Меры организационного уровня
Главная » Аудит ИБ » Разработка рекомендаций » Меры организационного уровня

Рекомендуемые меры организационного уровня

Рекомендуемые меры организационного уровня включают в себя:

  1. Регулярно пересматривать политику безопасности при внесении изменений в систему компании;
  2. Назначить ответственность за обеспечение безопасности ценных информационных ресурсов компании;
  3. Включить в должностные обязанности руководителей ответственности за обеспечение информационной безопасности;
  4. Включить в должностные обязанности всех сотрудников задачу обеспечения информационной безопасности;
  5. Проверка IT-службой персонала принимаемого на работу;
  6. Напоминать сотрудника компании, что они подписали соглашение о соблюдении режима коммерческой тайны;
  7. Производить регулярную рассылку всем сотрудник компании информации об инцидентах и вирусах;
  8. Создать форум на котором бы обсуждались различные вопросы связанные с информационной безопасностью;
  9. Проводить всем сотрудникам компании раз в полгода тренинг по вопросам информационной безопасности;
  10. Сотрудников IT-службы раз в квартал определять на курсы по вопросам информационной безопасности;
  11. Создавая систему информационной безопасности компании нужно рассматривать вариант, что сотрудники компании обладают достаточными знаниями для осуществления несанкционированного доступа к информации при имеющейся у них возможности;
  12. Не давать повода предполагать сотрудникам, что их нарушения останутся незамеченными, за каждые нарушения производить наказания или дисциплинарные взыскания;
  13. Оборудование расположить в тех помещениях, доступ к которым невозможен для лиц, не связанных с обслуживанием этого помещения;
  14. В случае поломки жёсткого диска, вызвать представителя поставщика и провести осмотр повреждений в присутствии ответственных представителей компании;
  15. Антивирусные базы обновлять каждый день;
  16. Как можно чаще отслеживать новые уязвимости в используемом программном обеспечении;
  17. Раз в пол год производить тренинг персонала по вопросам защиты от вирусов;
  18. Регулярный производить контроль целостности критичных данных и программного обеспечения, обрабатывающего эти данные;
  19. Меры организационной и физической защиты для резервных копий должны соответствовать уровню защиты основных носителей информации;
  20. На компьютерах с критичной информацией вести журналы системных событий;
  21. Как можно чаще обновлять программное обеспечение и устанавливать пакеты обновлений системы безопасности;
  22. Документально фиксировать права пользователей, которые соответствуют возложенным на них бизнес-задачам;
  23. Регулярно проводить проверку адекватности назначенных пользователю прав;
  24. Создать в политике безопасности компании регламент по которому раз-решается и осуществляется удалённый доступ к ресурсам системы;
  25. Запретить сотрудникам IT-службы производить администрирование системы через интернет, без применения средства криптографической защиты трафика;
  26. Проводить регулярный сторонний аудит безопасности компании, также как и тесты на проникновение выполняемые независимыми экспертами;
  27. Регулярно применять сканер уязвимостей для отслеживания изменений в системе безопасности информационной системы компании;
  28. Обеспечить соответствие информационной системы компании какому-либо опубликованному стандарту безопасности;
  29. Применять в компании, только сертифицированные средства локальной и сетевой защиты;
  30. Исключить в офисе компании нахождение обслуживающего персонала без присутствия контролирующих лиц;
  31. Разработать перечень документов и рекомендаций о неразглашении конфиденциальной информации сотрудниками.

Организационным мерам характерна низкая надежность без соответствующей поддержки техническими и программными средствами.


Поиск информации на сайте Пожалуйста, введите запрос и нажмите «Найти!»