Лабораторная работа 8. Разработка политики информационной безопасности

Политика безопасности (информации в организации) (Organizational security policy) – это совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

В дополнение к требованиям и рекомендациям стандартов, законам и иным руководящим документам приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких как: ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия.

Эффективная информационная безопасность требует соответствующего участия персонала. Персонал ответственен за свои действия и, следовательно, отвечает за все события и последствия под своим идентификационным кодом пользователя (логин/пароль). Придерживаться политик и процедур доступа к сетям и системам – обязанность персонала. Доступ к любым внешним Интернет-сервисам от имени компании равно как и доступ с помощью посторонних ИТ ресурсов к бизнесу компании не компенсируется, не существует без обязательств, ответственности и согласия компании.

Общее содержание политики разрешения доступа к технологическим ресурсам.

Весь персонал, допущенный к работе с ИТ ресурсами компании, должен:

-иметь соответствующую компьютерную подготовку;

-пройти тестовый контроль и, при необходимости, обучение работе с корпоративными информационными системами;

-получить и иметь авторизованный доступ к выделенным ему ресурсам ;

-ознакомиться и соблюдать политики безопасности, установленные компании.

Службы по подбору персонала, руководители подразделений, отдел кадров, бухгалтерия и др. обязаны согласовывать любые действия по регламентированию, подбору, перемещению, увольнению вышеуказанного персонала с ИТ подразделением и его службой ИБ, строить свою работу с учетом настоящей политики.

ИТ подразделение обязано провести тестовый контроль каждого нового или перемещаемого сотрудника на возможность допуска к ИТ ресурсам компании, а в случае положительного решения провести следующие мероприятия по обеспечению доступа:

-ознакомить с политиками ИБ компании (под роспись);

-разъяснить структуру, состав и организацию информационной системы в рамках должностных обязанностей нового сотрудника;

-разъяснить пределы компьютерной самопомощи, после которой персонал может обращаться в службу поддержки HelpDesk;

-выделить ему информационные ресурсы и пространство, наделить (зарегистрировать, авторизовать) его идентификационным(и) номером (ами), паролем (ями), правами согласно Политике паролей;

-произвести настройки для пользования e-mail, Интернет и другими внешними ресурсами; выдать имеющиеся инструкции, распоряжения, руководства, касающиеся его будущей работы с ИТ ресурсами;

-у увольняемого сотрудника – принять ресурсы и дезактивировать его авторизацию.

Обслуживаемые ИТ подразделением технологические ресурсы должны быть настроены для аутентификации (идентификации и авторизации) конечных пользователей.

Обучение персонала работе с новыми приложениями может осуществляться с участием сторонних организаций.

При приеме на работу персонал должен быть инструктирован по вопросам режима в помещениях, хранения, обмена, подготовки бумажных/электронных документов, пользования факсом, междугородней и международной связью, а также по пожарной и электробезопасности.