Разработка политики информационной безопасности компании ООО «ГазСвязьЭнергоСтрой»

безопасности в компании  руководством с учетом требований бизнеса, соответствующей нормативной базы, стандартов и лучших практик.

Уровень соответствия

Средний

Краткие рекомендации

Рекомендуется утвердить политику безопасности с учетом всех согласованных с компанией замечаний и правок. Так же необходимо утвердить разрабатываемые Исполнителем политики сервисов и ряд низкоуровневых документов.

Категория риска

8. Контроль доступа

Детальное описание представлено в 1.5.11(г,ж), 1.5.14, 1.5.16

Условия минимизации риска

Контроль доступа к информации.

Предотвращение несанкционированного доступа к информационным системам.

Предотвращение несанкционированного доступа пользователей и несанкционированного использования ресурсов.

Защита сетевых сервисов.

Обеспечение безопасности информации при использовании мобильного компьютерного оборудования и при работе вне офиса.

Уровень соответствия

Высокий

Краткие рекомендации

Необходимо в полной мере развернуть СКУД на все рабочие станции пользователей и назначить ответственного. Рекомендуется проводить отслеживание неактивных учетных записей и проводить аудит прав доступа на регулярной основе. В компании рекомендуется ввести практику регулярного составления описаний прав доступа по каждой системе.

Категория риска

9. Соответствие требованиям законодательства и техническим требованиям

Детальное описание представлено в 1.5.13, 1.5.13.1

Условия минимизации риска

Предотвращение несоблюдения (нарушений) положений уголовного и гражданского законодательства, обязательств, установленных действующим законодательством, подзаконными актами и договорными отношениями, а также требованиями безопасности.

Обеспечение соответствия систем политикам безопасности и стандартам, принятым в организации.

Максимизация эффективности и минимизация вмешательств в/со стороны процесс(а) системного аудита.

Уровень соответствия

Высокий

Краткие рекомендации

Для каждой информационной системы (ИС) компании необходимо поддерживать в соответствии с текущим состоянием дел все имеющие к ним отношение законодательные, нормативные и договорные требования: на регулярной основе проводить проверки на соответствие политикам и стандартам безопасности.

Категория риска

10. Физическая безопасность и безопасность окружающей среды

Детальное описание представлено в 1.5.15(г)

Условия минимизации риска

Предотвращение несанкционированного доступа к информации, причинения ущерба и радиопомехи в помещениях организации.

Предотвращение потери, повреждения или компрометации ресурсов и нарушения бизнес деятельности.

Предотвращение компрометации или кражи информации и средств ее обработки.

Уровень соответствия

Высокий

Краткие рекомендации

Компании следует принять политику чистых столов для бумажных документов и переносных носителей данных, и политику чистых экранов для средств обработки информации.

Использование оборудования ИС за пределами компании должно быть одобрено руководством, и уровень защиты этого оборудования должен отвечать требованиям соответствующих политик.

Категория риска

11. Организационная безопасность

Детальное описание представлено в 1.5.1, с учетом выше приведенных допущений.

Условия минимизации риска

Управление информационной безопасностью в организации.

Уровень соответствия

Высокий

Краткие рекомендации

Данные оценки получены при допущении того, что была принята политика ИБ, и введен в действие Комитет по безопасности, то есть, утверждено положение о Комитете по безопасности.