Политика безопасности предприятия
Главная » Комплексная ЗИ » Методы и средства ЗИ » Нормативно-методические методы » Политика безопасности предприятия

Политика безопасности предприятия (ПБ)


Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Аудит информационных процессов включает в себя также  определение перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации. После этого становится ясно, что, где и от кого защищать. А также, различным угрозам безопасности можно присвоить вероятности их реализации.


ПБ – это документ "верхнего" уровня, в котором должно быть указано:

  • ответственные лица за безопасность функционирования фирмы;
  • полномочия и ответственность отделов и служб в отношении безопасности;
  • организация допуска новых сотрудников и их увольнения;
  • правила разграничения доступа сотрудников к информационным ресурсам;
  • организация пропускного режима, регистрации сотрудников и посетителей;
  • использование программно-технических средств защиты;
  • другие требования общего характера.

Таким образом, ПБ – это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Значительное внимание в ПБ уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях.


Рекомендации:

  • в системе должен быть администратор безопасности;
  • за каждое устройство должен быть назначен ответственный за его эксплуатацию;
  • системный блок надо опечатывать печатями IT-службы (или службы безопасности);
  • HDD  – съемные, а по окончании рабочего дня убирать их в сейф;
  • CD-ROM, FDD, должны быть сняты по возможности с компьютеров;
  • контроль использования USB-портов, вплоть до полного запрета;
  • установка любого ПО должна производиться только работником IT-службы;
  • для разграничения доступа – сочетание паролей и смарт-карт. Пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им также как и другая КИ;
  • должно быть запрещено использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.

Крайне внимательно надо отнестись к подключению своих информационных ресурсов к Интернету. В ПБ этот вопрос должен быть выделен в отдельный раздел.

С точки зрения безопасности возможно следующие решения – выделение для Интернета автономного компьютера, на котором ни в коем случае не должна храниться конфиденциальная информация. На компьютере должны быть обязательно установлены антивирусные средства защиты с актуальной базой, а также правильно настроенный Firewall. При этом особый контроль надо уделить работе на этом компьютере со сменными носителями информации.


В ПБ должны быть обязательно предусмотрены меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации ущерба. Применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.


Политика безопасности должна включать:

  • Предмет политики.
  • Описание позиции организации.
  • Применимость.
  • Роли и обязанности.
  • Соблюдение политики.
  • Консультанты по вопросам безопасности

Жизненный цикл политики безопасности:

  • Первоначальный аудит безопасности.
  • Разработка.
  • Внедрение.
  • Аудит и контроль.
  • Корректировка.

Поиск информации на сайте Пожалуйста, введите запрос и нажмите «Найти!»