Politika informační bezpečnosti společnosti. Politika bezpečnosti informací organizace

V tomto tématu se pokusím sestavit manuál pro tvorbu regulační dokumentace v oboru informační bezpečnost pro komerční strukturu založenou na osobní zkušenost a materiály z webu.

Zde můžete najít odpovědi na otázky:

• Proč je potřeba politika zabezpečení informací?
• jak to sestavit;
• jak to použít.

Potřeba politiky informační bezpečnosti

Pochopení cílů a záměrů oddělení informační bezpečnosti

Politické požadavky jsou základem pro provádění záruk

Jakékoli zabezpečení je kompromisem mezi snížením rizika a uživatelským zážitkem. Když bezpečnostní pracovník říká, že by k nějakému procesu v žádném případě nemělo dojít kvůli výskytu nějakých rizik, vždy dostane rozumnou otázku: „Jak by se to mělo stát? Bezpečnostní důstojník musí navrhnout procesní model, ve kterém se tato rizika sníží do určité míry, která je pro podnik uspokojivá.

Jakákoli aplikace jakýchkoli ochranných opatření týkajících se interakce uživatele s informačním systémem společnosti přitom vždy vyvolá negativní reakci uživatele. Nechtějí se přeškolovat, číst návody pro ně určené a podobně. Uživatelé velmi často kladou rozumné otázky:

• proč bych měl pracovat podle vašeho vymyšleného schématu a ne těch jednoduchým způsobem které jsem vždy používal
• kdo s tím vším přišel

toto opatření bylo zavedeno z důvodu splnění požadavků politiky informační bezpečnosti společnosti, která byla schválena nejvyšším správním orgánem společnosti

• Cílovou skupinou politiky informační bezpečnosti jsou koncoví uživatelé a vrcholový management společnosti, kteří nerozumí složitým technickým výrazům, ale měli by být obeznámeni s ustanoveními politiky.
• Není třeba se snažit podstrčit nepředstavitelné, abyste do tohoto dokumentu zahrnuli vše, co je možné! Měly by existovat pouze cíle IB, metody jejich dosažení a odpovědnost! Žádné technické podrobnosti, pokud vyžadují specifické znalosti. Toto všechno jsou materiály pro pokyny a předpisy.

• stručnost - velký objem dokumentu vyděsí každého uživatele, nikdo si váš dokument nikdy nepřečte (a nejednou použijete frázi: „toto je porušení zásad bezpečnosti informací, se kterými jste byli seznámeni“)
• dostupnost široké veřejnosti koncový uživatel musí rozumět tomu, CO je napsáno v zásadách (nikdy nebude číst a pamatovat si slova a fráze „žurnál“, „model narušitele“, „incident zabezpečení informací“, „ informační infrastruktura““, „technogenní“, „antropogenní“, „rizikový faktor“ atd.)

Ve skutečnosti je vše velmi jednoduché: Politika bezpečnosti informací by měla být dokumentem první úrovně, měla by být rozšířena a doplněna o další dokumenty (předpisy a pokyny), které již budou něco konkrétního popisovat.
Je možné vytvořit analogii se státem: dokumentem první úrovně je ústava a doktríny, koncepce, zákony a další normativní akty existující ve státě pouze doplňují a upravují provádění jejích ustanovení. Příkladné schéma je znázorněno na obrázku.

Abychom nenamazali kaši na talíři, podívejme se jen na příklady politik informační bezpečnosti, které lze najít na internetu.

souhrn

Politika bezpečnosti informací by se měla vejít na několik stránek, být snadno srozumitelná pro laika, popsat v obecný pohled Cíle IS, způsoby jejich dosahování a odpovědnost zaměstnanců.

Implementace a využití politiky informační bezpečnosti

• seznámit všechny stávající zaměstnance s politikou;
• seznámit všechny nové zaměstnance s politikou (jak na to je téma na samostatnou diskusi, máme úvodní kurz pro nováčky, kde mluvím s vysvětlením);
• analyzovat stávající obchodní procesy s cílem identifikovat a minimalizovat rizika;
• podílet se na vytváření nových obchodních procesů, aby neutíkali za vlakem;
• vypracovat předpisy, postupy, pokyny a další dokumenty, které politiku doplňují (pokyny pro poskytování přístupu na internet, pokyny pro poskytování přístupu do prostor s omezený přístup, návody pro práci s firemními informačními systémy apod.);
• minimálně jednou za čtvrt roku revidovat politiku IS a další dokumenty IS za účelem jejich aktualizace.

V případě dotazů a návrhů, vítám vás v komentářích a PM.

Otázka %username%

Pokud jde o politiku, šéfové nemají rádi, co chci jednoduchými slovy. Říkají mi: „Kromě mě a tebe a dalších 10 IT zaměstnanců, kteří sami všechno vědí a rozumí, jsou 2 stovky, kteří tomu nerozumí, polovina z nich jsou důchodci.“
Šel jsem cestou střední stručnosti popisů, například pravidel antivirová ochrana, a níže píšu, že existuje politika antivirové ochrany atd. Ale nechápu, jestli uživatel podepisuje zásady, ale zase si potřebuje přečíst spoustu dalších dokumentů, zdá se, že to politiku zredukovalo, ale zdá se, že ne.

Zde bych šel cestou procesní analýzy.
Řekněme antivirovou ochranu. Logicky by to tak mělo být.

Jaká rizika pro nás viry představují? Narušení integrity (poškození) informací, narušení dostupnosti (prostoj serverů nebo PC) informací. Při správné organizaci sítě by uživatel neměl mít práva místní správce v systému, to znamená, že by neměl mít práva instalovat software (a tedy viry) do systému. Důchodci tím pádem odpadávají, protože tu nepodnikají.

Kdo může zmírnit rizika spojená s viry? Uživatelé s právy správce domény. Domain admin - citlivá role, vydávána zaměstnancům IT oddělení atp. Podle toho by měli instalovat antiviry. Ukazuje se, že činnost antivirový systém jsou také zodpovědní. V souladu s tím musí podepsat pokyn k organizaci antivirové ochrany. Ve skutečnosti musí být tato odpovědnost uvedena v pokynech. Například bezpečnostní důstojník řídí, administrátoři vykonávají.

Otázka %username%

Pak je otázka, co by odpovědnost za tvorbu a použití virů neměla obsahovat návod Anti-virus SI (nebo je tam nějaký článek a nemůžete ho zmínit)? Nebo že jsou povinni hlásit virus nebo podivné chování počítače Help Desku nebo IT personálu?

Opět bych se podíval ze strany řízení rizik. Zavání to takříkajíc GOST 18044-2007.
Ve vašem případě" divné chování„Není to ještě nutně virus. Může to být systémová brzda nebo gp atd. Nejedná se tedy o incident, ale o událost informační bezpečnosti. Opět platí, že podle GOST může událost vyhlásit kdokoli, ale je možné porozumět incidentu nebo nejen po analýze.

Tato vaše otázka se tedy již nepromítá do politiky informační bezpečnosti, ale do správy incidentů. Ve vaší politice by to mělo být uvedeno společnost musí mít systém řešení incidentů.

To znamená, že, jak vidíte, administrativní provádění zásad je přiděleno především správcům a bezpečnostním strážcům. Uživatelé zůstávají vlastní.

Proto musíte sestavit jakýsi „Postup pro používání CBT ve společnosti“, kde musíte specifikovat povinnosti uživatelů. Tento dokument by měl korelovat s politikou bezpečnosti informací a měl by být takříkajíc vysvětlením pro uživatele.

V tento dokument můžete určit, že uživatel je povinen upozornit příslušný orgán na abnormální činnost počítače. No, můžete tam přidat všechno ostatní vlastní.

Celkově musíte uživatele seznámit se dvěma dokumenty:

• politika informační bezpečnosti (aby rozuměl tomu, co se dělá a proč, nerozhoupal loď, nenadával při zavádění nových řídicích systémů atd.)
• tento "Postup pro použití CBT ve společnosti" (aby pochopil, co přesně dělat v konkrétních situacích)

Podle toho při realizaci nový systém, jednoduše něco přidáte do "Objednávky" a upozorníte na to zaměstnance zasláním objednávky e-mailem (nebo prostřednictvím EDMS, pokud existuje).

Štítky:

• Informační bezpečnost
• Řízení rizik
• Pravidla bezpečnosti

Cíl: Zajistit, aby byla bezpečnost informací řízena a podporována vedením v souladu s obchodními požadavky a také se současným právním a regulačním rámcem. Management musí stanovit jasný strategický směr a prokázat podporu a závazek k informační bezpečnosti tím, že zveřejní a bude udržovat politiku informační bezpečnosti v celé organizaci.

Politika bezpečnosti informací je nejdůležitějším dokumentem v systému řízení bezpečnosti informací (ISMS) organizace, který působí jako jeden z klíčových bezpečnostních mechanismů.

Dokumentovaná politika informační bezpečnosti by podle ISO 17799 měla uvádět závazek managementu a stanovit přístup k řízení informační bezpečnosti, definovat pojem informační bezpečnosti, její hlavní cíle a rozsah, obsahovat hlavní ustanovení pro stanovení cílů a kontrolních mechanismů. včetně rámce pro hodnocení a řízení rizik a mnoho dalšího.

Politika bezpečnosti informací je podle ISO 27001 podmnožinou obecnějšího dokumentu - politiky ISMS, která zahrnuje hlavní ustanovení pro stanovení cílů ISMS a stanoví obecný směr a zásady činnosti ve vztahu k bezpečnosti informací, přičemž zohlednit požadavky obchodního, legislativního popř regulační rámec, smluvní závazky, stanovení kritérií pro hodnocení rizik atd.

Politika bezpečnosti informací a politika ISMS organizace mohou být popsány ve stejném dokumentu. Vypracování takového dokumentu není snadný a velmi odpovědný úkol. Politika informační bezpečnosti by na jedné straně měla být dostatečně prostorná a srozumitelná pro všechny zaměstnance organizace. Na druhou stranu na základě tohoto dokumentu je postaven celý systém opatření k zajištění informační bezpečnosti, proto musí být dostatečně ucelený a komplexní. Jakékoli opomenutí a nejasnosti mohou vážně ovlivnit fungování ISMS organizace. Politika bezpečnosti informací musí plně odpovídat požadavkům mezinárodních norem ISO 27001/17799. Tento nutná podmínka pro úspěšnou certifikaci.

BS ISO/IEC 27001:2005 4.2.1 b) Zásady ISMS:

Definujte zásady ISMS z hlediska obchodních charakteristik, organizace, umístění, zdrojů a technologie, které:

obsahuje rámec pro definování jeho cílů a stanoví obecný směr a zásady činnosti ve vztahu k informační bezpečnosti;

zohledňuje obchodní požadavky a požadavky legislativního či regulačního rámce, jakož i smluvní závazky v oblasti bezpečnosti;

integruje se se strategickým kontextem řízení rizik v organizaci, ve které bude tvorba a údržba ISMS probíhat;

stanoví kritéria pro hodnocení rizik (viz 4.2.1c)); A

schváleno vedením.

POZNÁMKA: V této mezinárodní normě je politika ISMS považována za nadmnožinu politiky bezpečnosti informací. Tyto zásady lze popsat v jednom dokumentu.

BS ISO/IEC 17799:2005 5.1.1 Dokumentovaná politika zabezpečení informací:

Kontrolní mechanismus

Zdokumentovaná politika zabezpečení informací by měla být schválena vedením, zveřejněna a sdělena všem zaměstnancům organizace a externím stranám, na které se vztahuje.

Průvodce implementací

Dokumentovaná politika bezpečnosti informací by měla uvádět závazek managementu a stanovit přístup k řízení bezpečnosti informací v organizaci. Dokumentovaná politika by měla obsahovat následující prohlášení:

vymezení pojmu informační bezpečnost, její hlavní cíle, rozsah a význam bezpečnosti jako mechanismu, který umožňuje provádět sdílení informace (viz Úvod);

prohlášení o záměru vedení podporovat dosažení cílů a dodržování zásad informační bezpečnosti v souladu s cíli a strategií podnikání;

základní ustanovení pro stanovení cílů a mechanismů kontroly, včetně struktury hodnocení a řízení rizik;

stručné vysvětlení bezpečnostních politik, standardů, principů a požadavků, které jsou pro organizaci zvláště důležité, včetně:

soulad s požadavky legislativy, regulačního rámce a smluv;

bezpečnostní povědomí, požadavky na vzdělávání a školení;

řízení kontinuity podnikání;

důsledky porušení zásad bezpečnosti informací;

vymezení obecné a individuální odpovědnosti za řízení informační bezpečnosti, včetně oznamování bezpečnostních incidentů;

odkazy na dokumenty, které mohou politiku podporovat, např. podrobnější bezpečnostní zásady a postupy pro jednotlivé informační systémy nebo bezpečnostní pravidla, která musí uživatelé dodržovat.

Tato politika zabezpečení informací by měla být sdělena všem uživatelům organizace ve formě, která je relevantní, přístupná a srozumitelná zamýšleným čtenářům.

Jiná informace

Politika bezpečnosti informací by měla být součástí obecnější zdokumentované politiky. Pokud politika bezpečnosti informací přesahuje hranice organizace, musí být přijata opatření k zamezení prozrazení důvěrná informace. dodatečné informace obsažené v ISO/IEC 13335-1:2004.

Za dobu, která uplynula od vzniku samotného konceptu informační bezpečnosti, bylo vyvinuto mnoho takových politik - v každé společnosti se management sám rozhoduje, jak a jaké informace chránit (kromě případů, které podléhají oficiálním zákonným požadavkům ). Ruská Federace). Politiky jsou obvykle formalizovány: je vypracována vhodná regulace. Zaměstnanci podniku jsou povinni takový dokument dodržovat. I když ne všechny tyto dokumenty jsou nakonec účinné. Níže zvážíme všechny součásti politiky bezpečnosti informací a určíme hlavní aspekty, které jsou nezbytné pro její účinnost.

Proč je zabezpečení informací formalizováno?

Ustanovení o politice bezpečnosti informací se nejčastěji objevují ve formě samostatného dokumentu v souladu s požadavky regulátora - organizace, která upravuje pravidla práce právnické osoby v tom či onom odvětví. Pokud ustanovení o bezpečnosti informací neexistuje, nejsou vyloučeny určité represálie vůči narušiteli, které mohou vést až k pozastavení jeho činnosti.

Bezpečnostní politika je také povinnou součástí určitých standardů (místních nebo mezinárodních). Je nutné splnit specifické požadavky, které obvykle předkládají externí auditoři, kteří studují činnost organizace. Absence bezpečnostní politiky vytváří negativní zpětnou vazbu a taková hodnocení negativně ovlivňují takové ukazatele, jako je rating, úroveň spolehlivosti, investiční atraktivita atd.

Materiály o bezpečnosti informací se objevují, když vrcholový management sám pochopí potřebu strukturovaného přístupu k tématu informační bezpečnosti. Taková řešení lze realizovat po zavedení technických prostředků, kdy se ukáže, že s těmito prostředky je třeba hospodařit, musí být pod neustálou kontrolou. Informační bezpečnost často zahrnuje i otázky vztahů s personálem (zaměstnance lze považovat nejen za osobu, kterou je třeba chránit, ale i za objekt, před kterým je třeba chránit informace), další aspekty a faktory, které jdou nad rámec samotné ochrany. počítačová síť a zabránit neoprávněnému přístupu k němu.

Přítomnost příslušných ustanovení ukazuje na životaschopnost organizace v otázkách informační bezpečnosti, její vyspělost. Jasná formulace pravidel informační bezpečnosti je důkazem toho, že v tento proces došlo k výraznému pokroku.

Neúspěšné zásady

Samotná existence dokumentu s názvem „Předpisy o informační bezpečnosti“ není zárukou informační bezpečnosti jako takové. Bude-li uvažováno pouze v rámci splnění některých požadavků, avšak bez praktické aplikace, bude efekt nulový.

Neefektivní bezpečnostní politika, jak ukazuje praxe, je dvojího druhu: dobře formulovaná, ale nerealizovaná, a implementovaná, ale ne jasně formulovaná.

První je zpravidla zcela běžný v organizacích, ve kterých úředník pro ochranu informací jednoduše stahuje podobné dokumenty z internetu, provádí minimální úpravy a problémy. hlavní pravidla ke schválení vedení. Na první pohled se tento přístup zdá být pragmatický. Principy bezpečnosti v různých organizacích, i když se zaměření jejich činnosti liší, jsou často podobné. Problémy s informační bezpečností však mohou nastat při přechodu od obecného konceptu informační bezpečnosti ke každodenní práci s dokumenty, jako jsou postupy, metodiky, standardy atd. Vzhledem k tomu, že bezpečnostní politika byla původně formulována pro jinou strukturu, mohou nastat určité potíže s přizpůsobením každodenní dokumenty.

Neefektivní politika druhého typu zahrnuje snahu řešit problém nikoli přijímáním obecných strategických plánů, ale momentálními rozhodnutími. Například, Správce systému, unavený z toho, že uživatelé svými neopatrnými manipulacemi narušují síť, provede následující akce: vezme list papíru a za deset minut načrtne pravidla (co se smí a co nesmí, kdo má povolený přístup k datům určitou vlastnost, a kdo není) a tituly to je "Politika". Pokud vedení takovou „Zásadu“ schválí, může později sloužit jako základ pro činnost struktury v oblasti informační bezpečnosti po léta, což vytváří hmatatelné problémy: například se zaváděním nových technologií nelze vždy nainstalujte potřebný software. V důsledku toho se začnou povolovat výjimky z pravidel (například je potřeba nějaký program, je drahý a zaměstnanec přesvědčí vedení, aby použilo nelicencovanou verzi v rozporu s dříve stanovenými bezpečnostními pravidly), což ruší veškerou ochranu.

Vývoj efektivního systému informační bezpečnosti

Pro vytvoření efektivního systému informační bezpečnosti by mělo být vyvinuto následující:

• koncepce informační bezpečnosti (obecně definuje politiku, její principy a cíle);
• standardy (pravidla a principy informační bezpečnosti v každé konkrétní oblasti);
• postup (popis konkrétních úkonů k ochraně informací při práci s nimi: osobní údaje, přístup k informačním médiím, systémům a zdrojům);
• pokyny (podrobný popis toho, co a jak udělat pro organizaci ochrana informací a zajištění stávajících norem).

Všechny výše uvedené dokumenty by měly být vzájemně propojeny a neměly by si odporovat.

Také pro efektivní organizace informační bezpečnost by měla vypracovat nouzové plány. Jsou nezbytné v případě obnovy informačních systémů v případě vyšší moci: nehody, katastrofy atd.

Struktura koncepce ochrany

Hned si všimneme, že koncept informační bezpečnosti není totožný se strategií. První je statický, zatímco druhý je dynamický.

Hlavní části bezpečnostní koncepce jsou:

• definice IS;
• bezpečnostní struktura;
• popis bezpečnostního kontrolního mechanismu;
• odhad rizika;
• informační bezpečnost: zásady a standardy;
• povinnosti a odpovědnosti každého odboru, úřadu nebo oddělení při provádění ochrany nosiče informací a další údaje;
• odkazy na další bezpečnostní předpisy.

Kromě toho nebude nadbytečný oddíl popisující hlavní kritéria účinnosti v oblasti ochrany. důležitá informace. Ukazatele účinnosti ochrany jsou nezbytné především pro vrcholový management. Umožňují vám objektivně posoudit organizaci bezpečnosti, aniž byste se ponořili do technických nuancí. Vlastník bezpečnostní organizace také potřebuje znát jasná kritéria pro hodnocení účinnosti informační bezpečnosti, aby pochopil, jak bude management hodnotit jeho práci.

Seznam základních požadavků na bezpečnostní dokumentaci

Bezpečnostní politika by měla být formulována s ohledem na dva hlavní aspekty:

1. Cílovou skupinou, pro kterou jsou všechny bezpečnostní informace určeny, jsou střední manažeři a řadoví zaměstnanci, kteří neznají specifickou odbornou terminologii, ale musí porozumět a osvojit si informace poskytnuté při čtení pokynů.
2. Návod musí být stručný a obsahovat vše nezbytné informace o uplatňované politice. Nikdo nebude objemné „folio“ podrobně studovat, natož si ho pamatovat.

Z výše uvedeného vyplývají dva požadavky na metodické materiály o bezpečnosti:

• musí být napsány prostou ruštinou, bez použití speciálních odborných výrazů;
• text o bezpečnosti by měl obsahovat cíle, způsoby jejich dosažení s uvedením přidělení míry odpovědnosti za nedodržení informační bezpečnosti. Všechno! Žádné technické nebo jiné specifické informace.

Organizace a implementace informační bezpečnosti

Poté, co je dokumentace o bezpečnosti informací připravena, je potřeba plánovaná organizace práce pro její implementaci do každodenní práce. K tomu potřebujete:

• seznámit tým se schválenou politikou zpracování informací;
• seznámit všechny nové zaměstnance s touto politikou zpracování informací (např. pořádat informační semináře nebo kurzy, na kterých poskytnou komplexní vysvětlení);
• pečlivě studovat stávající obchodní procesy s cílem odhalit a minimalizovat rizika;
• aktivně se podílet na prosazování nových obchodních procesů, abychom nezůstali beznadějně pozadu v oblasti informační bezpečnosti;
• vypracovat podrobné metodické a informační materiály, pokyny, které doplňují zásady zpracování informací (například pravidla pro udělování přístupu k práci na internetu, postup při vstupu do vyhrazených prostor, seznam informační kanály, jehož prostřednictvím můžete přenášet důvěrná data, pokyny pro práci s informačními systémy apod.);
• jednou za tři měsíce prověřit a upravit přístup k informacím, postup práce s nimi, aktualizovat dokumentaci přijatou na IS, neustále sledovat a studovat existující hrozby IS.

Osoby, které se snaží získat neoprávněný přístup k informacím

Na závěr klasifikujeme ty, kteří mohou nebo chtějí přijímat neautorizovaný přístup k informacím.

Potenciální externí vetřelci:

1. Návštěvníci kanceláře.
2. Dříve propuštění zaměstnanci (zejména ti, kteří odešli se skandálem a vědí, jak se dostat k informacím).
3. Hackeři.
4. Struktury třetích stran, včetně konkurentů, a také zločinecké skupiny.

Potenciální zasvěcenci:

1. Uživatelé počítačová technologie z řad zaměstnanců.
2. Programátoři, správci systému.
3. Technický personál.

Pro organizaci spolehlivou ochranu informace z každé z těchto skupin vyžadují svá vlastní pravidla. Pokud si návštěvník může jednoduše vzít s sebou nějaký list s důležitými údaji, pak může technický pracovník vytvořit neregistrovaný vstupní a výstupní bod z LAN. Každý z případů je únikem informací. V prvním případě stačí vypracovat pravidla pro chování personálu na úřadě, v druhém případě sáhnout po technických prostředcích zvyšujících bezpečnost informací, jako jsou systémy DLP a systémy SIEM zabraňující únikům z počítačových sítí.

Při rozvoji informační bezpečnosti je nutné zohlednit specifika uvedených skupin a zajistit pro každou z nich účinná opatření k zamezení úniku informací.

Zásady zabezpečení informací (příklad)

Shrnutí zásad

Informace musí být vždy chráněny, bez ohledu na jejich formu a způsob distribuce, přenosu a uchovávání.

Úvod

Informace mohou existovat v mnoha různých formách. Může být vytištěn nebo napsán na papíře, uložen v v elektronické podobě zaslané poštou nebo pomocí elektronická zařízení, být zobrazeny na páskách nebo přenášeny ústně v procesu komunikace.

Informační bezpečnost je ochrana informací před různými hrozbami, navržená tak, aby zajistila kontinuitu podnikání, minimalizovala obchodní rizika a maximalizovala návratnost investic a zajistila obchodní příležitosti.

Rozsah

Tato politika posiluje celkovou bezpečnostní politiku organizace.
Tato politika platí pro všechny zaměstnance organizace.

Cíle informační bezpečnosti

1. Pochopení a zvládnutí strategických a provozních rizik informační bezpečnosti tak, aby byla přijatelná pro organizaci.

2. Ochrana důvěrnosti informací o zákaznících, vývoji produktů a marketingových plánů.

3. Zachování integrity účetních materiálů.

4. Soulad sdílených webových služeb a intranetů s příslušnými standardy přístupnosti.

Principy informační bezpečnosti

1. Tato organizace podporuje přijímání rizik a překonává rizika, která nemohou překonat organizace s konzervativním vedením, za předpokladu, že rizika jsou pochopena, sledována a v případě potřeby zpracována pro informace. Detailní popis přístupy používané k hodnocení a léčbě rizik lze nalézt v politice ISMS.

2. Všichni zaměstnanci si musí být vědomi bezpečnosti informací a odpovídat za ni ve vztahu ke svým pracovním povinnostem.

3. Mělo by být vynaloženo úsilí na financování kontrol bezpečnosti informací a procesů projektového řízení.

4. Potenciál podvodu a zneužití v informačních systémech je třeba vzít v úvahu obecné vedení informační systémy.

5. Měly by být k dispozici zprávy o stavu informační bezpečnosti.

6. Monitorujte rizika informační bezpečnosti a podnikněte kroky, když změny přinášejí neočekávaná rizika.

7. Kritéria pro klasifikaci rizik a přijatelnost rizik lze nalézt v politice ISMS.

8. Neměly by být povoleny situace, které mohou vést organizaci k porušování zákonů a zavedených norem.

Oblasti odpovědnosti

1. Senior Even Leadership Group je odpovědný za zajištění toho, že informace jsou v celé organizaci náležitě zpracovávány.

2. Každý vyšší manažer je odpovědný za to, že zaměstnanci pracující pod jeho dohledem udržují bezpečnost informací v souladu se standardy organizace.

3. Vedoucí bezpečnostního oddělení radí týmu vyššího managementu, poskytuje odbornou pomoc zaměstnancům organizace a zajišťuje dostupnost zpráv o stavu informační bezpečnosti.

4. Každý v organizaci je odpovědný za informační bezpečnost v rámci svých pracovních povinností.

Klíčové poznatky

1. Incidenty v oblasti bezpečnosti informací by neměly vést k velkým neočekávaným nákladům nebo zásadnímu narušení služeb a obchodních operací.

2. Ztráty způsobené podvodem musí být známy a v přijatelných mezích.

3. Otázky bezpečnosti informací by neměly nepříznivě ovlivnit přijetí produktů a služeb zákazníky

Související zásady

Následující podrobné zásady obsahují zásady a doporučení pro konkrétní aspekty bezpečnosti informací:

1. Politika systému řízení bezpečnosti informací (ISMS);

2. Zásady řízení přístupu;

3. Zásady čistého stolu a čisté obrazovky;

4. Neautorizovaná softwarová politika;

5. Zásady týkající se příjmu softwarových souborů z nebo prostřednictvím externích sítí;

6. Zásady týkající se mobilní kód;

7. Politika Rezervovat kopii;

8. Zásady týkající se výměny informací mezi organizacemi;

9. Zásady přijatelného užívání elektronické prostředky komunikace;

10. Zásady uchovávání záznamů;

11. Zásady používání síťové služby;

12. Zásady týkající se mobilních počítačů a komunikací;

13. Zásady práce na dálku;

14. Zásady používání kryptografické kontroly;

15. Zásady dodržování předpisů;

16. Zásady licencování softwaru;

17. Zásady odstraňování softwaru;

18. Ochrana údajů a zásady ochrany osobních údajů.

Všechny tyto zásady posilují:

· identifikace rizik poskytnutím rámce kontrol, které lze použít k odhalení nedostatků v návrhu a implementaci systému;

· ošetření rizik pomocí pomoci při určování způsobů léčby konkrétních zranitelností a hrozeb.

Politika bezpečnosti informací společnosti

· 1. Obecná ustanovení

o 1.1. Účel a účel těchto Zásad

o 1.2. Rozsah těchto zásad

o 2.1. Odpovědnost za informační aktiva

o 2.2. Řízení přístupu k informační systémy

§ 2.2.1. Obecná ustanovení

§ 2.2.2. Přístup třetích stran do systémů společnosti

§ 2.2.3. Vzdálený přístup

§ 2.2.4. Přístup na internet

o 2.3. Ochrana zařízení

§ 2.3.1. Hardware

§ 2.3.2. Software

o 2.5. Hlášení, odezva a hlášení incidentů bezpečnosti informací

o 2.6. Prostory s technické prostředky informační bezpečnost

o 2.7. Správa sítě

o 2.7.1. Ochrana dat a bezpečnost

o 2.8. Vývoj systému a řízení změn

Obecná ustanovení

Informace jsou cenné a životně důležité důležitý zdroj YOUR_COPANIA (dále jen Společnost). Tato politika zabezpečení informací stanoví přijetí nezbytných opatření k ochraně majetku před náhodnou nebo úmyslnou úpravou, zveřejněním nebo zničením, jakož i zachování důvěrnosti, integrity a dostupnosti informací, aby byl zajištěn proces automatizovaného zpracování dat ve Společnosti. .

Za dodržování informační bezpečnosti je odpovědný každý zaměstnanec Společnosti, přičemž prvořadým úkolem je zajistit bezpečnost veškerého majetku Společnosti. To znamená, že informace musí být chráněny neméně spolehlivě než jakékoli jiné hlavní aktivum společnosti. Hlavních cílů Společnosti nelze dosáhnout bez včasného a plné zajištění zaměstnancům informace, které potřebují k plnění svých povinností.

V těchto Zásadách se termín „zaměstnanec“ vztahuje na všechny zaměstnance Společnosti. Ustanovení těchto Zásad se vztahují na osoby pracující ve Společnosti na základě občanskoprávních smluv, včetně těch, které byly dočasně přiděleny, pokud je to stanoveno v takové dohodě.