• Şirketin bilgi güvenliği politikası. Kuruluş bilgi güvenliği politikası

    Bu konuda, alanda düzenleyici belgelerin geliştirilmesine yönelik bir kılavuz derlemeye çalışacağım. bilgi Güvenliği ticari bir yapıya dayalı olarak kişisel deneyim ve web'den materyaller.

    Burada soruların cevaplarını bulabilirsiniz:

    • Bilgi güvenliği politikasına neden ihtiyaç duyulur?
    • nasıl oluşturulacağı;
    • bu nasıl kullanılır.

    Bilgi güvenliği politikasına duyulan ihtiyaç
    Bu bölüm, bilgi güvenliği politikasının ve ona eşlik eden belgelerin, ders kitaplarının ve standartların güzel diliyle değil, kişisel deneyimlerden örnekler kullanılarak uygulanması ihtiyacını açıklamaktadır.
    Bilgi güvenliği departmanının amaç ve hedeflerini anlamak
    Öncelikle şirketin bilgi güvenliği amaç ve hedeflerinin işletmeye aktarılması için politika gereklidir. Bir işletme, bir güvenlik görevlisinin yalnızca veri sızıntılarını araştırmak için bir araç olmadığını, aynı zamanda şirket risklerini en aza indirmede ve dolayısıyla şirket karlılığını artırmada bir yardımcı olduğunu anlamalıdır.
    Politika gereklilikleri önlemlerin uygulanmasının temelini oluşturur
    Bilgi güvenliği politikası, şirkette koruyucu önlemlerin alınmasını haklı çıkarmak için gereklidir. Politika şirketin en yüksek idari organı tarafından onaylanmalıdır ( CEO, yönetim kurulu vb.)

    Herhangi bir koruma, risk azaltma ile kullanıcı deneyimi arasında bir uzlaşmadır. Bir güvenlik görevlisi, bazı risklerin ortaya çıkması nedeniyle hiçbir şekilde bir sürecin yaşanmaması gerektiğini söylediğinde kendisine her zaman mantıklı bir soru sorulur: “Nasıl olmalı?” Güvenlik görevlisinin, bu risklerin işletme açısından tatmin edici olacak şekilde azaltıldığı bir süreç modeli önermesi gerekmektedir.

    Aynı zamanda kullanıcının şirketin bilgi sistemi ile etkileşimine ilişkin her türlü koruyucu önlemin uygulanması, her zaman kullanıcıdan olumsuz tepki alınmasına neden olur. Yeniden eğitilmek, kendileri için tasarlanan talimatları okumak vb. istemiyorlar. Kullanıcılar sıklıkla makul sorular sorar:

    • neden senin icat ettiğin şemaya göre çalışmalıyım da, bunlara göre çalışmalıyım basit bir şekilde her zaman kullandığım
    • bütün bunları kim buldu
    Uygulama, kullanıcının riskleri umursamadığını gösterdi, ona uzun süre ve sıkıcı bir şekilde bilgisayar korsanları, ceza kanunu vb. Hakkında açıklayabilirsiniz, bundan sinir hücrelerinin israfından başka bir şey çıkmayacak.
    Şirketin bilgi güvenliği politikası varsa kısa ve öz bir cevap verebilirsiniz:
    bu önlem, şirketin üst düzey idari organı tarafından onaylanan şirketin bilgi güvenliği politikasının gerekliliklerine uymak için alınmıştır.

    Kural olarak, çoğu kullanıcının enerjisi boşa çıktıktan sonra. Geri kalanına şirketin bu en yüksek idari organına bir not yazması teklif edilebilir. Burada geri kalanlar eleniyor. Çünkü not oraya gitse bile alınan tedbirlerin gerekliliğini her zaman liderliğe ispat edebiliriz. Ekmeğimizi boşuna yemiyoruz değil mi? Politika geliştirirken akılda tutulması gereken iki şey vardır.
    • Bilgi güvenliği politikasının hedef kitlesi, karmaşık teknik ifadeleri anlamayan ancak politika hükümlerine aşina olması gereken son kullanıcılar ve şirketin üst yönetimidir.
    • Mümkün olan her şeyi bu belgeye dahil etmek için hayal edilemeyenleri itmeye çalışmanıza gerek yok! Yalnızca IB hedefleri, bunlara ulaşma yöntemleri ve sorumluluk olmalıdır! Özel bilgi gerektiriyorsa teknik ayrıntı yoktur. Bunların hepsi talimat ve düzenlemelere yönelik materyallerdir.


    Nihai belge aşağıdaki gereksinimleri karşılamalıdır:
    • özlülük - belgenin büyük bir kısmı herhangi bir kullanıcıyı korkutacak, hiç kimse belgenizi okumayacaktır (ve şu ifadeyi birden fazla kullanacaksınız: "bu, size tanıtılan bilgi güvenliği politikasının ihlalidir")
    • genel kamuya erişilebilirlik son kullanıcı politikada NE yazıldığını anlamalıdır (“günlük tutma”, “ihlal eden model”, “bilgi güvenliği olayı”, “kelime ve ifadeleri asla okumayacak ve hatırlamayacaktır) bilgi altyapısı”, “teknojenik”, “antropojenik”, “risk faktörü” vb.)
    Bu nasıl başarılır?

    Aslında her şey çok basit: Bilgi güvenliği politikası birinci düzey bir belge olmalı, genişletilmeli ve zaten belirli bir şeyi tanımlayacak olan diğer belgelerle (yönetmelikler ve talimatlar) desteklenmelidir.
    Devletle bir benzetme yapmak mümkündür: Birinci düzey belge anayasadır ve devlette var olan doktrinler, kavramlar, yasalar ve diğer normatif düzenlemeler yalnızca hükümlerinin uygulanmasını tamamlar ve düzenler. Şekilde örnek bir şema gösterilmektedir.

    Tabağa yulaf lapası bulaştırmamak için internette bulunabilecek bilgi güvenliği politikası örneklerine bakalım.

    Kullanılabilir sayfa sayısı* Şartlar yüklendi Genel Değerlendirme
    JSC "Gazprombank" 11 Çok yüksek
    JSC “Girişimcilik Geliştirme Fonu “Damu” 14 yüksek Dikkatli bir okuma için karmaşık bir belge, meslekten olmayan kişi okumayacak ve okursa anlamayacak ve hatırlamayacaktır.
    JSC NC KazMunayGas 3 Düşük Teknik terimlerle aşırı yüklenmemiş, anlaşılması kolay bir belge
    JSC "Akademisyen A. L. Mints'in adını taşıyan Radyoteknik Enstitüsü" 42 Çok yüksek Dikkatli okunması zor bir belge, meslekten olmayanlar okumayacaktır - çok fazla sayfa var

    * Yararlı, içindekiler tablosu olmadan sayfa sayısını ararım, Giriş sayfası ve belirli bilgiler taşımayan diğer sayfalar

    Özet

    Bilgi güvenliği politikası birkaç sayfaya sığmalı, meslekten olmayan kişiler için anlaşılması kolay olmalı, Genel görünüm IS hedefleri, bunlara ulaşma yöntemleri ve çalışanların sorumluluğu.
    Bilgi güvenliği politikasının uygulanması ve kullanılması
    IS politikası onaylandıktan sonra şunları yapmak gerekir:
    • mevcut tüm çalışanları politikaya alıştırmak;
    • tüm yeni çalışanları politikaya alıştırmak (bunun nasıl yapılacağı ayrı bir tartışma konusu, yeni gelenler için açıklamalarla konuştuğum bir giriş kursumuz var);
    • analiz etmek mevcut iş süreçleri Riskleri tanımlamak ve en aza indirmek amacıyla;
    • trenin peşinden koşmamak için yeni iş süreçlerinin yaratılmasında yer almak;
    • Politikayı tamamlayan düzenlemeler, prosedürler, talimatlar ve diğer belgeleri geliştirmek (İnternete erişim sağlama talimatları, tesislere erişim sağlama talimatları) Sınırlı erişim, şirketin bilgi sistemleriyle çalışma talimatları vb.);
    • BS politikasını ve diğer BS belgelerini güncellemek için en az üç ayda bir gözden geçirin.

    Soru ve önerileriniz için yorumlara ve PM'e hoş geldiniz.

    Soru %kullanıcıadı%

    Politika söz konusu olduğunda patronlar benim istediklerimi beğenmiyor basit anlamda. Bana şöyle diyorlar: "Ben, sen ve her şeyi bilen ve anlayan 10 BT çalışanının yanı sıra, bu konuda hiçbir şey anlamayan 2 yüz kişi var, bunların yarısı emekli."
    Açıklamaların orta derecede kısa olması yolunu seçtim, örneğin kurallar antivirüs koruması ve aşağıda bir anti-virüs koruma politikası vb. varmış gibi yazıyorum. Ancak kullanıcının politikayı imzalayıp imzalamadığını anlamıyorum, ancak yine de bir sürü başka belgeyi okuması gerekiyor, politikayı azaltmış gibi görünüyor, ancak öyle görünmüyor.

    Burada süreç analizi yolunu takip edeceğim.
    Anti-virüs koruması diyelim. Mantıksal olarak bu şekilde olması gerekiyor.

    Virüsler bizim için ne gibi riskler oluşturur? Bilginin bütünlüğünün ihlali (hasar), bilginin kullanılabilirliğinin ihlali (sunucuların veya bilgisayarların kesintisi). Uygun ağ organizasyonu ile kullanıcının haklara sahip olmaması gerekir yerel yönetici yani sisteme yazılım (ve dolayısıyla virüs) yükleme haklarına sahip olmamalıdır. Dolayısıyla emekliler burada iş yapmadıkları için düşüyorlar.

    Virüslerle ilişkili riskleri kim azaltabilir? Etki alanı yönetici haklarına sahip kullanıcılar. Etki alanı yöneticisi - BT departmanları vb. çalışanlarına verilen hassas bir rol. Buna göre antivirüs yüklemeleri gerekir. Faaliyetin olduğu ortaya çıktı antivirüs sistemi onlar da sorumludur. Buna göre, anti-virüs korumasının organizasyonuna ilişkin talimatı imzalamaları gerekir. Aslında bu sorumluluğun talimatlarda belirtilmesi gerekir. Mesela güvenlik görevlisi yönetir, yöneticiler yürütür.

    Soru %kullanıcıadı%

    O zaman soru şudur: Virüslerin oluşturulması ve kullanılmasına ilişkin sorumluluk, Anti-virüs SI'nın talimatlarına dahil edilmemelidir (veya bir makale var ve bundan söz edemezsiniz)? Veya bir virüs veya garip bilgisayar davranışını Yardım Masasına veya BT personeline bildirmeleri mi gerekiyor?

    Tekrar risk yönetimi açısından bakacağım. Tabiri caizse GOST 18044-2007 kokuyor.
    Senin durumunda " Garip davranış"Henüz bir virüs olması şart değil. Bir sistem freni veya bir GP vb. Olabilir. Buna göre bu bir olay değil, bilgi güvenliği olayıdır. Yine GOST'a göre herhangi bir kişi bir olayı ilan edebilir ancak olayın anlaşılması veya anlaşılması ancak analiz sonrasında mümkün değildir.

    Dolayısıyla bu sorunuz artık bilgi güvenliği politikasına değil, olay yönetimine dönüşüyor. Poliçenizde şunu belirtmeniz gerekir: Şirketin bir olay yönetimi sistemine sahip olması gerekir.

    Yani, görebileceğiniz gibi, politikanın idari olarak yürütülmesi esas olarak yöneticilere ve güvenlik görevlilerine atanmıştır. Kullanıcılar özel kalır.

    Bu nedenle, kullanıcıların sorumluluklarını belirtmeniz gereken bir tür "Şirkette CBT kullanımına ilişkin prosedür" hazırlamanız gerekir. Bu belgenin bilgi güvenliği politikası ile uyumlu olması ve deyim yerindeyse kullanıcıya yönelik bir açıklama olması gerekmektedir.

    İÇİNDE bu belge kullanıcının anormal bilgisayar etkinliği hakkında ilgili makamı bilgilendirmekle yükümlü olduğunu belirtebilirsiniz. Diğer her şeyi özel olarak oraya ekleyebilirsiniz.

    Toplamda, kullanıcıya iki belgeyi tanıtmanız gerekir:

    • bilgi güvenliği politikası (ne yapıldığını ve neden yapıldığını anlaması, tekneyi sallamaması, yeni kontrol sistemleri tanıtırken küfür etmemesi vb. için)
    • bu "Şirkette CBT kullanma prosedürü" (belirli durumlarda tam olarak ne yapılacağını anlaması için)

    Buna göre uygulama sırasında yeni sistem, "Sipariş"e bir şeyler eklemeniz ve siparişi e-postayla (veya varsa EDMS aracılığıyla) göndererek çalışanları bu konuda bilgilendirmeniz yeterlidir.

    Etiketler:

    • Bilgi Güvenliği
    • Risklerin yönetimi
    • Güvenlik Politikası
    Etiket ekle

    Amaç: Bilgi güvenliğinin, iş gereksinimlerine ve mevcut yasal ve düzenleyici çerçeveye uygun olarak yönetim tarafından yönetilmesini ve desteklenmesini sağlamak. Yönetim, açık bir stratejik yön belirlemeli ve kuruluş genelinde bir bilgi güvenliği politikası yayınlayıp sürdürerek bilgi güvenliğine destek ve bağlılık göstermelidir.

    Bilgi güvenliği politikası, bir kuruluşun bilgi güvenliği yönetim sistemindeki (BGYS) en önemli belgedir ve temel güvenlik mekanizmalarından biri olarak görev yapar.

    ISO 17799'a göre belgelendirilmiş bir bilgi güvenliği politikası, yönetimin taahhüdünü belirtmeli ve bilgi güvenliğini yönetme konusunda bir yaklaşım oluşturmalı, bilgi güvenliği kavramını, ana hedeflerini ve kapsamını tanımlamalı, hedeflerin ve kontrol mekanizmalarının belirlenmesine yönelik ana hükümleri içermelidir. Risk değerlendirmesi ve yönetimi çerçevesi ve çok daha fazlası dahil.

    ISO 27001'e göre, bilgi güvenliği politikası daha genel bir belgenin alt kümesidir - BGYS'nin hedeflerini belirlemek için ana hükümleri içeren ve bilgi güvenliği ile ilgili genel yön ve faaliyet ilkelerini belirleyen BGYS politikası. işin gereklerini, mevzuatı veya düzenleyici yapı, sözleşmeden doğan yükümlülükler, risklerin değerlendirilmesine yönelik kriterlerin belirlenmesi vb.

    Bilgi güvenliği politikası ve kuruluşun BGYS politikası aynı belgede açıklanabilir. Böyle bir belgenin geliştirilmesi kolay bir iş değildir ve çok sorumlu bir iştir. Bir yandan bilgi güvenliği politikası kuruluşun tüm çalışanları için yeterince kapsamlı ve anlaşılır olmalıdır. Öte yandan, bilgi güvenliğini sağlamaya yönelik tüm önlemler sistemi bu belge temel alınarak oluşturulmuştur, dolayısıyla yeterince eksiksiz ve kapsamlı olmalıdır. Herhangi bir eksiklik ve belirsizlik, kuruluşun BGYS'sinin işleyişini ciddi şekilde etkileyebilir. Bilgi güvenliği politikası, ISO 27001/17799 uluslararası standartlarının gerekliliklerine tam olarak uygun olmalıdır. Bu gerekli kondisyon Başarılı sertifikasyon için.

    BS ISO/IEC 27001:2005 4.2.1 b) BGYS politikası:

    Aşağıdakileri sağlayan iş özellikleri, organizasyon, konum, kaynaklar ve teknoloji açısından bir BGYS politikası tanımlayın:

      hedeflerini tanımlamak için bir çerçeve içerir ve bilgi güvenliğine ilişkin faaliyetin genel yönünü ve ilkelerini belirler;

      güvenlik alanındaki sözleşme yükümlülüklerinin yanı sıra iş gerekliliklerini ve yasal veya düzenleyici çerçevenin gerekliliklerini dikkate alır;

      BGYS'nin oluşturulacağı ve sürdürüleceği organizasyondaki risk yönetiminin stratejik bağlamıyla bütünleşir;

      risklerin değerlendirilmesine yönelik kriterleri belirler (bkz. 4.2.1c)); Ve

      yönetim tarafından onaylanmıştır.

    NOT: Bu Uluslararası Standartta BGYS politikası, bilgi güvenliği politikasının bir üst kümesi olarak kabul edilir. Bu politikalar tek bir belgede açıklanabilir.

    BS ISO/IEC 17799:2005 5.1.1 Belgelendirilmiş bilgi güvenliği politikası:

    Kontrol mekanizması

    Belgelendirilmiş bir bilgi güvenliği politikası yönetim tarafından onaylanmalı, yayınlanmalı ve kuruluşun tüm çalışanlarına ve uygulandığı dış taraflara iletilmelidir.

    Uygulama Kılavuzu

    Belgelendirilmiş bir bilgi güvenliği politikası, yönetimin taahhüdünü belirtmeli ve kuruluşta bilgi güvenliğinin yönetilmesine yönelik yaklaşımı oluşturmalıdır. Belgelenen politika aşağıdaki ifadeleri içermelidir:

      Bilgi güvenliği kavramının tanımı, temel amaçları, kapsamı ve gerçekleştirilmesini mümkün kılan bir mekanizma olarak güvenliğin önemi paylaşım bilgi (bkz. Giriş);

      İşletmenin hedefleri ve stratejisine uygun olarak hedeflere ulaşılmasını ve bilgi güvenliği ilkelerine uyumu desteklemeye yönelik yönetimin niyetinin beyanı;

      risk değerlendirmesi ve yönetiminin yapısı da dahil olmak üzere, kontrol hedeflerini ve mekanizmalarını belirlemeye yönelik temel hükümler;

      Aşağıdakiler de dahil olmak üzere, kuruluşla özellikle ilgili olan güvenlik politikaları, standartlar, ilkeler ve gereksinimlerin kısa bir açıklaması:

        mevzuatın, düzenleyici çerçevenin ve sözleşmelerin gerekliliklerine uygunluk;

        güvenlik farkındalığı, eğitim ve öğretim gereksinimleri;

        iş sürekliliği yönetimi;

        bilgi güvenliği politikası ihlallerinin sonuçları;

      güvenlik olaylarının bildirilmesi de dahil olmak üzere bilgi güvenliği yönetimine ilişkin genel ve bireysel sorumluluğun tanımı;

      bireysel bilgi sistemleri için daha ayrıntılı güvenlik politikaları ve prosedürleri veya kullanıcıların uyması gereken güvenlik kuralları gibi politikayı destekleyebilecek belgelere bağlantılar.

    Bu bilgi güvenliği politikası kuruluşun tüm kullanıcılarına ilgili, erişilebilir ve hedeflenen okuyucular için anlaşılır bir biçimde iletilmelidir.

    Diğer bilgiler

    Bilgi güvenliği politikası daha genel bir belgelenmiş politikanın parçası olmalıdır. Bilgi güvenliği politikasının kuruluş sınırlarını aşması durumunda ifşa edilmemesi için önlemler alınmalıdır. kesin bilgi. Ek Bilgiler ISO/IEC 13335-1:2004'te yer almaktadır.

    Bilgi güvenliği politikası (IS), bir işletme / kuruluş çalışanlarının bilgi kaynaklarını korumak amacıyla günlük uygulamalarında uydukları bir dizi önlem, kural ve prensiptir.

    Bilgi güvenliği kavramının ortaya çıkmasından bu yana geçen süre boyunca, bu tür birçok politika geliştirilmiştir - her şirkette yönetim, hangi bilgilerin nasıl ve hangi bilgilerin korunacağına kendisi karar verir (resmi yasal gerekliliklere tabi olan durumlara ek olarak) ). Rusya Federasyonu). Politikalar genellikle resmileştirilir: uygun bir düzenleme geliştirilir. İşletme çalışanlarının böyle bir belgeye uyması gerekmektedir. Her ne kadar bu belgelerin tümü etkili olmasa da. Aşağıda bir bilgi güvenliği politikasının tüm bileşenlerini ele alacağız ve etkinliği için gerekli olan ana hususları belirleyeceğiz.

    Bilgi güvenliği neden resmileştirildi?

    Bilgi güvenliği politikasına ilişkin hükümler, çalışma kurallarını düzenleyen bir kuruluş olan düzenleyicinin gereklilikleri uyarınca çoğunlukla ayrı bir belge biçiminde görünür. tüzel kişilerşu ya da bu sektörde. Bilgi güvenliğine ilişkin bir hüküm yoksa, ihlalciye karşı belirli misillemeler göz ardı edilmez, bu da ihlalcinin faaliyetlerinin askıya alınmasıyla sonuçlanabilir.

    Ayrıca güvenlik politikası belirli standartların (yerel veya uluslararası) zorunlu bir bileşenidir. Genellikle kuruluşun faaliyetlerini inceleyen dış denetçiler tarafından öne sürülen özel gerekliliklerin karşılanması gerekir. Bir güvenlik politikasının olmayışı olumsuz geri bildirimlere neden olur ve bu tür değerlendirmeler derecelendirme, güvenilirlik düzeyi, yatırım çekiciliği vb. göstergeleri olumsuz etkiler.

    Bilgi güvenliği ile ilgili materyaller, üst yönetimin kendisi bilgi güvenliği konusuna yapılandırılmış bir yaklaşım ihtiyacını anlamaya başladığında ortaya çıkar. Bu tür çözümler, teknik araçların devreye girmesinden sonra hayata geçirilebilir, bu araçların yönetilmesi gerektiği, sürekli kontrol altında olması gerektiği anlaşıldığında. Çoğu zaman bilgi güvenliği, personelle olan ilişkileri (bir çalışan yalnızca korunması gereken bir kişi olarak değil, aynı zamanda bilgilerin korunması gereken bir nesne olarak da değerlendirilebilir), tek başına korumanın ötesine geçen diğer hususları ve faktörleri de içerir. bilgisayar ağı ve yetkisiz erişimi engelleyin.

    İlgili hükümlerin varlığı, kuruluşun bilgi güvenliği konularında yaşayabilirliğini, olgunluğunu gösterir. Bilgi güvenliği kurallarının açık bir şekilde formüle edilmesi, bu süreçönemli ilerleme kaydedildi.

    Başarısız Politikalar

    Yalnızca “Bilgi Güvenliği Yönetmeliği” başlıklı bir belgenin bulunması, bilgi güvenliğinin garantisi değildir. Sadece bazı gerekliliklere uygunluk bağlamında ele alınırsa ancak pratik uygulama olmadan etki sıfır olacaktır.

    Uygulamada görüldüğü gibi, etkisiz güvenlik politikası iki türdendir: iyi formüle edilmiş, ancak uygulanmamış ve uygulanmış, ancak açıkça formüle edilmemiş.

    Birincisi, kural olarak, bilgi koruma görevlisinin benzer belgeleri internetten indirdiği, minimum düzenleme ve sorunları yaptığı kuruluşlarda oldukça yaygındır. Genel kurallar yönetimin onayı için. İlk bakışta bu yaklaşım pragmatik görünmektedir. Farklı kuruluşlardaki güvenlik ilkeleri, faaliyetlerinin odak noktası farklılık gösterse bile genellikle benzerdir. Ancak genel bilgi güvenliği kavramından prosedürler, metodolojiler, standartlar vb. belgelerle günlük çalışmalara geçildiğinde bilgi güvenliği ile ilgili sorunlar ortaya çıkabilir. Güvenlik politikası başlangıçta farklı bir yapı için formüle edildiğinden uyum sağlamada bazı zorluklar yaşanabilir. günlük belgeler.

    İkinci türdeki etkisiz politika, sorunu genel stratejik planlar benimseyerek değil, anlık kararlarla çözmeye çalışmayı içerir. Örneğin, Sistem yöneticisi Kullanıcıların dikkatsiz manipülasyonlarıyla ağı kesintiye uğratmasından bıkmış, şu eylemleri gerçekleştiriyor: bir kağıt alıyor ve on dakika içinde kuralların taslağını çiziyor (neye izin veriliyor, neye izin verilmiyor, verilere kimin erişmesine izin veriliyor) belli bir mülktür ve kim değildir) ve ona "Siyaset" adını verir. Yönetim böyle bir "Politikayı" onaylarsa, bu daha sonra yapının bilgi güvenliği alanındaki faaliyetlerine yıllarca temel oluşturabilir ve somut sorunlar yaratabilir: örneğin, yeni teknolojilerin tanıtılmasıyla, bunu yapamazsınız. her zaman gerekli yazılımı yükleyin. Sonuç olarak, kuralların istisnalarına izin verilmeye başlanır (örneğin, bir tür programa ihtiyaç vardır, pahalıdır ve çalışan, yönetimi önceden belirlenmiş güvenlik kurallarına aykırı olarak lisanssız bir sürüm kullanmaya ikna eder), bu da tüm korumayı geçersiz kılar.

    Etkin bir bilgi güvenliği sisteminin geliştirilmesi

    Etkin bir bilgi güvenliği sistemi oluşturmak için aşağıdakiler geliştirilmelidir:

    • bilgi güvenliği kavramı (genel olarak politikayı, ilkelerini ve hedeflerini tanımlar);
    • standartlar (her özel alandaki bilgi güvenliği kuralları ve ilkeleri);
    • prosedür (bilgiyle çalışırken bilgileri korumaya yönelik belirli eylemlerin açıklaması: kişisel veriler, bilgi ortamına, sistemlere ve kaynaklara erişim);
    • talimatlar (kurum için ne ve nasıl yapılacağına dair ayrıntılı bir açıklama) bilgi koruması ve mevcut standartların sağlanması).

    Yukarıdaki belgelerin tümü birbiriyle bağlantılı olmalı ve birbiriyle çelişmemelidir.

    Ayrıca için etkili organizasyon bilgi güvenliği acil durum planları geliştirmelidir. Mücbir sebep durumunda bilgi sistemlerinin restorasyonu durumunda gereklidirler: kazalar, felaketler vb.

    Koruma konseptinin yapısı

    Bilgi güvenliği kavramının stratejiyle aynı olmadığını hemen not ediyoruz. Birincisi statik, ikincisi ise dinamiktir.

    Güvenlik konseptinin ana bölümleri şunlardır:

    • IB'nin tanımı;
    • güvenlik yapısı;
    • güvenlik kontrol mekanizmasının açıklaması;
    • risk değerlendirmesi;
    • bilgi güvenliği: ilkeler ve standartlar;
    • Korumanın uygulanmasında her bölümün, ofisin veya dairenin görev ve sorumlulukları bilgi taşıyıcıları ve diğer veriler;
    • diğer güvenlik düzenlemelerine atıflar.

    Ayrıca koruma alanında etkililiğin ana kriterlerini açıklayan bir bölüm de gereksiz olmayacaktır. önemli bilgi. Koruma etkinliği göstergeleri her şeyden önce üst yönetim için gereklidir. Teknik nüanslara girmeden güvenlik organizasyonunu objektif olarak değerlendirmenize olanak tanır. Güvenlik organizasyonu sahibinin ayrıca, yönetimin işini nasıl değerlendireceğini anlaması için bilgi güvenliğinin etkinliğini değerlendirmeye yönelik açık kriterleri bilmesi gerekir.

    Güvenlik belgeleri için temel gereksinimlerin listesi

    Güvenlik politikası iki ana husus dikkate alınarak formüle edilmelidir:

    1. Tüm güvenlik bilgilerinin hedef kitlesi, belirli teknik terminolojiyi bilmeyen ancak talimatları okurken sağlanan bilgileri anlaması ve özümsemesi gereken orta düzey yöneticiler ve sıradan çalışanlardır.
    2. Talimatlar kısa ve öz olmalı ve tüm bilgileri içermelidir. gerekli bilgiİzlenen politika hakkında. Kimse hacimli "folioyu" bırakın hatırlamayı, ayrıntılı olarak incelemeyecek.

    Yukarıdakilerden güvenlikle ilgili metodolojik materyaller için iki gereklilik gelmektedir:

    • özel teknik terimler kullanılmadan sade Rusça yazılmalıdır;
    • Güvenlikle ilgili metin, bilgi güvenliğine uymama konusunda bir sorumluluk ölçüsünün atandığını gösteren hedefleri, bunlara ulaşmanın yollarını içermelidir. Tüm! Teknik veya başka spesifik bilgi yok.

    Bilgi güvenliğinin organizasyonu ve uygulanması

    Bilgi güvenliğine ilişkin dokümantasyon hazırlandıktan sonra, bunun günlük işlere uygulanabilmesi için planlı bir çalışma organizasyonuna ihtiyaç vardır. Bunun için ihtiyacınız var:

    • ekibe onaylanmış bilgi işleme politikasını tanıtmak;
    • tüm yeni çalışanları bu bilgi işleme politikasına alıştırmak (örneğin, kapsamlı açıklamalar sağlayacak bilgilendirme seminerleri veya kurslar düzenlemek);
    • riskleri tespit etmek ve en aza indirmek için mevcut iş süreçlerini dikkatle inceleyin;
    • bilgi güvenliği alanında umutsuzca geride kalmamak için yeni iş süreçlerinin tanıtımına aktif olarak katılmak;
    • ayrıntılı metodolojik ve bilgi materyalleri, bilgi işleme politikasını tamamlayan talimatlar (örneğin, internette çalışmaya erişim izni verilmesine ilişkin kurallar, kısıtlı tesislere girme prosedürü, bir liste) bilgi kanalları gizli verileri, bilgi sistemleriyle çalışma talimatlarını vb. aktarabileceğiniz;
    • her üç ayda bir, bilgiye erişimi, onunla çalışma prosedürünü gözden geçirin ve ayarlayın, IS ile ilgili kabul edilen belgeleri güncelleyin, mevcut IS tehditlerini sürekli izleyin ve inceleyin.

    Bilgiye yetkisiz erişim sağlamaya çalışan kişiler

    Sonuç olarak, alabilen veya almak isteyenleri sınıflandırıyoruz. Yetkisiz Erişim bilgiye.

    Potansiyel dış davetsiz misafirler:

    1. Ofis ziyaretçileri.
    2. Daha önce işten atılan çalışanlar (özellikle skandalla ayrılan ve bilgiye nasıl ulaşacağını bilenler).
    3. Bilgisayar korsanları.
    4. Rakiplerin yanı sıra suç gruplarını da içeren üçüncü taraf yapılar.

    İçerideki potansiyel kişiler:

    1. Kullanıcılar bilgisayar Teknolojisiçalışanlar arasından.
    2. Programcılar, sistem yöneticileri.
    3. Teknik personel.

    Organizasyon için güvenilir koruma bu grupların her birinden gelen bilgiler kendi kurallarını gerektirir. Bir ziyaretçi önemli verileri içeren bir sayfayı yanına alabilirse, teknik kişi LAN'da kayıtsız bir giriş ve çıkış noktası oluşturabilir. Vakaların her biri bir bilgi sızıntısıdır. İlk durumda, ofisteki personelin davranışlarına ilişkin kurallar geliştirmek, ikinci durumda ise bilgisayar ağlarından sızıntıları önleyen DLP sistemleri ve SIEM sistemleri gibi bilgi güvenliğini artıran teknik araçlara başvurmak yeterlidir.

    Bilgi güvenliğini geliştirirken, listelenen grupların özelliklerini dikkate almak ve her biri için bilgi sızıntısını önlemek için etkili önlemler almak gerekir.

    Bilgi Güvenliği Politikası (Örnek)

    Politika Özeti

    Bilgi, biçimine ve nasıl dağıtıldığına, aktarıldığına ve saklandığına bakılmaksızın her zaman korunmalıdır.

    giriiş

    Bilgi birçok farklı biçimde mevcut olabilir. Basılabilir veya kağıda yazılabilir, saklanabilir elektronik formatta postayla veya kullanarak gönderilir elektronik aletler iletişim sürecinde kasetlerde gösterilebilir veya sözlü olarak iletilebilir.

    Bilgi güvenliği, iş sürekliliğini sağlamak, iş riskini en aza indirmek ve yatırım getirisini en üst düzeye çıkarmak ve iş fırsatlarını sağlamak için tasarlanmış, bilgilerin çeşitli tehditlerden korunmasıdır.

    Kapsam

    Bu politika Kuruluşun genel güvenlik politikasını güçlendirir.
    Bu politika kuruluşun tüm çalışanları için geçerlidir.

    Bilgi Güvenliği Hedefleri

    1. Stratejik ve operasyonel bilgi güvenliği risklerini, kuruluş tarafından kabul edilebilir olacak şekilde anlamak ve ele almak.

    2. Müşteri bilgilerinin, ürün geliştirmelerinin ve pazarlama planlarının gizliliğinin korunması.

    3. Muhasebe materyallerinin bütünlüğünün korunması.

    4. Paylaşılan web hizmetlerinin ve intranetlerin ilgili erişilebilirlik standartlarına uygunluğu.

    Bilgi güvenliği ilkeleri

    1. Bu kuruluş, risklerin anlaşılması, izlenmesi ve gerektiğinde bilgi amaçlı işlenmesi koşuluyla, risk kabulünü teşvik eder ve muhafazakar yönetime sahip kuruluşların üstesinden gelemeyeceği risklerin üstesinden gelir. Detaylı Açıklama Riskleri değerlendirmek ve tedavi etmek için kullanılan yaklaşımlar BGYS politikasında bulunabilir.

    2. Tüm personel, iş sorumlulukları ile ilgili olarak bilgi güvenliğinin bilincinde ve sorumluluğunda olmalıdır.

    3. Bilgi güvenliği kontrolleri ve proje yönetimi süreçlerinin finansmanı için çaba gösterilmelidir.

    4. Bilgi sistemlerinde dolandırıcılık ve suiistimal potansiyeli dikkate alınmalıdır. Genel Müdürlük bilgi sistemi.

    5. Bilgi güvenliğinin durumuna ilişkin raporlar mevcut olmalıdır.

    6. Bilgi güvenliği risklerini izleyin ve değişiklikler öngörülemeyen riskler doğurduğunda harekete geçin.

    7. Risk sınıflandırması ve risk kabul edilebilirliğine ilişkin kriterler BGYS politikasında bulunabilir.

    8. Örgütün yasaları ve yerleşik normları ihlal etmesine yol açabilecek durumlara izin verilmemelidir.

    Sorumluluk bölgeleri

    1. Kıdemli Eşit Liderlik Grubu, bilgilerin organizasyon genelinde uygun şekilde işlenmesini sağlamaktan sorumludur.

    2. Her üst düzey yönetici, kendi gözetimi altında çalışan çalışanların bilgi güvenliğini kurumun standartlarına uygun şekilde sürdürmesini sağlamaktan sorumludur.

    3. Güvenlik departmanı başkanı, üst düzey yönetim ekibine tavsiyelerde bulunur, kuruluş çalışanlarına uzman yardımı sağlar ve bilgi güvenliği durum raporlarının kullanılabilir olmasını sağlar.

    4. Kuruluştaki herkes, iş sorumluluklarının bir parçası olarak bilgi güvenliğinden sorumludur.

    Önemli bulgular

    1. Bilgi güvenliği olayları, büyük beklenmedik maliyetlere veya hizmetlerde ve iş operasyonlarında büyük kesintilere neden olmamalıdır.

    2. Dolandırıcılıktan kaynaklanan kayıplar bilinmeli ve kabul edilebilir sınırlar dahilinde olmalıdır.

    3. Bilgi güvenliği sorunları, müşterilerin ürün ve hizmetleri kabulünü olumsuz yönde etkilememelidir.

    İlgili Politikalar

    Aşağıdaki ayrıntılı politikalar, bilgi güvenliğinin belirli yönlerine ilişkin ilkeler ve öneriler içerir:

    1. Bilgi güvenliği yönetim sistemi (BGYS) politikası;

    2. Erişim kontrol politikası;

    3. Temiz masa ve temiz ekran politikası;

    4. Yetkisiz yazılım politikası;

    5. Yazılım dosyalarının harici ağlardan veya bu ağlar aracılığıyla alınmasına ilişkin politika;

    6. İlgili politika mobil kod;

    7. Politika Kopyayı rezerve et;

    8. Kuruluşlar arası bilgi alışverişine ilişkin politika;

    9. Kabul Edilebilir Kullanım Politikası Elektronik araçlar iletişim;

    10. Kayıt saklama politikası;

    11. Kullanım Politikası ağ Servisleri;

    12. Mobil bilgi işlem ve iletişime ilişkin politikalar;

    13. Uzaktan çalışma politikası;

    14. Kriptografik kontrolün kullanımına ilişkin politika;

    15. Uyum politikası;

    16. Yazılım Lisanslama Politikası;

    17. Yazılım Kaldırma Politikası;

    18. Veri koruma ve gizlilik politikası.

    Bu politikaların tümü şunları güçlendiriyor:

    · sistem tasarımı ve uygulamasındaki eksiklikleri tespit etmek için kullanılabilecek bir kontrol çerçevesi sağlayarak riskin tanımlanması;

    · Belirli güvenlik açıkları ve tehditlere yönelik tedavilerin belirlenmesine yardımcı olarak riskin tedavisi.


    Şirket bilgi güvenliği politikası

    · 1. Genel Hükümler

    veya 1.1. Bu Politikanın amacı ve amacı

    veya 1.2. Bu Politikanın Kapsamı

    veya 2.1. Bilgi Varlıklarına İlişkin Sorumluluk

    veya 2.2. Erişim kontrolü bilgi sistemi

    § 2.2.1. Genel Hükümler

    § 2.2.2. Şirket sistemlerine üçüncü tarafların erişimi

    § 2.2.3. Uzaktan erişim

    § 2.2.4. internet girişi

    veya 2.3. Ekipman koruması

    § 2.3.1. Donanım

    § 2.3.2. Yazılım

    veya 2,5. Bilgi güvenliği olay raporlaması, müdahalesi ve raporlaması

    veya 2.6. Tesisler teknik araçlar bilgi Güvenliği

    veya 2.7. Ağ yönetimi

    2.7.1. Veri koruma ve güvenlik

    veya 2.8. Sistem Geliştirme ve Değişim Yönetimi

    Genel Hükümler

    Bilgi değerli ve hayatidir önemli kaynak YOUR_COPANIA (bundan sonra Şirket olarak anılacaktır). Bu bilgi güvenliği politikası, Şirkette otomatik veri işleme sürecini sağlamak için varlıkların kazara veya kasıtlı olarak değiştirilmesine, ifşa edilmesine veya imha edilmesine karşı korunmasının yanı sıra bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için gerekli önlemlerin alınmasını sağlar. .

    Şirketin her çalışanı bilgi güvenliğine uyumdan sorumlu olup, öncelikli görevi Şirketin tüm varlıklarının güvenliğinin sağlanmasıdır. Bu, bilgilerin Şirketin diğer önemli varlıklarından daha az güvenilir şekilde korunması gerektiği anlamına gelir. Şirketin ana hedeflerine zamanında ve zamanında müdahale edilmeden ulaşılamaz. tam provizyonçalışanlara görevlerini yerine getirebilmeleri için ihtiyaç duydukları bilgileri sağlar.

    Bu Politikada "çalışan" terimi Şirketin tüm çalışanlarını ifade eder. Bu Politikanın hükümleri, böyle bir sözleşmede öngörülmesi halinde, geçici olarak görevlendirilenler de dahil olmak üzere Şirkette medeni hukuk sözleşmeleri kapsamında çalışan kişiler için geçerlidir.

    Devamını oku: