• خط مشی امنیت اطلاعات شرکت سیاست امنیت اطلاعات سازمان

    در این مبحث سعی خواهم کرد راهنمای توسعه مستندات نظارتی در این زمینه را تدوین کنم امنیت اطلاعاتبرای یک ساختار تجاری، بر اساس تجربه شخصیو مواد از وب

    در اینجا می توانید پاسخ سوالات را بیابید:

    • چرا یک سیاست امنیت اطلاعات مورد نیاز است؟
    • چگونه آن را بسازیم؛
    • نحوه استفاده از آن

    نیاز به سیاست امنیت اطلاعات
    این بخش لزوم اجرای خط مشی امنیت اطلاعات و اسناد همراه آن را نه به زبان زیبای کتاب های درسی و استانداردها، بلکه با استفاده از مثال هایی از تجربیات شخصی بیان می کند.
    درک اهداف و مقاصد بخش امنیت اطلاعات
    قبل از هر چیز، سیاست به منظور انتقال اهداف و مقاصد امنیت اطلاعات شرکت به کسب و کار ضروری است. یک کسب و کار باید درک کند که یک افسر امنیتی نه تنها ابزاری برای بررسی نشت داده ها است، بلکه کمکی برای به حداقل رساندن ریسک های شرکت و در نتیجه افزایش سودآوری شرکت است.
    الزامات خط مشی مبنای اجرای پادمان ها هستند
    سیاست امنیت اطلاعات برای توجیه اعمال اقدامات حفاظتی در شرکت ضروری است. این سیاست باید به تایید بالاترین ارگان اداری شرکت برسد ( مدیر عامل، هیئت مدیره و غیره)

    هر گونه حفاظتی سازش بین کاهش ریسک و تجربه کاربر است. وقتی یک فرد امنیتی می گوید که یک فرآیند به دلیل ظاهر شدن برخی از خطرات به هیچ وجه نباید اتفاق بیفتد، همیشه یک سوال منطقی از او پرسیده می شود: "چگونه باید اتفاق بیفتد؟" افسر امنیتی نیاز به ارائه یک مدل فرآیندی دارد که در آن این خطرات تا حدی کاهش می یابد که برای کسب و کار رضایت بخش باشد.

    در عین حال هرگونه اعمال هرگونه تدابیر حفاظتی در خصوص تعامل کاربر با سیستم اطلاعاتی شرکت همواره باعث واکنش منفی کاربر می شود. آنها نمی خواهند دوباره آموزش ببینند، دستورالعمل های طراحی شده برای آنها را مطالعه کنند و غیره. اغلب کاربران سوالات منطقی می پرسند:

    • چرا من باید بر اساس طرح اختراع شده شما کار کنم و نه آن ها به روشی سادهکه من همیشه استفاده کرده ام
    • که همه اینها را به وجود آورد
    تمرین نشان داده است که کاربر به خطرات اهمیت نمی دهد، می توانید برای مدت طولانی و خسته کننده در مورد هکرها، قوانین کیفری و غیره برای او توضیح دهید، چیزی جز هدر دادن سلول های عصبی از این کار حاصل نمی شود.
    اگر شرکت دارای خط مشی امنیت اطلاعات است، می توانید پاسخی مختصر و مختصر بدهید:
    این اقدام به منظور رعایت الزامات خط مشی امنیت اطلاعات شرکت که به تایید مقام عالی اداری شرکت رسیده است، ارائه شده است.

    به عنوان یک قاعده، پس از اینکه انرژی اکثر کاربران از بین می رود. بقیه را می توان برای نوشتن یادداشت به این عالی ترین نهاد اداری شرکت پیشنهاد داد. در اینجا بقیه حذف می شوند. زیرا حتی اگر تبصره به آنجا هم برود، همیشه می توانیم لزوم اقدامات انجام شده را به رهبری ثابت کنیم. ما نان خود را بیهوده نمی خوریم، درست است؟ هنگام تدوین یک خط مشی باید به دو نکته توجه داشت.
    • مخاطبان خط مشی امنیت اطلاعات، کاربران نهایی و مدیریت ارشد شرکت هستند که عبارات فنی پیچیده را درک نمی کنند، اما باید با این خط مشی آشنا باشند.
    • نیازی نیست که سعی کنید چیزهای غیرقابل تصور را برای گنجاندن همه چیزهایی که ممکن است در این سند انجام دهید! فقط باید اهداف IB، روش های دستیابی به آنها و مسئولیت وجود داشته باشد! در صورت نیاز به دانش خاصی، جزئیات فنی وجود ندارد. اینها همه مواد برای دستورالعمل ها و مقررات هستند.


    سند نهایی باید شرایط زیر را داشته باشد:
    • مختصر بودن - حجم زیادی از سند هر کاربری را می ترساند، هیچ کس هرگز سند شما را نخواهد خواند (و شما از این عبارت بیش از یک بار استفاده خواهید کرد: "این نقض خط مشی امنیت اطلاعات است که به شما معرفی شده است")
    • دسترسی به عموم مردم کاربر نهاییباید بفهمد که چه چیزی در خط مشی نوشته شده است (او هرگز کلمات و عبارات "ژورنال نویسی"، "مدل متخلف"، "حادثه امنیت اطلاعات"، "را نمی خواند و به خاطر می آورد. زیرساخت اطلاعاتی"تکنوژنیک"، "انتروپوژنیک"، "عامل خطر" و غیره)
    چگونه می توان به این امر دست یافت؟

    در واقع، همه چیز بسیار ساده است: خط مشی امنیت اطلاعات باید یک سند سطح اول باشد، باید با اسناد دیگر (مقررات و دستورالعمل ها) که قبلاً چیزی خاص را توصیف می کند، گسترش یافته و تکمیل شود.
    می توان با دولت قیاس کرد: سند سطح اول قانون اساسی است و دکترین ها، مفاهیم، ​​قوانین و سایر قوانین هنجاری موجود در دولت فقط تکمیل کننده و تنظیم کننده اجرای مفاد آن است. یک طرح نمونه در شکل نشان داده شده است.

    برای اینکه فرنی را روی بشقاب آغشته نکنید، بیایید فقط به نمونه هایی از سیاست های امنیت اطلاعات که در اینترنت یافت می شوند نگاه کنیم.

    تعداد صفحات قابل استفاده* شرایط بارگیری شد نمره کلی
    JSC "Gazprombank" 11 خیلی بالا
    JSC "صندوق توسعه کارآفرینی "دامو" 14 بالا سندی پیچیده برای خواندن متفکرانه، عامی نمی خواند و اگر بخواند نمی فهمد و به خاطر نمی آورد.
    JSC NC KazMunayGas 3 کم سندی آسان برای درک که با اصطلاحات فنی بیش از حد بارگذاری نشده است
    JSC "موسسه رادیوتکنیک به نام آکادمی A. L. Mints" 42 خیلی بالا سند دشوار برای خواندن متفکرانه، افراد غیر عادی نمی خواهند - صفحات بیش از حد

    * مفید تعداد صفحات را بدون فهرست مطالب تماس می دهم، صفحه عنوانو صفحات دیگری که حاوی اطلاعات خاصی نیستند

    خلاصه

    خط مشی امنیت اطلاعات باید در چندین صفحه قرار گیرد، برای افراد غیر عادی قابل درک باشد و در آن توضیح داده شود نمای کلیاهداف IS، روشهای دستیابی به آنها و مسئولیت کارکنان.
    پیاده سازی و استفاده از سیاست امنیت اطلاعات
    پس از تایید خط مشی IS، لازم است:
    • آشنایی همه کارکنان موجود با خط مشی؛
    • همه کارمندان جدید را با این خط مشی آشنا کنید (نحوه انجام این کار موضوعی برای بحث جداگانه است، ما یک دوره مقدماتی برای تازه واردان داریم که در آنجا با توضیحات صحبت می کنم).
    • تجزیه و تحلیل فرآیندهای تجاری موجودبه منظور شناسایی و به حداقل رساندن خطرات؛
    • در ایجاد فرآیندهای تجاری جدید شرکت کنید، به طوری که بعد از قطار دویدن نکنید.
    • تدوین مقررات، رویه‌ها، دستورالعمل‌ها و سایر اسنادی که خط مشی را تکمیل می‌کنند (دستورالعمل‌هایی برای دسترسی به اینترنت، دستورالعمل‌هایی برای دسترسی به اماکن با دسترسی محدود، دستورالعمل کار با سیستم های اطلاعاتی شرکت و غیره)؛
    • خط مشی IS و سایر اسناد IS را حداقل هر سه ماه یک بار مرور کنید تا آنها را به روز کنید.

    برای سوالات و پیشنهادات، به نظرات و PM خوش آمدید.

    سوال %username%

    وقتی صحبت از سیاست به میان می‌آید، رئیس‌ها چیزی را که من می‌خواهم دوست ندارند به زبان ساده. آنها به من می گویند: "به جز من و شما و 10 کارمند IT دیگر که خودشان همه چیز را می دانند و می فهمند، 200 نفر هستند که چیزی از این موضوع نمی فهمند، نیمی از آنها مستمری بگیر هستند."
    من مسیر اختصار متوسط ​​توصیفات را در پیش گرفتم، مثلاً قوانین محافظت از آنتی ویروس، و در زیر می نویسم که مانند یک خط مشی محافظت ضد ویروس و غیره وجود دارد. اما نمی‌فهمم که کاربر خط‌مشی را امضا می‌کند یا خیر، اما دوباره باید یک سری اسناد دیگر را بخواند، به نظر می‌رسد که این خط‌مشی را کاهش داده است، اما به نظر می‌رسد که اینطور نیست.

    در اینجا من مسیر تحلیل فرآیند را دنبال می کنم.
    بیایید بگوییم محافظت در برابر ویروس. منطقا باید اینجوری باشه

    ویروس ها چه خطراتی برای ما دارند؟ نقض یکپارچگی (آسیب) اطلاعات، نقض در دسترس بودن (از کار افتادن سرورها یا رایانه های شخصی) اطلاعات. با سازماندهی مناسب شبکه، کاربر نباید حقوقی داشته باشد مدیر محلیدر سیستم، یعنی او نباید حق نصب نرم افزار (و در نتیجه ویروس ها) را در سیستم داشته باشد. بنابراین، بازنشستگان سقوط می کنند، زیرا آنها در اینجا تجارت نمی کنند.

    چه کسی می تواند خطرات مرتبط با ویروس ها را کاهش دهد؟ کاربران با حقوق مدیریت دامنه مدیر دامنه - نقش حساسی که برای کارمندان بخش های فناوری اطلاعات و غیره صادر می شود. بر این اساس باید آنتی ویروس نصب کنند. معلوم می شود که فعالیت سیستم آنتی ویروسآنها نیز مسئول هستند. بر این اساس، آنها باید دستورالعمل سازماندهی حفاظت ضد ویروس را امضا کنند. در واقع، این مسئولیت باید در دستورالعمل مشخص شود. به عنوان مثال، افسر امنیتی حکم می کند، ادمین ها اجرا می کنند.

    سوال %username%

    سپس سوال این است که مسئولیت ایجاد و استفاده از ویروس ها در دستورالعمل Anti-virus SI چه چیزی نباید درج شود (یا مقاله ای وجود دارد و نمی توانید آن را ذکر کنید)؟ یا اینکه آنها باید یک ویروس یا رفتار عجیب رایانه شخصی را به Help Desk یا کارکنان فناوری اطلاعات گزارش دهند؟

    باز هم از سمت مدیریت ریسک نگاه می کنم. بوی GOST 18044-2007 را می دهد.
    در مورد شما " رفتار عجیب«این لزوماً هنوز یک ویروس نیست. این می تواند ترمز سیستم یا gp و غیره باشد. بر این اساس، این یک حادثه نیست، بلکه یک رویداد امنیت اطلاعات است. باز هم، طبق GOST، هر شخصی می تواند یک رویداد را اعلام کند، اما درک حادثه یا نه تنها پس از تجزیه و تحلیل امکان پذیر است.

    بنابراین، این سوال شما دیگر به سیاست امنیت اطلاعات ترجمه نمی شود، بلکه به مدیریت حوادث تبدیل می شود. باید در خط مشی شما قید شود که شرکت باید یک سیستم رسیدگی به حوادث داشته باشد.

    یعنی همانطور که می بینید اجرای اداری سیاست عمدتا به ادمین ها و نگهبانان محول می شود. کاربران سفارشی باقی می مانند.

    بنابراین، شما باید نوعی "روش استفاده از CBT در شرکت" را ترسیم کنید، که در آن باید مسئولیت های کاربران را مشخص کنید. این سند باید با خط مشی امنیت اطلاعات مرتبط باشد و به اصطلاح توضیحی برای کاربر باشد.

    که در این سندمی توانید مشخص کنید که کاربر موظف است در مورد فعالیت غیرعادی رایانه به مقامات مربوطه اطلاع دهد. خوب، شما می توانید هر چیز دیگر سفارشی را در آنجا اضافه کنید.

    در کل، شما باید کاربر را با دو سند آشنا کنید:

    • سیاست امنیت اطلاعات (به طوری که او بفهمد چه کاری انجام می شود و چرا، قایق را تکان نمی دهد، هنگام معرفی سیستم های کنترل جدید فحش نمی دهد، و غیره)
    • این "رویه استفاده از CBT در شرکت" (به طوری که او بفهمد دقیقاً در شرایط خاص چه کاری انجام دهد)

    بر این اساس هنگام اجرا سیستم جدید، شما به سادگی چیزی را به "سفارش" اضافه می کنید و با ارسال سفارش از طریق ایمیل (یا از طریق EDMS، در صورت وجود) آن را به کارکنان اطلاع می دهید.

    برچسب ها:

    • امنیت اطلاعات
    • مدیریت ریسک ها
    • خط مشی امنیتی
    افزودن برچسب

    هدف: اطمینان از اینکه امنیت اطلاعات مطابق با الزامات تجاری و همچنین چارچوب قانونی و نظارتی فعلی توسط مدیریت مدیریت و پشتیبانی می شود. مدیریت باید یک جهت راهبردی روشن تعیین کند و با انتشار و حفظ یک خط مشی امنیت اطلاعات در سراسر سازمان، حمایت و تعهد خود را به امنیت اطلاعات نشان دهد.

    خط مشی امنیت اطلاعات مهمترین سند در سیستم مدیریت امنیت اطلاعات (ISMS) یک سازمان است که به عنوان یکی از مکانیسم های امنیتی کلیدی عمل می کند.

    بر اساس ISO 17799، یک خط مشی امنیت اطلاعات مستند باید تعهد مدیریت را بیان کند و رویکردی برای مدیریت امنیت اطلاعات ایجاد کند، مفهوم امنیت اطلاعات، اهداف و دامنه اصلی آن را تعریف کند، حاوی مقررات اصلی برای تعیین اهداف و مکانیسم های کنترل باشد. از جمله ارزیابی ریسک و چارچوب مدیریت، و موارد دیگر.

    طبق استاندارد ISO 27001، خط مشی امنیت اطلاعات زیرمجموعه ای از یک سند کلی تر است - خط مشی ISMS، که شامل مقررات اصلی برای تعیین اهداف ISMS است و جهت و اصول کلی فعالیت را در رابطه با امنیت اطلاعات تعیین می کند. در نظر گرفتن الزامات کسب و کار، قانونگذاری یا چارچوب قانونی، تعهدات قراردادی، تعیین معیارهای ارزیابی ریسک و غیره.

    سیاست امنیت اطلاعات و خط مشی ISMS سازمان را می توان در همان سند شرح داد. تدوین چنین سندی کار ساده ای نیست و بسیار مسئولیت پذیر است. از یک سو، خط مشی امنیت اطلاعات باید برای همه کارکنان سازمان به اندازه کافی گنجانده و قابل درک باشد. از سوی دیگر، کل سیستم اقدامات برای تضمین امنیت اطلاعات بر اساس این سند ساخته شده است، بنابراین باید به اندازه کافی کامل و جامع باشد. هر گونه حذف و ابهام می تواند عملکرد ISMS سازمان را به طور جدی تحت تاثیر قرار دهد. خط مشی امنیت اطلاعات باید به طور کامل با الزامات استانداردهای بین المللی ISO 27001/17799 مطابقت داشته باشد. این شرط لازمبرای صدور گواهینامه موفق

    BS ISO/IEC 27001:2005 4.2.1 ب) خط مشی ISMS:

    یک خط مشی ISMS را از نظر ویژگی های تجاری، سازمان، مکان، منابع و فناوری تعریف کنید که:

      شامل چارچوبی برای تعریف اهداف خود و تعیین جهت و اصول کلی فعالیت در رابطه با امنیت اطلاعات.

      الزامات تجاری و الزامات چارچوب قانونی یا نظارتی و همچنین تعهدات قراردادی در زمینه امنیت را در نظر می گیرد.

      با زمینه استراتژیک مدیریت ریسک در سازمانی که ایجاد و نگهداری ISMS در آن انجام خواهد شد، ادغام می شود.

      معیارهایی را برای ارزیابی ریسک ها تعیین می کند (به 4.2.1c مراجعه کنید). و

      تایید شده توسط مدیریت

    توجه: در این استاندارد بین المللی، خط مشی ISMS به عنوان مجموعه ای از خط مشی امنیت اطلاعات در نظر گرفته می شود. این سیاست ها را می توان در یک سند توصیف کرد.

    BS ISO/IEC 17799:2005 5.1.1 سیاست امنیت اطلاعات مستند:

    مکانیزم کنترل

    یک خط مشی امنیت اطلاعات مستند باید توسط مدیریت تأیید شود، منتشر شده و به همه کارکنان سازمان و طرف های خارجی که در مورد آنها اعمال می شود ابلاغ شود.

    راهنمای پیاده سازی

    یک خط مشی امنیت اطلاعات مستند باید تعهد مدیریت را بیان کند و رویکردی برای مدیریت امنیت اطلاعات در سازمان ایجاد کند. خط مشی مستند باید حاوی عبارات زیر باشد:

      تعریف مفهوم امنیت اطلاعات، اهداف اصلی آن، دامنه و اهمیت امنیت به عنوان مکانیزمی که امکان انجام آن را فراهم می کند. اشتراک گذاریاطلاعات (به مقدمه مراجعه کنید).

      بیانیه قصد مدیریت برای حمایت از دستیابی به اهداف و انطباق با اصول امنیت اطلاعات مطابق با اهداف و استراتژی کسب و کار؛

      مقررات اساسی برای تعیین اهداف و مکانیسم های کنترل، از جمله ساختار ارزیابی ریسک و مدیریت؛

      توضیح مختصری از سیاست های امنیتی، استانداردها، اصول و الزامات مربوط به سازمان، از جمله:

        انطباق با الزامات قانون، چارچوب نظارتی و قراردادها؛

        آگاهی امنیتی، الزامات آموزشی و آموزشی؛

        مدیریت تداوم کسب و کار؛

        پیامدهای نقض خط مشی امنیت اطلاعات؛

      تعریف مسئولیت عمومی و فردی برای مدیریت امنیت اطلاعات، از جمله اطلاع رسانی حوادث امنیتی؛

      پیوندهایی به اسنادی که ممکن است این خط‌مشی را پشتیبانی کنند، مانند سیاست‌ها و رویه‌های امنیتی دقیق‌تر برای سیستم‌های اطلاعاتی فردی یا قوانین امنیتی که کاربران باید از آنها پیروی کنند.

    این خط مشی امنیت اطلاعات باید به شکلی که برای خوانندگان مورد نظر مرتبط، در دسترس و قابل درک باشد به همه کاربران سازمان ابلاغ شود.

    اطلاعات دیگر

    خط مشی امنیت اطلاعات باید بخشی از یک سیاست مستند کلی تر باشد. اگر خط مشی امنیت اطلاعات فراتر از مرزهای سازمان گسترش یابد، باید اقداماتی برای جلوگیری از افشای آن اتخاذ شود اطلاعات محرمانه. اطلاعات تکمیلیموجود در ISO/IEC 13335-1:2004.

    سیاست امنیت اطلاعات (IS) مجموعه ای از اقدامات، قوانین و اصولی است که کارکنان یک شرکت/سازمان در عملکرد روزانه خود به منظور حفاظت از منابع اطلاعاتی رعایت می کنند.

    طی مدت زمانی که از ظهور مفهوم امنیت اطلاعات می گذرد، بسیاری از این سیاست ها تدوین شده است - در هر شرکت، مدیریت خودش تصمیم می گیرد که چگونه و از چه اطلاعاتی محافظت کند (علاوه بر مواردی که مشمول قانون رسمی هستند. الزامات). فدراسیون روسیه). سیاست ها معمولاً رسمی می شوند: یک مقررات مناسب تدوین می شود. کارکنان شرکت ملزم به رعایت چنین سندی هستند. اگرچه همه این اسناد در نهایت مؤثر نیستند. در زیر تمام اجزای یک خط مشی امنیت اطلاعات را در نظر می گیریم و جنبه های اصلی را که برای اثربخشی آن ضروری است، تعیین می کنیم.

    چرا امنیت اطلاعات رسمی شده است؟

    مقررات مربوط به سیاست امنیت اطلاعات اغلب در قالب یک سند جداگانه در پیروی از الزامات تنظیم کننده ظاهر می شود - سازمانی که قوانین کار را تنظیم می کند. اشخاص حقوقیدر این یا آن صنعت اگر مقرراتی در مورد امنیت اطلاعات وجود نداشته باشد، اقدامات تلافی جویانه خاص علیه متخلف منتفی نیست، که حتی ممکن است منجر به تعلیق فعالیت های متخلف شود.

    همچنین، سیاست امنیتی جزء الزامی استانداردهای خاص (محلی یا بین المللی) است. رعایت الزامات خاصی که معمولاً توسط حسابرسان خارجی که فعالیت های سازمان را مطالعه می کنند، مطرح می شود، ضروری است. عدم وجود یک سیاست امنیتی بازخورد منفی ایجاد می کند و چنین ارزیابی هایی بر شاخص هایی مانند رتبه بندی، سطح قابلیت اطمینان، جذابیت سرمایه گذاری و غیره تأثیر منفی می گذارد.

    مطالب مربوط به امنیت اطلاعات زمانی ظاهر می شوند که خود مدیریت ارشد نیاز به یک رویکرد ساختاریافته به موضوع امنیت اطلاعات را درک کند. چنین راهکارهایی را می توان پس از معرفی ابزارهای فنی اجرا کرد، وقتی مشخص شد که این وسایل باید مدیریت شوند، باید تحت کنترل دائمی باشند. اغلب، امنیت اطلاعات شامل مسائل مربوط به روابط با پرسنل نیز می شود (یک کارمند را می توان نه تنها به عنوان فردی که باید محافظت شود، بلکه به عنوان یک شی که اطلاعات باید از آن محافظت شود)، سایر جنبه ها و عواملی که فراتر از حفاظت به تنهایی است. شبکه کامپیوتریو از دسترسی غیرمجاز به آن جلوگیری کنید.

    وجود مفاد مربوطه بیانگر توانمندی سازمان در امور امنیت اطلاعات، بلوغ آن است. فرمول روشن قوانین امنیت اطلاعات گواه این است که در این فرآیندپیشرفت قابل توجهی حاصل شده است.

    سیاست های شکست خورده

    صرف وجود سندی با عنوان «مقررات امنیت اطلاعات» تضمینی برای امنیت اطلاعات نیست. اگر صرفاً در چارچوب رعایت برخی الزامات، اما بدون کاربرد عملی در نظر گرفته شود، تأثیر آن صفر خواهد بود.

    سیاست امنیتی ناکارآمد، همانطور که تمرین نشان می دهد، دو نوع است: به خوبی فرموله شده، اما اجرا نشده، و اجرا شده، اما به وضوح تدوین نشده است.

    اولین مورد، به عنوان یک قاعده، در سازمان هایی که در آن افسر حفاظت از اطلاعات به سادگی اسناد مشابه را از اینترنت دانلود می کند، حداقل ویرایش ها و مشکلات را انجام می دهد، بسیار رایج است. قوانین عمومیبرای تایید مدیریت در نگاه اول، این رویکرد عملی به نظر می رسد. اصول امنیت در سازمان های مختلف، حتی اگر تمرکز فعالیت آنها متفاوت باشد، اغلب مشابه است. اما مشکلات مربوط به امنیت اطلاعات می تواند هنگام انتقال از مفهوم کلی امنیت اطلاعات به کارهای روزمره با اسنادی مانند رویه ها، روش ها، استانداردها و غیره ایجاد شود. از آنجایی که خط مشی امنیتی در ابتدا برای ساختار متفاوتی تدوین شده بود، ممکن است مشکلات خاصی در انطباق وجود داشته باشد. اسناد روزمره

    سیاست ناکارآمد نوع دوم شامل تلاش برای حل مشکل نه با اتخاذ برنامه های استراتژیک کلی، بلکه با تصمیم گیری های لحظه ای است. مثلا، مدیر سیستمخسته از این واقعیت که کاربران با دستکاری های بی دقت خود شبکه را مختل می کنند، اقدامات زیر را انجام می دهد: یک ورق کاغذ می گیرد و در ده دقیقه قوانین را ترسیم می کند (چه چیزی مجاز است و چه چیزی مجاز نیست، چه کسی مجاز به دسترسی به داده های مال معین، و کی نیست) و آن را «سیاست» عنوان می کند. اگر مدیریت چنین "سیاست" را تأیید کند، بعداً می تواند سال ها به عنوان مبنایی برای فعالیت های ساختار در زمینه امنیت اطلاعات باشد و مشکلات ملموسی ایجاد کند: به عنوان مثال، با معرفی فناوری های جدید، نمی توانید همیشه نرم افزارهای لازم را نصب کنید. در نتیجه، استثنائات قوانین شروع به مجاز شدن می‌کنند (به عنوان مثال، نوعی برنامه مورد نیاز است، گران است، و کارمند مدیریت را متقاعد می‌کند که از یک نسخه بدون مجوز بر خلاف قوانین امنیتی قبلاً تعیین‌شده استفاده کند)، که تمام حفاظت را باطل می‌کند.

    توسعه یک سیستم کارآمد امنیت اطلاعات

    برای ایجاد یک سیستم امنیت اطلاعات موثر، موارد زیر باید توسعه یابد:

    • مفهوم امنیت اطلاعات (به طور کلی خط مشی، اصول و اهداف آن را تعریف می کند).
    • استانداردها (قوانین و اصول امنیت اطلاعات در هر حوزه خاص)؛
    • رویه (توضیح اقدامات خاص برای محافظت از اطلاعات هنگام کار با آن: داده های شخصی، دسترسی به رسانه های اطلاعاتی، سیستم ها و منابع).
    • دستورالعمل ها (توضیح مفصلی از آنچه و چگونه برای سازمان انجام شود حفاظت از اطلاعاتو اطمینان از استانداردهای موجود).

    تمامی مدارک فوق باید به هم مرتبط بوده و با یکدیگر مغایرت نداشته باشند.

    همچنین برای سازمان موثرامنیت اطلاعات باید برنامه های اضطراری را توسعه دهد. آنها در صورت بازیابی سیستم های اطلاعاتی در صورت فورس ماژور ضروری هستند: حوادث، بلایا و غیره.

    ساختار مفهوم حفاظت

    ما فوراً متذکر می شویم که مفهوم امنیت اطلاعات با استراتژی یکسان نیست. اولی ثابت است، در حالی که دومی پویا است.

    بخش های اصلی مفهوم امنیت عبارتند از:

    • تعریف IB؛
    • ساختار امنیتی؛
    • شرح مکانیسم کنترل امنیتی؛
    • ارزیابی ریسک؛
    • امنیت اطلاعات: اصول و استانداردها؛
    • وظایف و مسئولیت های هر بخش، اداره یا اداره در اجرای حفاظت حامل های اطلاعاتو داده های دیگر؛
    • ارجاع به سایر مقررات ایمنی

    علاوه بر این، بخشی که معیارهای اصلی اثربخشی در زمینه حفاظت را توصیف می کند، اضافی نخواهد بود. اطلاعات مهم. شاخص های اثربخشی حفاظت، اول از همه، برای مدیریت ارشد ضروری است. آنها به شما این امکان را می دهند که سازمان امنیت را بدون پرداختن به تفاوت های فنی ارزیابی کنید. مالک سازمان امنیت همچنین باید معیارهای روشنی را برای ارزیابی اثربخشی امنیت اطلاعات بداند تا بفهمد مدیریت چگونه کار او را ارزیابی خواهد کرد.

    فهرست الزامات اساسی برای اسناد ایمنی

    سیاست امنیتی باید با در نظر گرفتن دو جنبه اصلی تدوین شود:

    1. مخاطب هدفی که تمام اطلاعات ایمنی برای آنها در نظر گرفته شده است، مدیران میانی و کارمندان عادی هستند که اصطلاحات فنی خاصی را نمی دانند، اما باید اطلاعات ارائه شده را هنگام خواندن دستورالعمل ها درک و جذب کنند.
    2. دستورالعمل ها باید مختصر و حاوی همه باشد اطلاعات لازمدر مورد سیاستی که دنبال می شود هیچ کس این "برگ" حجیم را با جزئیات مطالعه نخواهد کرد، چه رسد به اینکه آن را به خاطر بسپارد.

    از موارد فوق، دو الزام برای مواد روش شناختی ایمنی به شرح زیر است:

    • آنها باید به زبان روسی ساده و بدون استفاده از اصطلاحات فنی خاص نوشته شوند.
    • متن در مورد امنیت باید شامل اهداف، راه های دستیابی به آنها باشد، که نشان دهنده تعیین مسئولیت برای عدم رعایت امنیت اطلاعات است. همه! هیچ اطلاعات فنی یا خاص دیگری وجود ندارد.

    سازماندهی و اجرای امنیت اطلاعات

    پس از آماده شدن مستندات مربوط به امنیت اطلاعات، سازماندهی برنامه ریزی شده کار برای پیاده سازی آن در کارهای روزانه مورد نیاز است. برای این شما نیاز دارید:

    • آشنایی تیم با خط مشی پردازش اطلاعات تایید شده؛
    • همه کارمندان جدید را با این خط مشی پردازش اطلاعات آشنا کنید (برای مثال، برگزاری سمینارهای اطلاعاتی یا دوره هایی برای ارائه توضیحات جامع).
    • بررسی دقیق فرآیندهای تجاری موجود به منظور شناسایی و به حداقل رساندن خطرات؛
    • به طور فعال در ترویج فرآیندهای تجاری جدید شرکت کنید تا در زمینه امنیت اطلاعات عقب نمانید.
    • ترسیم دقیق روش شناختی و مواد اطلاعاتی، دستورالعمل هایی که خط مشی پردازش اطلاعات را تکمیل می کند (به عنوان مثال، قوانین اعطای دسترسی به کار در اینترنت، روش ورود به مکان های محدود، یک لیست کانال های اطلاع رسانی، که از طریق آن می توانید داده های محرمانه ، دستورالعمل های کار با سیستم های اطلاعاتی و غیره را منتقل کنید.
    • هر سه ماه یک بار، بررسی و تنظیم دسترسی به اطلاعات، روش کار با آن، به روز رسانی اسناد اتخاذ شده در IS، نظارت و مطالعه دائمی تهدیدات IS موجود.

    افرادی که سعی در دسترسی غیرمجاز به اطلاعات دارند

    در پایان، ما کسانی را که می توانند یا می خواهند دریافت کنند، طبقه بندی می کنیم دسترسی غیرمجازبه اطلاعات

    مزاحمان خارجی بالقوه:

    1. بازدیدکنندگان دفتر
    2. کارمندانی که قبلاً اخراج شده بودند (مخصوصاً آنهایی که با رسوایی رفتند و می دانند چگونه به اطلاعات دسترسی پیدا کنند).
    3. هکرها
    4. ساختارهای شخص ثالث، از جمله رقبا، و همچنین گروه های جنایی.

    خودی های بالقوه:

    1. کاربران فناوری رایانهاز بین کارمندان
    2. برنامه نویسان، مدیران سیستم.
    3. کارکنان فنی.

    برای سازمان حفاظت قابل اعتماداطلاعات هر یک از این گروه ها قوانین خاص خود را می طلبد. اگر یک بازدیدکننده به سادگی بتواند برگه ای حاوی داده های مهم را با خود برد، آنگاه یک فرد فنی می تواند یک نقطه ورود و خروج ثبت نشده از شبکه محلی ایجاد کند. هر کدام از موارد نشت اطلاعات است. در مورد اول، کافی است قوانینی برای رفتار پرسنل در دفتر تدوین کنید، در مورد دوم، به ابزارهای فنی متوسل شوید که امنیت اطلاعات را افزایش می دهد، مانند سیستم های DLP و سیستم های SIEM که از نشت از شبکه های رایانه ای جلوگیری می کند.

    هنگام توسعه امنیت اطلاعات، لازم است مشخصات گروه های ذکر شده در نظر گرفته شود و اقدامات موثری برای جلوگیری از نشت اطلاعات برای هر یک از آنها ارائه شود.

    خط مشی امنیت اطلاعات (مثال)

    خلاصه سیاست

    اطلاعات باید همیشه محافظت شود، صرف نظر از شکل و نحوه توزیع، انتقال و ذخیره آن.

    معرفی

    اطلاعات می تواند به اشکال مختلف وجود داشته باشد. ممکن است چاپ یا روی کاغذ نوشته شود و در آن ذخیره شود در قالب الکترونیکیاز طریق پست یا استفاده از آن منتقل می شود لوازم برقی، روی نوارها نشان داده شود یا به صورت شفاهی در فرآیند ارتباط منتقل شود.

    امنیت اطلاعات حفاظت از اطلاعات در برابر تهدیدات مختلف است که برای تضمین تداوم کسب و کار، به حداقل رساندن ریسک تجاری و به حداکثر رساندن بازگشت سرمایه و تضمین فرصت های تجاری طراحی شده است.

    محدوده

    این سیاستسیاست امنیتی کلی سازمان را تقویت می کند.
    این سیاست برای کلیه کارکنان سازمان اعمال می شود.

    اهداف امنیت اطلاعات

    1. درک و رسیدگی به ریسک های امنیت اطلاعات استراتژیک و عملیاتی به گونه ای که برای سازمان قابل قبول باشد.

    2. حفاظت از محرمانه بودن اطلاعات مشتری، توسعه محصول و برنامه های بازاریابی.

    3. حفظ یکپارچگی مواد حسابداری.

    4. انطباق سرویس های وب مشترک و اینترانت با استانداردهای دسترسی مرتبط.

    اصول امنیت اطلاعات

    1. این سازمان پذیرش ریسک را ترویج می‌کند و بر ریسک‌هایی غلبه می‌کند که سازمان‌ها با مدیریت محافظه‌کارانه نمی‌توانند بر آن‌ها غلبه کنند، مشروط بر اینکه ریسک‌ها درک، نظارت و در صورت لزوم برای اطلاعات پردازش شوند. توصیف همراه با جزئیاترویکردهای مورد استفاده برای ارزیابی و درمان خطرات را می توان در خط مشی ISMS یافت.

    2. همه پرسنل باید از امنیت اطلاعات در رابطه با مسئولیت های شغلی خود آگاه و پاسخگو باشند.

    3. باید برای تأمین بودجه کنترل امنیت اطلاعات و فرآیندهای مدیریت پروژه تلاش کرد.

    4. پتانسیل تقلب و سوء استفاده در سیستم های اطلاعاتی باید در نظر گرفته شود مدیریت عمومیسیستم های اطلاعاتی.

    5. گزارشات مربوط به وضعیت امنیت اطلاعات باید در دسترس باشد.

    6. ريسك هاي امنيت اطلاعات را رصد كرده و هنگامي كه تغييرات خطرات پيش بيني نشده اي را ايجاد مي كند، اقدام كنيد.

    7. معیارهای طبقه بندی ریسک و پذیرش ریسک را می توان در خط مشی ISMS یافت.

    8. شرایطی که ممکن است سازمان را به نقض قوانین و هنجارهای تعیین شده سوق دهد نباید مجاز باشد.

    حوزه های مسئولیت

    1. گروه رهبری حتی ارشد مسئول اطمینان از پردازش مناسب اطلاعات در سراسر سازمان است.

    2. هر مدیر ارشد مسئول اطمینان از اینکه کارکنانی که تحت نظارت او کار می کنند، امنیت اطلاعات را مطابق با استانداردهای سازمان حفظ می کنند.

    3. رئیس بخش امنیتی به تیم مدیریت ارشد مشاوره می دهد، به کارکنان سازمان کمک تخصصی می کند و از در دسترس بودن گزارش وضعیت امنیت اطلاعات اطمینان حاصل می کند.

    4. همه افراد در سازمان مسئول امنیت اطلاعات به عنوان بخشی از مسئولیت های شغلی خود هستند.

    یافته های کلیدی

    1. حوادث امنیت اطلاعات نباید منجر به هزینه های غیرمنتظره بزرگ یا اختلال عمده در خدمات و عملیات تجاری شود.

    2. زیان ناشی از تقلب باید معلوم و در حدود قابل قبول باشد.

    3. مسائل مربوط به امنیت اطلاعات نباید بر پذیرش مشتریان از محصولات و خدمات تأثیر منفی بگذارد

    سیاست های مرتبط

    خط مشی های تفصیلی زیر حاوی اصول و توصیه هایی برای جنبه های خاص امنیت اطلاعات است:

    1. سیاست سیستم مدیریت امنیت اطلاعات (ISMS).

    2. سیاست کنترل دسترسی.

    3. سیاست تمیز کردن میز و صفحه نمایش تمیز.

    4. سیاست نرم افزاری غیرمجاز.

    5. سیاست در مورد دریافت فایل های نرم افزار از یا از طریق شبکه های خارجی.

    6. سیاست در مورد کد موبایل;

    7. سیاست کپی رزرو کنید;

    8. سیاست در مورد تبادل اطلاعات بین سازمانها.

    9. خط مشی استفاده قابل قبول وسایل الکترونیکیارتباطات؛

    10. سیاست حفظ سوابق.

    11. از سیاست استفاده کنید خدمات شبکه;

    12. سیاست های مربوط به محاسبات و ارتباطات سیار.

    13. سیاست کار از راه دور;

    14. سیاست در استفاده از کنترل رمزنگاری.

    15. سیاست انطباق;

    16. سیاست صدور مجوز نرم افزار.

    17. سیاست حذف نرم افزار.

    18. حفاظت از داده ها و سیاست حفظ حریم خصوصی.

    همه این سیاست ها تقویت می کنند:

    · شناسایی ریسک با ارائه چارچوبی از کنترل‌ها که می‌تواند برای شناسایی کاستی‌ها در طراحی و پیاده‌سازی سیستم استفاده شود.

    · درمان خطر با کمک به تعیین درمان برای آسیب پذیری ها و تهدیدهای خاص.


    خط مشی امنیت اطلاعات شرکت

    · 1. مقررات عمومی

    o 1.1. هدف و هدف این سیاست

    o 1.2. محدوده این سیاست

    o 2.1. مسئولیت دارایی های اطلاعاتی

    o 2.2. کنترل دسترسی به سیستم های اطلاعاتی

    § 2.2.1. مقررات عمومی

    § 2.2.2. دسترسی شخص ثالث به سیستم های شرکت

    § 2.2.3. دسترسی از راه دور

    § 2.2.4. دسترسی به اینترنت

    o 2.3. حفاظت از تجهیزات

    § 2.3.1. سخت افزار

    § 2.3.2. نرم افزار

    o 2.5. گزارش، پاسخ و گزارش حوادث امنیت اطلاعات

    o 2.6. محل با وسایل فنیامنیت اطلاعات

    o 2.7. مدیریت شبکه

    o 2.7.1. حفاظت و ایمنی داده ها

    o 2.8. توسعه سیستم و مدیریت تغییر

    مقررات عمومی

    اطلاعات ارزشمند و حیاتی است منبع مهم YOUR_COPANIA (از این پس شرکت نامیده می شود). این خط مشی امنیت اطلاعات اتخاذ تدابیر لازم را برای محافظت از دارایی ها در برابر تغییر، افشا یا تخریب تصادفی یا عمدی و همچنین حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات برای اطمینان از فرآیند پردازش خودکار داده ها در شرکت فراهم می کند. .

    هر یک از کارکنان شرکت مسئول رعایت امنیت اطلاعات هستند و وظیفه اصلی تضمین امنیت کلیه دارایی های شرکت است. این بدان معنی است که اطلاعات باید با اطمینان کمتر از سایر دارایی های اصلی شرکت محافظت شود. اهداف اصلی شرکت بدون به موقع و به موقع محقق نمی شود تامین کاملکارکنان با اطلاعاتی که برای انجام وظایف خود نیاز دارند.

    در این سیاست، اصطلاح «کارمند» به کلیه کارکنان شرکت اطلاق می شود. مفاد این سیاست در مورد افرادی که تحت قراردادهای قانون مدنی در شرکت کار می کنند اعمال می شود، از جمله کسانی که اعزام شده اند، در صورتی که در چنین توافق نامه ای تصریح شده باشد.

    بیشتر بخوانید: