Информатика и выч. техника \ Организационная защита информации

Разработка политики информационной безопасности компании ООО «ГазСвязьЭнергоСтрой»

Страницы работы

83 страницы (Word-файл)

Посмотреть все страницы

Скачать файл

Уважаемые коллеги! Предлагаем вам разработку программного обеспечения под ключ.

Опытные программисты сделают для вас мобильное приложение, нейронную сеть, систему искусственного интеллекта, SaaS-сервис, производственную систему, внедрят или разработают ERP/CRM, запустят стартап.

Сферы - промышленность, ритейл, производственные компании, стартапы, финансы и другие направления.

Языки программирования: Java, PHP, Ruby, C++, .NET, Python, Go, Kotlin, Swift, React Native, Flutter и многие другие.

Всегда на связи. Соблюдаем сроки. Предложим адекватную конкурентную цену.

Заходите к нам на сайт и пишите, с удовольствием вам во всем поможем.

Фрагмент текста работы

безопасности в компании руководством с учетом требований бизнеса, соответствующей нормативной базы, стандартов и лучших практик.
Уровень соответствия	Средний
Краткие рекомендации	Рекомендуется утвердить политику безопасности с учетом всех согласованных с компанией замечаний и правок. Так же необходимо утвердить разрабатываемые Исполнителем политики сервисов и ряд низкоуровневых документов.

Категория риска	8. Контроль доступа
	Детальное описание представлено в 1.5.11(г,ж), 1.5.14, 1.5.16
Условия минимизации риска	Контроль доступа к информации. Предотвращение несанкционированного доступа к информационным системам. Предотвращение несанкционированного доступа пользователей и несанкционированного использования ресурсов. Защита сетевых сервисов. Обеспечение безопасности информации при использовании мобильного компьютерного оборудования и при работе вне офиса.
Уровень соответствия	Высокий
Краткие рекомендации	Необходимо в полной мере развернуть СКУД на все рабочие станции пользователей и назначить ответственного. Рекомендуется проводить отслеживание неактивных учетных записей и проводить аудит прав доступа на регулярной основе. В компании рекомендуется ввести практику регулярного составления описаний прав доступа по каждой системе.

Категория риска	9. Соответствие требованиям законодательства и техническим требованиям
	Детальное описание представлено в 1.5.13, 1.5.13.1
Условия минимизации риска	Предотвращение несоблюдения (нарушений) положений уголовного и гражданского законодательства, обязательств, установленных действующим законодательством, подзаконными актами и договорными отношениями, а также требованиями безопасности. Обеспечение соответствия систем политикам безопасности и стандартам, принятым в организации. Максимизация эффективности и минимизация вмешательств в/со стороны процесс(а) системного аудита.
Уровень соответствия	Высокий
Краткие рекомендации	Для каждой информационной системы (ИС) компании необходимо поддерживать в соответствии с текущим состоянием дел все имеющие к ним отношение законодательные, нормативные и договорные требования: на регулярной основе проводить проверки на соответствие политикам и стандартам безопасности.

Категория риска	10. Физическая безопасность и безопасность окружающей среды
	Детальное описание представлено в 1.5.15(г)
Условия минимизации риска	Предотвращение несанкционированного доступа к информации, причинения ущерба и радиопомехи в помещениях организации. Предотвращение потери, повреждения или компрометации ресурсов и нарушения бизнес деятельности. Предотвращение компрометации или кражи информации и средств ее обработки.
Уровень соответствия	Высокий
Краткие рекомендации	Компании следует принять политику чистых столов для бумажных документов и переносных носителей данных, и политику чистых экранов для средств обработки информации. Использование оборудования ИС за пределами компании должно быть одобрено руководством, и уровень защиты этого оборудования должен отвечать требованиям соответствующих политик.

Категория риска	11. Организационная безопасность
	Детальное описание представлено в 1.5.1, с учетом выше приведенных допущений.
Условия минимизации риска	Управление информационной безопасностью в организации.
Уровень соответствия	Высокий
Краткие рекомендации	Данные оценки получены при допущении того, что была принята политика ИБ, и введен в действие Комитет по безопасности, то есть, утверждено положение о Комитете по безопасности.

1.5 Замечания по организационно-распорядительной документации

1.5.1 Управление информационной безопасностью

Рекомендуется создать политику информационной безопасности. В связи с этим в компании используется несколько подходов к структуре организационно-распорядительной документации.

Для предоставленной разрабатываемой и утвержденной документации имеются инструкции, устанавливающие продолжительность использования, хранения, правила обработки и уничтожения.

1.5.2 Политика информационной безопасности

В компании отсутствует утвержденная формализованная политика информационной безопасности и политики безопасности сервисов. Замечания к разрабатываемым документам были согласованы и внесены непосредственно в электронные версии документов в режиме правки.

1.5.3 Процедуры идентификации, оценки и управления рисками, связанными с информационной безопасностью

Существенным недостатком системы управления ИБ компании является отсутствие формализованных процедур идентификации, оценки и управления рисками, связанными с ИБ.

Таким образом, в компании должны быть разработаны и внедрены формализованные процедуры идентификации, оценки и управления рисками, связанными с информационной безопасностью.