является разработка политики информационной безопасности. Отсутствие политики четко указывает на недостаточное внимание предприятия к вопросам безопасности его информационных ресурсов. И наоборот, наличие функционирующей политики, помимо обеспечения реальной защиты, придает компании серьезный имидж в глазах клиентов, деловых партнеров, потенциальных инвесторов и выгодно сказывается на ее репутации даже среди конкурентов. Под политикой безопасности в ИС следует понимать набор требований, правил, ограничений, рекомендаций и т.п., которые регламентируют весь комплекс административно-технических вопросов по работе в системе и направлены на защиту информации от различных угроз.Результаты работ по разработке политики безопасности оформляются в виде отдельных документов или разделов одного документа, в котором описана политика защиты информации предприятия Организационно-распорядительные документыВ состав пакета организационно-распорядительных документов по вопросам безопасности и защите информации могут входить следующие организационно-распорядительные документы:
· Концепция обеспечения информационной безопасности;
· План защиты информации;
· Положение о категорировании ресурсов ИС;
· Порядок обращения с информацией, подлежащей защите;
· План обеспечения непрерывной работы и восстановления;
· Положение о службе защиты информации;
· Обязанности администратора безопасности;
· Инструкции пользователю ИС (общие обязанности по обеспечению информационной безопасности);
· Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИС;
· Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИС;
· Инструкция по организации парольной защиты;
· Инструкция по организации антивирусной защиты;
· другие.
Разработка и внедрение проекта защиты информационных ресурсов Обнаружить недостатки в системе безопасности, разработать политику безопасности - все это является необходимым, но недостаточным условием надежной защиты информационной системы предприятия. Следующим условием является разработка и внедрение проекта защиты. Проект защиты - это совокупность административных, программных и технических мер и средств, позволяющих обеспечить защиту ИС предприятия в соответствии с требуемым уровнем. Необходимый для предприятия уровень защиты определяется на этапе комплексного аудита ИС.Преимущества внедрения проекта
· надежное обеспечение безопасности своих информационных ресурсов;
· контроль работы персонала;
· отслеживание и отражение возможных атак злоумышленников;
· ликвидация или минимизация возможных потерь от их действий.
· Проект защиты оформляется в виде технического задания (ТЗ) на разработку системы защиты информации. ТЗ согласуется с заинтересованными подразделениями и утверждается руководителем предприятия.
Базовые работы на этапе реализации проекта защиты
· Разработку и реализацию комплекса административных и ограничительных мер.
· Разработку и реализацию первичных технических мер, предусматривающих защиту информации блокированием угроз без использования средств технической защиты информации:
· блокирование каналов утечки информации;
· блокирование несанкционированного доступа к информации или ее носителям;
· проверку исправности и работоспособности технических средств и систем обеспечения информационной деятельности.
· Реализацию основных технических мер защиты:
· установку средств выявления и индикации угроз и проверку
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
