технические меры
- •Протоколирование и аудит
- •Работа с персоналом предприятия
- •Операционные регуляторы
- •Реакция на нарушения режима безопасности
- •Структура организационного обеспечения информационной безопасности на уровне государств
- •Структура политики информационной безопасности и процесс ее разработки
- •Основные программно-технические меры
- •Управление доступом
- •Управление рисками
- •Функции Департамента информационной безопасности, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия
Пользователи обязаны:
Знать и соблюдать законы, правила, принятые в XYZ, политику безопасности, процедуры безопасности.
Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.
Использовать механизм защиты файлов и должным образом задавать права доступа.
Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.
Помогать другим пользователям соблюдать меры безопасности. Указывать им на замеченные упущения с их стороны.
Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.
Не использовать слабости в защите сервисов и локальной сети в целом.
Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.
Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.
Обеспечивать резервное копирование информации с жесткого диска своего компьютера.
Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут использоваться.
Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.
Знать слабости, которые используются для неавторизованного доступа.
Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.
Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.
Таковы основные положения, касающиеся политики безопасности.
32-Политика ИБ предприятия верхний уровень
Политика информационной безопасности предприятия: верхний уровень
Политика информационной безопасности верхнего уровня фактически является декларацией руководителей и/или собственников предприятия о необходимости вести целенаправленную работу по защите информационных ресурсов, что должно стать основой для более успешного функционирования предприятия в основном направлении его деятельности, а также устранить различные риски, которые могут привести к финансовым потерям, ущербу для репутации предприятия, административному и уголовному преследованию руководителей и другим негативным последствиям.
Политика информационной безопасности на этом уровне может определять и описывать:
собственно решение об осуществлении целенаправленной систематической деятельности по обеспечению информационной безопасности предприятия;
перечень основных информационных ресурсов, таких как информационные системы, массивы данных, информация об отдельных фактах и явлениях (конструкторских разработках, коммерческих сделках, результатах НИОКР и т.п.), защита которых имеет наибольший приоритет для всего предприятия;
общий подход к распределению ответственности за обеспечение информационной безопасности внутри организации;
указание на необходимость для всего персонала соблюдать определенные меры предосторожности при работе с информацией и информационными системами, повышать свою квалификацию в данной области и осознавать меру ответственности за возможные нарушения;
отношение руководства предприятия к фактам нарушения требований по обеспечению информационной безопасности и лицам, совершающим такие нарушения, а также общий подход к их преследованию в случае выявления таких фактов.
Одной из задач политики верхнего уровня является формулирование и демонстрация того, что защита информации является одним из ключевых механизмов обеспечения конкурентоспособности предприятия и обуславливает как его способность достигать поставленные цели, так иногда и способность выживания и сохранения возможности продолжать деятельность. Для этого могут быть обозначены приоритетные направления хозяйственной деятельности и соответствующие им информационные системы и потоки информации, описана причинно-следственная связь между возможными нарушениями конфиденциальности и/или нарушениями в стабильной работе информационных систем, с одной стороны, и нарушениями нормального хода текущих хозяйственных операций, с другой стороны. На основе этого могут быть определены приоритетные направления деятельности по обеспечению информационной безопасности. В наибольшей степени зависимость общей эффективности деятельности от информационной безопасности характерна для таких компаний, которые:
занимаются т.н. электронной коммерцией или работают в смежных сферах (электронные платежи, Интернет-реклама и т.п.);
непосредственно связаны с оборотом (созданием, куплей-продажей, охраной, оценкой) объектов интеллектуальной собственности и, в частности, наукоемких технологий;
непосредственно связаны с обращением больших объемов информации, составляющей тайну других лиц (банки, медицинские учреждения, аудиторские компании и т.п.).
При этом работа над политикой информационной безопасности должна включать в себя не только ее начальную разработку, но и постоянный мониторинг угроз, изменений во внешней среде для последующего уточнения (или даже полной переработки) политики в соответствии с изменившимися условиями работы.
33-Политика ИБ предприятия нижний уровень