Ответственность за нарушение требований ИБ




По степени опасности нарушения ИБ делятся на две группы:

- нарушения, повлекшие за собой наступление нежелательных для компании последствий (утечку или уничтожение информации);

- нарушения, создавшие предпосылки нежелательных для компании последствий (угроза уничтожения или утраты информации).

Нарушение требований локальных нормативных документов по ИБ является чрезвычайным происшествием и влечет за собой последствия, предусмотренные действующим законодательством Российской Федерации, локальными нормативными актами и договорами, заключенными между компанией и сотрудниками. Степень ответственности за нарушение требований локальных нормативных актов в области ИБ определяется исходя из размера ущерба, причиненного компании. Руководители структурных подразделений компании несут персональную ответственность за обеспечение ИБ в возглавляемых ими подразделениях.

Настоящий документ – Концепция информационной безопасности – обязателен для ознакомления руководителями всех структурных подразделений компании.

I. ВВЕДЕНИЕ

Информационная безопасность (ИБ) есть защищенность, сохранность информационных ресурсов от случайных, злонамеренных или чрезвычайных внутренних/внешних воздействий и сбоев.

Общая задача ИБ состоит в минимизации ущерба, в предсказании и непрерывном предотвращении таких воздействий. ИБ, как важная компонента обеспечения устойчивости бизнеса, обеспечивается комплексом организационных, технологических и технических решений и систем. Основы видения и политика ИБ обозначаются настоящим документом, а именно:

• цели и пути создания системы защиты;

• объекты защиты и их характеристика;

• анализ рисков, описывающий финансовые потери, ущерб и потери по другим критериям;

• основные классы и источники угроз ИБ; вероятность угроз и уязвимость ресурсов;

• основные принципы и подходы к построению системы обеспечения ИБ, методы и средства.

II. ЦЕЛИ И ЗАДАЧИ

Целью системы защиты является обеспечение бесперебойной работы аппаратно-программных средств компании, непрерывная поддержка бизнес-процессов и документооборота, сохранность и достоверность информационных ресурсов, их защищенность от внутренних/внешних воздействий, а также при чрезвычайных обстоятельствах.

Пути достижения целей можно выделить в несколько обязательных направлений:

1. Организационно-административные мероприятия и регламенты:

- определение ответственности за работоспособность и сохранность ресурсов компании четырех групп сотрудников: а) руководителей компании за выделение средств на приобретение, развертывание систем, обучение специалистов, развитие и пр.; б) ИТ-специалистов за оперативное обеспечение работоспособности и управление ИТ; в) конечных пользователей; г) сотрудников охраны;

- определение статуса ИТ, как сервисно-технологического подразделения, предоставляющего услуги, и статуса других подразделений – потребителей услуг;

- обязательное планирование развития информационных ресурсов, технологий и защиты, для достижения устойчивости бизнеса и долговременных конкурентных преимуществ;

- централизация в ИТ-подразделении всех мероприятий и бюджетов по закупке, установке аппаратных и программных средств, работе с любыми внешними поставщиками ИТ-услуг;

- выработка политик пользования информационно-технологическими ресурсами, политик поддержки пользователей, политик на ИТ-работы (производственные, проектные, для экстренных ситуаций), других правовых норм и ответственности по ИБ для всех групп сотрудников (при приеме на работу, на период работы);

- контроль доступа пользователей к ИТ-ресурсам компании – принятие на работу и увольнение сотрудников с обязательным прохождением через ИТ-подразделение (собеседование, квалификация и пр.).

2. Надежность, живучесть, достоверность аппаратного и программного обеспечения:

- закупка оборудования и программного обеспечения только известных производителей и продавцов; использование лицензионного программного обеспечения и ресурсов;

- защита по питанию всего оборудования (ПК, маршрутизаторы и пр.), расположение серверной и коммуникационной техники в отдельно приспособленных помещениях с ограниченным доступом и климат контролем, наличие резервных мощностей для наиболее критичных узлов (например, использование серверов с резервированием);

- обязательное пользовательское тестирование, настройка нового оборудования и программного обеспечения в лабораторных условиях перед вводом в эксплуатацию;

- определение регламентов резервирования данных, периодическое резервное копирование и архивирование корпоративных данных;

- периодическое создание образов системного ПО серверов и рабочих станций для быстрого восстановления систем;

- физическое резервирование наиболее критичных серверов, создание кластеров и пр.

3. Работа с внешними поставщиками и подрядчиками, аутсорсинг:

- определение правил работы с поставщиками услуг и подрядчиками, выделение руководителя проекта со стороны заказчика;

- завершение всех проектных работ комплексным пользовательским тестированием, обучением пользователей и периодом опытной эксплуатации, устранение всех неопределенностей перед внедрением;

- выполнение всех ИТ-работ внутри компании только с представителем ИТ-подразделения;

- наличие альтернативных ресурсов для услуг, используемых в виде аутсорсинга (например, хостинг).

4. Защита от внешних и внутренних воздействий, ограничения прав, криптозащита:

- описание мероприятий, направленных на предотвращение утечки информации и несанкционированного доступа;

- определение правил доступа и работы сотрудников с информационной системой, в т.ч. ответственности по защите от вирусов;

- выбор технологий передачи информации, использование шифрования (при необходимости);

- выработка процедур контроля работы информационной системы (протоколирование событий, анализ протоколов, анализ сетевого трафика, анализ работы технических средств);

- непрерывный мониторинг – использование аппаратно-программных средств защиты (межсетевые экраны, антивирусные программы) и ручного мониторинга;

- физическая защита и защита помещений, техники и бумажной документации от посторонних органов и лиц.

 

III. ОБЪЕКТЫЗАЩИТЫ

Объектами защиты является вся информационно-технологическая инфраструктура компании, а именно, помещения, компьютерное, периферийное, сетевое оборудование и каналы связи, носители информации и программное обеспечение, данные и информация, функционирование документооборота и бизнес-процессов, внутрифирменная конфиденциальная информация, т.е. все элементы бизнеса, нарушение и доступ к которым ведут к ущербу и потерям бизнеса.

Подлежащая защите информация может находиться на бумажных носителях, в электронном виде, передаваться в виде электрических сигналов (телефон, телефакс, телекс), присутствовать в виде акустических и вибросигналов в воздушной среде помещений, записываться и воспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны).

Здесь же ИБ конкретизируется в узком понимании – как комплекс инструментов по защите программно-технических средств. Она должна обеспечивать выполнение трех основных условий:

1. Программно-технические средства должны исправно работать в соответствии с установленной конфигурацией и настройками.

2. На программно-технических средствах должно выполняться только разрешенное программное обеспечение – любые другие программы, включая вирусы, троянские программы, руткиты и др. опасные программы, а также внешние программы не должны попадать и активизироваться в системе.

3. Доступ к внутренним ресурсам информационной системы должны иметь только авторизованные субъекты согласно своим правам.

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2019-11-09 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Что такое объектно-ориентированное программирование

Что такое энтеровирусная инфекция?

Что такое грех в христианстве?

Что такое метод «Елочки»?

Обратная связь