Содержание
- 1 Обеспечение информационной безопасности
- 2 Политика информационной безопасности — опыт разработки и рекомендации
- 3 Политики информационной безопасности компании
- 3.1 Для чего нужна формализация защиты информации
- 3.2 Несостоявшиеся политики
- 3.3 Разработка эффективной системы информационной безопасности
- 3.4 Структура концепции защиты
- 3.5 Перечень основных требований к документации по безопасности
- 3.6 Организация и внедрение ИБ
- 3.7 Лица, пытающиеся получить несанкционированный доступ к информации
- 4 Положение о политике информационной безопасности предприятия | Защита информации
- 4.1 Контроль доступа к информационным системам
- 4.2 Доступ третьих лиц к информационной системе предприятия
- 4.3 Удаленный доступ
- 4.4 Доступ в сеть интернет
- 4.5 Аппаратное обеспечение
- 4.6 Программное обеспечение
- 4.7 Рекомендуемые ограничения использования электронной почты
- 4.8 Сообщение об инцидентах, реагирование и отчетность
- 4.9 Помещения с техническими методами защиты
Обеспечение информационной безопасности
Физическая безопасность предприятия обеспечивается круглосуточной охраной объектов предприятия с использованием автоматизированной системы доступа СУДОС. СУДОС – это интегрированная система, обеспечивающая доступ сотрудников предприятия на его объекты с использованием карточек идентификации (с подтверждением подлинности владельца PIN-кодом) и системой видеонаблюдения, мониторы которой выведены на пульт круглосуточной оперативно-диспетчерской службы.
Для обеспечения законных интересов государства и Государственной корпорации по атомной энергии «Росатом» в сфере защиты информации ограниченного доступа (государственной тайны, сведений конфиденциального характера) и открытой информации (разрешенной для публикации), а также с целью сохранения интеллектуальных и материальных ресурсов в Ситуационно-кризисном центре функционирует служба защиты информации.
По данному направлению деятельности ФГУП «СКЦ Росатома» основными задачами службы являются:
- организация, координация и контроль эффективности работ по обеспечению защиты информации ограниченного доступа, а также анализ эффективности проводимых мероприятий;
- защита информации при ее обработке и хранении с использованием средств вычислительной техники;
- закрытие информации ограниченного доступа при ее передаче по каналам связи с использованием средств
- криптографической защиты и электронно-цифровой подписи;
- противодействие техническим средствам разведки и техническая защита информации.
В сфере организации ведомственных защищенных каналов связи ФГУП «СКЦ Росатома» выступает как отраслевой Удостоверяющий Центр, обслуживающий свыше 150 предприятий и более 2 500 пользователей.
По данному направлению деятельности ФГУП «СКЦ Росатома» основными задачами являются:
- организация, координация и контроль эффективности работ по обеспечению защиты информации ограниченного доступа, а также анализ эффективности проводимых мероприятий;
- защита информации при ее обработке и хранении с использованием средств вычислительной техники;
- закрытие информации ограниченного доступа при ее передаче по каналам связи с использованием средств криптографической защиты и электронно-цифровой подписи;
- противодействие техническим средствам разведки и техническая защита информации.
Обеспечение информационной безопасности обеспечивается решением триединой задачи обеспечения конфиденциальности, целостности и доступности информации, обрабатываемой в процессе деятельности предприятия.
Для обеспечения адекватного уровня защиты информации, обрабатываемой в ИКС Госкорпорации, реализован комплекс организационных и технических мер, гарантирующих соответствие системы информационной безопасности современным требованиям.
Основной целью функционирования системы информационной безопасности является защита субъектов информационных отношений от возможного нанесения им материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в информационную инфраструктуру предприятия или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.
Имеющийся перечень угроз безопасности информации предприятия является основой для поддержания режима информационной безопасности, реализуемого на предприятии. Под режимом информационной безопасности понимается совокупность способов и мер защиты циркулирующей в ИКС информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Комплекс мер по формированию режима информационной безопасности информации включает:
- установление организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство);
- выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам (аттестация объектов информатизации);
- организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам предприятия;
- комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий.
Реализованная и поддерживаемая на предприятии система информационной безопасности обеспечивает:
- обеспечение целостности данных – защиты от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;
- обеспечение конфиденциальности информации и, одновременно ее доступности для всех авторизованных пользователей, включая организацию разграничения доступа к эксплуатируемым базам данных;
- организацию юридически значимого электронного документооборота на базе «Деловой почты» комплекса «ViPNet»;
- организацию защищенной сети передачи данных на технологии канального шифрования комплекса «ViPNet».
«Периметр безопасности»
Учитывая необходимость поддержания информационного обмена с другими локальными сетями (например: ОАО «Концерн Росэнергоатом», НПО «Тайфун»), а также получения информации из глобальной сети Интернет, особое внимание уделяется защите ИКС ЯРБ от внешних атак (создание «периметра безопасности»). Реализация защиты от внешних атак осуществляется применением сертифицированных по требованиям безопасности информации межсетевых экранов и других специализированных средств. Кроме этого, реализованный ФГУП «СКЦ Росатома» комплекс технических средств обеспечения информационной безопасности ИКС ЯРБ включает:
- применение межсетевых экранов (Cisco PIX Firewall) и выделение зон безопасности;
- использование протоколов безопасной передачи данных (SSL, VIPNet);
- контроль всего входящего трафика с помощью детекторов вторжений (Cisco Intrusion Detection System), разделение его с помощью виртуальных сетей (VLAN), построенных с использованием коммутаторов Cisco;
- использование корпоративной защищенной электронной почтовой системы на базе сертифицированных средств «ViPNet» для организации обмена конфиденциальной информацией между пользователями Госкорпорации «Росатом» и предприятиями отрасли;
- применение средств криптографической защиты информации для обмена данными в ФИС УК ЯМ;
- постоянный централизованный антивирусный мониторинг в ИКС ЯРБ и на персональных компьютерах пользователей;
- применение средств защиты информации от утечки по техническим каналам за счет различных физических полей;
- использование изолированной кабельной системы для управления средствами ИКС ЯРБ, систем электропитания и заземления, находящихся на территории Госкорпорации «Росатом».
Электронная цифровая подпись
Для подтверждения подлинности и юридической значимости электронных документов применяются средства электронной цифровой подписи. Оперативный обмен служебной информацией, не содержащей сведений, составляющих государственную тайну, осуществляется с помощью ведомственной защищенной электронной почтовой системы «Деловая почта» VipNet. Защита информации от случайной или преднамеренной модификации осуществляется за счет использования средств электронной цифровой подписи (ЭЦП), встроенных в систему ViPNet.
Источник: http://www.skc.ru/info/supply
Политика информационной безопасности — опыт разработки и рекомендации
В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети. Здесь вы сможете найти ответы на вопросы:
- для чего нужна политика информационной безопасности;
- как ее составить;
- как ее использовать.
Необходимость наличия политики ИБ
В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.
Понимание целей и задач подразделения информационной безопасности
Прежде всего политика необходима для того, чтобы донести до бизнеса цели и задачи информационной безопасности компании. Бизнес должен понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно — в повышении прибыльности компании.
Требования политики — основание для внедрения защитных мер
Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)
Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.
При этом любое применение любых защитных мер, касающихся взаимодействия пользователя с информационной системой компании всегда вызывает отрицательную реакцию пользователя. Они не хотят переучиваться, читать разработанные для них инструкции и т.п. Очень часто пользователи задают резонные вопросы:
- почему я должен работать по вашей придуманной схеме, а не тем простым способом, который я использовал всегда
- кто это все придумал
Практика показала, что пользователю плевать на риски, вы можете долго и нудно ему объяснять про хакеров, уголовный кодекс и прочее, из этого не получится ничего, кроме растраты нервных клеток. При наличии в компании политики ИБ вы можете дать лаконичный и емкий ответ:данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да?
Рекомендации по разработке политики ИБ
При разработке политики следует помнить о двух моментах.
- Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
- Не нужно пытаться впихнуть невпихуемое включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.
Конечный документ должен удовлетворять следующим требованиям:
- лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
- доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)
Каким образом этого добиться? На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное. Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке. Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.
Анализ политик ИБ существующих компаний
ОАО «Газпромбанк» — www.gazprombank.ru/upload/iblock/ee7/infibez.pdf
АО «Фонд развития предпринимательства „Даму“ — www.damu.kz/content/files/PolitikaInformatsionnoyBezopasnosti.pdf
АО НК „КазМунайГаз“ — www.kmg.kz/upload/company/Politika_informacionnoi_bezopasnosti.pdf
ОАО „Радиотехнический институт имени академика А. Л. Минца“ — www.rti-mints.ru/uploads/files/static/8/politika_informacionnoy_bezopasnosti_rti.
| ОАО „Газпромбанк“ | 11 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
| АО „Фонд развития предпринимательства “Даму» | 14 | Высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
| АО НК «КазМунайГаз» | 3 | Низкая | Простой для понимания документ, не перегруженный техническими терминами |
| ОАО «Радиотехнический институт имени академика А. Л. Минца» | 42 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц |
* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации
Резюме
Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.
Внедрение и использование политики ИБ
После утверждения политики ИБ необходимо:
- ознакомить с политикой всех уже работающих сотрудников;
- ознакамливать с политикой всех новых сотрудников (как это лучше делать — тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
- проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
- принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
- разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
- не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.
По вопросам и предложениям добро пожаловать в комментарии и личку.
UPD001: после опубликования топика произошел интересный диалог с хабраюзером (публикую с согласия пользователя).
Вопрос %username%
Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры». Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.
Ответ bugaga0112358
Я бы здесь пошел по пути именно анализа процессов. Допустим, антивирусная защита. По логике долно быть так. Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают. Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена — роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.
Вопрос %username%
Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?
Ответ bugaga0112358
Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007. В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.
Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов.
Идем дальше. Обрабатывать инциденты будут уже безопасники, админы и т.п. Опять же уходим в ответственность админов и безопасников. То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское. Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя. В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить. Итого, у вас появляется необходимость ознакомить юзера с двумя документами:
- политикой ИБ (чтобы он понимал, что и зачем делается, не рыпался, не ругался при внедрении новых систем контроля и т.п.)
- этим «Порядком использования СВТ в компании» (чтобы он понимал, что конкретно делать в конкретных ситуациях)
Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).
- информационная безопасность
- управление рисками
- политика безопасности
Источник: https://habr.com/post/174489/
Политики информационной безопасности компании
Политикой информационной безопасности (ИБ) называется комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия/организации в целях защиты информационных ресурсов.
За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик – в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации).
Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать. Хотя не все из этих документов в итоге становятся эффективными.
Ниже мы рассмотрим все составляющие политики информационной безопасности и определим основные аспекты, которые необходимы для ее эффективности.
Для чего нужна формализация защиты информации
Положения о политике информационной безопасности чаще всего в виде отдельного документа появляются во исполнение требования регулятора – организации, регламентирующей правила работы юридических лиц в той или иной отрасли. Если положения об информационной безопасности нет, то не исключены определенные репрессии в отношении нарушителя, которые могут вылиться даже в приостановку деятельности последнего.
Также политика безопасности является обязательной составляющей определенных стандартов (местных или международных). Необходимо соответствие конкретным требованиям, которые обычно выдвигают внешние аудиторы, изучающие деятельность организации. Отсутствие политики безопасности порождает отрицательные отклики, а подобные оценки негативно влияют на такие показатели, как рейтинг, уровень надежности, инвестиционная привлекательность и т. д.
Материалы об информационной безопасности появляются на свет, когда высший менеджмент сам приходит к пониманию необходимости структурированного подхода к теме защиты информации.
Такие решения могут быть воплощены в жизнь после внедрения технических средств, когда появляется осознание того, что данными средствами надо управлять, они должны быть под постоянным контролем.
Зачастую ИБ включает в себя и проблематику взаимоотношений с персоналом (сотрудник может рассматриваться не только как лицо, подлежащее защите, но и как объект, от которого информация должна быть защищена), иные аспекты и факторы, выходящие за рамки исключительно защиты компьютерной сети и предотвращения несанкционированного доступа к ней.
Наличие соответствующих положений говорит о состоятельности организации в вопросах информационной безопасности, ее зрелости. Четкая формулировка правил обеспечения информационной безопасности является свидетельством того, что в данном процессе достигнут существенный прогресс.
В DLP-системах политика безопасности – алгоритм проверки перехвата на соблюдение внутренних ИБ-правил. Для «КИБ СёрчИнформ» разработано 250 готовых политик безопасности, которые предназначены компаниям из разных сфер.
Несостоявшиеся политики
Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.
Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.
Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным.
Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д.
Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.
К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений. Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому – нет) и озаглавливает это «Политикой».
Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение.
В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.
Разработка эффективной системы информационной безопасности
Для создания эффективной системы информационной безопасности должны быть разработаны:
- концепция информационной безопасности (определяет в целом политику, ее принципы и цели);
- стандарты (правила и принципы защиты информации по каждому конкретному направлению);
- процедура (описание конкретных действий для защиты информации при работе с ней: персональных данных, порядка доступа к информационным носителям, системам и ресурсам);
- инструкции (подробное описание того, что и как делать для организации информационной защиты и обеспечения имеющихся стандартов).
Все вышеприведенные документы должны быть взаимосвязаны и не противоречить друг другу.
Также для эффективной организации информационной защиты следует разработать аварийные планы. Они необходимы на случай восстановления информационных систем при возникновении форс-мажорных обстоятельств: аварий, катастроф и т. д.
Структура концепции защиты
Сразу заметим: концепция информационной защиты не тождественна стратегии. Первая статична, в то время как вторая – динамична.
Основными разделами концепции безопасности являются:
- определение ИБ;
- структура безопасности;
- описание механизма контроля над безопасностью;
- оценка риска;
- безопасность информации: принципы и стандарты;
- обязанности и ответственность каждого отдела, управления или департамента в осуществлении защиты информационных носителей и прочих данных;
- ссылки на иные нормативы о безопасности.
Помимо этого не лишним будет раздел, описывающий основные критерии эффективности в сфере защиты важной информации. Индикаторы эффективности защиты необходимы, прежде всего, топ-менеджменту. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Ответственному за организацию безопасности также необходимо знать четкие критерии оценки эффективности ИБ, дабы понимать, каким образом руководство будет оценивать его работу.
Перечень основных требований к документации по безопасности
Политику безопасности надо формулировать с учетом двух основных аспектов:
- Целевая аудитория, на которую рассчитана вся информация по безопасности – руководители среднего звена и рядовые сотрудники не владеют специфической технической терминологией, но должны при ознакомлении с инструкциями понять и усвоить предоставляемую информацию.
- Инструкция должна быть лаконичной и при этом содержать всю необходимую информацию о проводимой политике. Объемный «фолиант» никто подробно изучать не будет, а тем более запоминать.
Из выше перечисленного вытекают и два требования к методическим материалам по безопасности:
- они должны быть составлены простым русским языком, без использования специальных технических терминов;
- текст по безопасности должен содержать цели, пути их достижения с указанием назначения меры ответственности за несоблюдение ИБ. Все! Никакой технической или иной специфической информации.
Организация и внедрение ИБ
После того, как документация по информационной безопасности готова, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо:
- ознакомить коллектив с утвержденной политикой обработки информации;
- знакомить с данной политикой обработки информации всех новых работников (например, проводить информационные семинары или курсы, на которых предоставлять исчерпывающие разъяснения);
- тщательно изучить имеющиеся бизнес-процессы ради обнаружения и минимизации рисков;
- активно участвовать в продвижении новых бизнес-процессов, дабы не стать безнадежно отстающим в сфере ИБ;
- составить подробные методические и информационные материалы, инструкции, дополняющие политику обработки информации (например, правила предоставления доступа к работе в Интернете, порядок входа в помещения с ограниченным доступом, перечень информационных каналов, по которым можно передавать конфиденциальные данные, инструкция по работе с информсистемами и т. д.);
- раз в три месяца пересматривать и корректировать доступ к информации, порядок работы с ней, актуализировать принятую по ИБ документацию, постоянно мониторить и изучать существующие угрозы ИБ.
Развертывание DLP-системы в компании также требует бумажной подготовки. Чтобы ускорить процесс внедрения системы компании, у которых нет выделенной ИБ-службы, могут воспользоваться услугой аутсорсинг информационной безопасности.
Лица, пытающиеся получить несанкционированный доступ к информации
В заключение мы классифицируем тех, кто может или хочет получить несанкционированный доступ к информации.
Потенциальные внешние нарушители:
- Посетители офиса.
- Ранее уволенные сотрудники (особенно те, кто ушел со скандалом и знает, как получить доступ к информации).
- Хакеры.
- Сторонние структуры, в том числе конкуренты, а также криминальные группировки.
Потенциальные внутренние нарушители:
- Пользователи компьютерной техники из числа сотрудников.
- Программисты, системные администраторы.
- Технический персонал.
Для организации надежной защиты информации от каждой из перечисленных групп требуются свои правила. Если посетитель может просто забрать с собой какой-то листок с важными данными, то человек из техперсонала – создать незарегистрированную точку входа и выхода из ЛВС. Каждый из случаев – утечка информации. В первом случае достаточно выработать правила поведения персонала в офисе, во втором – прибегнуть к техническим средствам, повышающим информационную безопасность, таким как DLP-системы и SIEM-системы, предотвращающие утечки из компьютерных сетей.
При разработке ИБ надо учитывать специфику перечисленных групп и предусмотреть действенные меры предотвращения утечки информации для каждой из них.
Мы уверены в своих продуктах и предоставляем для тестирования полнофункциональные версии ПО.
Источник: https://searchinform.ru/products/kib/politiki-informatsionnoj-bezopasnosti/
Положение о политике информационной безопасности предприятия | Защита информации
1.Цель и область применения политики безопасности
2.Требования и рекомендации
3. Защита оборудования
Для предприятия ее информация является важным ресурсом. Политика информационной безопасности определяет необходимые меры для защиты информации от случайного или намеренного получения ее, уничтожения и тд. Ответственность за соблюдение политики безопасности несет каждый работник предприятия. Целями политики безопасности есть:
- Реализация непрерывного доступа к ресурсам компании для нормального выполнения сотрудниками своих обязанностей
- Обеспечение конфиденциальности критичных информационных ресурсов
- Защита целостности данных
- Назначение степени ответственности и функций работников по реализации информационной безопасности на предприятии
- Работы по ознакомлению пользователей в сфере рисков, которые связанные с инф. ресурсами предприятия
Должна проводится периодическая проверка сотрудников, на предмет соблюдения информационной политики безопасности. Правила политики распространяются на все ресурсы и информацию предприятия. Предприятию принадлежит права на собственность вычислительных ресурсов, деловой информации, лицензионное и созданное ПО, содержимое почты, разного рода документы.
В отношении всех информационных активов предприятия, должны быть соответствующие люди с ответственностью за использование тех или других активов.
Контроль доступа к информационным системам
Все свои обязанности должны быть исполнены только на компьютерах, разрешенных к эксплуатации на предприятии. Использование своих портативных устройств и запоминающих устройств можно только с согласованием службы информационной безопасности предприятия. Вся конфиденциальная информация должна хранится в шифрованном виде на жестких дисках, где реализовано ПО с шифрованием жесткого диска.
Периодически должны пересматриваться права сотрудников к информационной системы. Для реализации санкционированного доступа к информационному ресурсу, вход в систему должен быть реализован с помощью уникального имени пользователи и пароля. Пароли должны удовлетворять Парольную политику.
Также во время перерыва, или отсутствия сотрудника на своем рабочем месте, должна срабатывать функция экранной заставки, для блокирование рабочей машины.
Доступ третьих лиц к информационной системе предприятия
Каждый работник должен оповестить службу ИБ о том, что он предоставляет доступ третьим лицам к ресурсам информационной сети.
Удаленный доступ
Сотрудники, которые используют личные портативные устройства, могут попросить об удаленном доступе к информационной сети предприятия. Сотрудникам, которые работают за пределами предприятия и имеют удаленный доступ, запрещено копировать данные из корпоративной сети. Также таким сотрудникам нельзя иметь больше одного подключение к разным сетям, не принадлежащих предприятию. Компьютеры имеющий удаленный доступ должны содержать антивирусное программное обеспечение.
Доступ в сеть интернет
Такой доступ должен разрешаться только в производственных целях, а не для личного пользования. Далее показаны рекомендации:
- Запрещается посещение веб-ресурса, который считается оскорбительным для общества или имеет данные сексуального характера, пропаганды и тд
- Работники не должны использовать интернет для хранение данных предприятия
- Сотрудники, которые имеют учетные записи предоставленные публичными провайдерами, запрещено использовать на оборудовании предприятия
- Все файлы из интернета должны проверяться на вирусы
- Запрещен доступ в интернет для всех лиц, которые не являются сотрудниками
Работники также должны помнить о реализации физической защиты оборудование, на котором хранится или обрабатываются данные предприятия. Запрещено вручную настраивать аппаратное и программное обеспечение, для этого есть специалисты службы ИБ.
Аппаратное обеспечение
Пользователи, которые работают с конфиденциальной информацией, должны иметь отдельное помещение, для физического ограничения доступа к ним и их рабочего места.
Каждый сотрудник, получив оборудование от предприятия на временное пользование (командировка), должен смотреть за ним, и не оставлять без присмотра. В случаи потери или других экстренных ситуаций, данные на компьютере должны быть заранее зашифрованы.
Форматирование данных перед записью, или уничтожением носителя не является 100% гарантией чистоты устройства. Также порты передачи данных на стационарных компьютерах должны быть заблокированы, кроме тех случаев когда у сотрудника есть разрешение на копирование данных.
Программное обеспечение
Все программное обеспечение, которое установленное на компьютерах предприятия является собственностью предприятия и должно использовать в служебных задачах. Запрещено устанавливать сотрудникам лично другое ПО, не согласовав это с службой ИБ. На всех стационарных компьютерах должен быть минимальный набор ПО:
- межсетевой экран
- Антивирусное ПО
- ПО шифрование жестких дисков
- ПО шифрование почтовых сообщений
Работники компании не должны:
- блокировать или устанавливать другое антивирусное ПО
- менять настройки защиты
Рекомендуемые ограничения использования электронной почты
Электронные сообщения (даже удаленные) могут использоваться гос. органами или конкурентами по бизнесу в суде в качестве доказательств. Поэтому содержание сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.
Работникам нельзя передавать с помощью почты конфиденциальную информацию предприятия без реализация шифрования. Также работникам нельзя использовать публичные почтовые ящики. При документообороте должны использоваться только корпоративные почтовые ящики. Ниже описаны неразрешимые действия при реализации электронной почты:
- групповая рассылка всем пользователям предприятия
- рассылка сообщений личного характера, используя ресурсы электронной почты предприятия
- подписка на рассылки ящик предприятия
- пересылка материалов не касающихся работы
Сообщение об инцидентах, реагирование и отчетность
Все сотрудники должны оповещать о любом подозрении на уязвимости в системе защиты. Также нельзя разглашать известные сотруднику слабые стороны системы защиты. Если есть подозрения на наличие вирусов или других деструктивных действиях на компьютере, работник должен:
- проинформировать сотрудников службы ИБ
- не включать зараженный компьютер и не использовать его
- Не подсоединять компьютер к информационной сети предприятия
Помещения с техническими методами защиты
Все конфиденциальные собрания/заседания должны проводиться только в специальных помещениях. Участникам запрещено проносить в помещения записывающие устройства (/видео) и мобильными телефонами, без согласия службы ИБ. /видео запись может вести сотрудник, с разрешением от службы ИБ.
Источник: http://infoprotect.net/note/polozhenie-politike-informatsionnoj-bezopasnosti