Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Особенности разработки политик безопасности в РоссииСодержание книги
Похожие статьи вашей тематики
Поиск на нашем сайте
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса о разработке политики информационной безопасности на современном предприятии связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого в дополнение к требованиям и рекомендациям стандартов, Конституции и федеральным законам, руководящим документам Гостехкомиссии (ФСТЭК) России приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия. Современные методики управления рисками позволяют в рамках политик безопасности отечественных компаний поставить и решить ряд задач перспективного стратегического развития: · количественно оценить текущий уровень информационной безопасности предприятии; · разработать политику безопасности и планы совершенствования корпоративной системы защиты информации с целью достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо: · обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения; · выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы; · определить функциональные отношения и зоны ответственности при взаимодействии подразделений и должностных лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации; · разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий; · обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядителъной документации, модификацией технологических процессов и модернизацией технических средств защиты. Решение названных задач политик безопасности открывает новые широкие возможности перед должностными лицами разного уровня. Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции по действиям в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании. Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, помогут определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе связанный с разглашением коммерческой тайны, следует руководствоваться положениями Трудового кодекса РФ. В соответствии с Федеральным законом «Об информации, информатизации и защите информации» целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы. Поэтому главной целью политик безопасности отечественных компаний является обеспечение устойчивого функционирования предприятия: предотвращение угроз его безопасности, защита законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ, обеспечение нормальной производственной деятельности всех подразделений объекта. Другая задача политик безопасности сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов. Для этого необходимо: · отнести информацию к категории ограниченного доступа (коммерческой тайне); · прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению нормального функционирования и развития ресурсов; · создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба; · создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании автоматизированной системы, а также пресечения посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности; · создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц и тем самым ослабить негативное влияние последствий нарушения информационной безопасности. Для создания эффективных политик безопасности отечественных компаний предлагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации предстоит построить таким образом, чтобы достичь заданного уровня риска. Важно помнить, что прежде чем внедрять какие-либо решения по защите информации, необходимо разработать политики безопасности, адекватные целям и задачам современного предприятия. В частности, политики безопасности должны описывать порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности окажется эффективной, если она будет надежно поддерживать выполнение правил политик безопасности, и наоборот. Этапы построения требуемых политик безопасности – это внесение в описание объекта автоматизации структуры ценностей, проведение анализа риска, определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации. При этом политики безопасности желательно оформить в виде отдельных документов и утвердить у руководства компании.
Аудит безопасности корпоративных систем Интенет/Интранет Понятие аудита безопасности Понятие аудит информационной безопасности компании появилось сравнительно недавно. Примерно с 1995 года в ряде высокотехнологичных стран мира, главным образом в США, Великобритании, Германии и Канаде, проводятся ежегодные слушания и совещания специально созданных комитетов и комиссий по вопросам аудита информационной безопасности корпоративных систем. Подготовлено более десятка различных стандартов и спецификаций, посвященных аудиту информационной безопасности, среди которых наибольшую известность приобрели международные стандарты ISO 17799 (BS 7799), BSI и COBIT. В настоящее время аудит информационной безопасности корпоративных систем Интернет/Интранет представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности корпоративных систем Интернет/Интранет. Основная задача аудита безопасности – объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса с целью увеличения эффективности и рентабельности экономической деятельности компании. Аудит информационной безопасности корпоративной системы Интернет/Интранет – это системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности. В настоящее время возрос объем конфиденциальных данных, обрабатываемых в корпоративной информационной системе Интернет/Интранет. В связи с этим актуальность аудита информационной безопасности резко также возрастает. Можно выделить две основные причины роста уязвимости корпоративных систем Интернет/Интранет. Во-первых, повысилась уязвимость собственно корпоративных информационных систем за счет обоснованного усложнения аппаратно-программных элементов этих систем, увеличения структурной и функциональной сложности системного и прикладного программного обеспечения, применения новых технологий обработки, передачи и хранения данных. Во-вторых, расширился спектр угроз корпоративным информационным системам из-за передачи информации по открытым каналам сетей общего назначения, «информационных войн и электронных диверсий» конкурирующих организаций, активного промышленного шпионажа с привлечением профессионалов в области IT-security и пр. Есть два варианта построения системы информационной безопасности: · полная замена системы корпоративной защиты информации, требующая больших капиталовложений; · модернизация существующих систем безопасности. Этот вариант является наименее затратным, но несет проблемы совместимости старых, оставляемых из имеющихся аппаратно-программных средств безопасности, и новых элементов системы защиты информации; обеспечения централизованного управления разнородными средствами обеспечения безопасности. Существенной причиной необходимости проведения аудита безопасности является то, что при модернизации и внедрении новых технологий защиты информации их потенциал полностью не реализуется. Аудит позволяет: · оценить текущую безопасность функционирования корпоративной информационной системы; · оценить и прогнозировать риски; · управлять влиянием рисков на бизнес-процессы компании; · обоснованно подойти к вопросу обеспечения безопасности ее информационных активов (стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных). Важно то, что аудит информационной безопасности ориентирован как на специалистов в области безопасности корпоративных систем Интернет/Интранет, так и на специалистов в области менеджмента. Такой подход устраняет существующее недопонимание специалистов в области информационной безопасности ТОП - менеджерами компании. В данном случае они объединяются в единую команду, ориентированную на повышение экономической эффективности и рентабельности бизнес-деятельности компании. В настоящее время многие поставщики средств защиты информации декларируют поставку полного, законченного решения в области безопасности корпоративных систем Интернет/Интранет. Однако, в лучшем случае все сводится к проектированию и поставке соответствующего оборудования и программного обеспечения. При этом фактически не создается корпоративная система безопасности. Для построения такой системы необходимо ответить на следующие вопросы: · соответствует ли корпоративная система информационной безопасности целям и задачам бизнеса компаний; · как контролировать реализацию и выполнение политики безопасности в компании; · когда необходимо провести модернизацию системы безопасности; как обосновать необходимость модернизации и затрат; · как быстро окупятся инвестиции в корпоративную систему безопасности; · насколько правильно и корректно сконфигурированы и настроены штатные средства обеспечения информационной безопасности компании; · как убедиться в том, что существующие в компании средства защиты – межсетевые экраны (firewalls), системы обнаружения вторжений (IDS), антивирусные шлюзы, VPN-шлюзы – эффективно справляются со своими задачами; · как решаются вопросы обеспечения конфиденциальности, доступности и целостности; · есть ли необходимость постоянно обучать сотрудников службы информационной безопасности компании, какие бюджетные средства для этого нужны; · как управлять информационными рисками компании, какие инструментальные средства для этого необходимо задействовать; · удовлетворяет ли организация информационной безопасности компании требованиям международных стандартов оценки и управления безопасностью, например ISO 15408, ISO 17799 (BS 7799). Только объективный и независимый аудит безопасности корпоративной системы Интернет/Интранет позволит получить ответы на поставленные вопросы. Такой аудит, который позволит комплексно проверить все основные уровни обеспечения информационной безопасности компании: нормативно-правовой, организационный, технологический и аппаратно-программный.
|
||||
Последнее изменение этой страницы: 2016-04-20; просмотров: 2440; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.224.38.170 (0.008 с.) |