что можно отнести к техническим мерам иб
Меры по обеспечению информационной безопасности
Защита данных
с помощью DLP-системы
В деятельности любой организации или предприятия образуются массивы информации, подлежащей охране. Требования к конфиденциальности могут определяться как федеральными законами, это касается банковской тайны или персональных данных, так и позицией компании, которая должна охранять коммерческую тайну. Меры защиты, предпринимаемые для обеспечения информационной безопасности, зависят от нормативно-правовых требований и принятой в компании концепции противодействия информационным угрозам.
Как обеспечить информационную безопасность предприятия
Руководство предприятия или организации должно разработать и внедрить концепцию по обеспечению информационной безопасности. Этот документ является основополагающим для разработки внутренних регламентов и системы защитных мер. Разработку политики безопасности часто поручают приглашенным экспертам по защите информации, способным провести аудит как информационной системы, так и организационной структуры компании и ее бизнес-процессов и разработать актуальный комплекс мер по защите информации.
Концепция безопасности
В дальнейшем концепция безопасности может стать основой для внедрения DLP-системы и других программных продуктов, решающих задачу защиты информационных ресурсов и инфраструктуры компании.
В концепции обеспечения информационной безопасности предприятия определяются:
Концепция сама по себе не решает задачу ответственности сотрудников компании за неправомерное обращение с информацией, в том числе за ее разглашение. Для решения этой задачи необходимо внедрить дополнительную систему организационных мер защиты информации, которые включают информирование, ознакомление под роспись, внесение в трудовые договоры соответствующих положений о защите информации, составляющей коммерческую тайну.
После разработки концепции необходимо приступать к ее внедрению. Система предлагаемых мер должна пройти согласование во всех причастных подразделениях компании, так как вопрос бюджетирования всегда ограничивает возможности по защите информации, сложности проводимых мероприятий и приобретению программных продуктов.
Объекты защиты
Каждая компания сама определяет массивы информации, которые подлежат защите. Это может быть стратегии развития, ноу-хау, патенты, бизнес-процессы, клиентские базы и другие данные. Но есть общие объекты защиты, безопасность которых необходимо обеспечить, чтобы иметь возможность защитить данные от утечек или намеренного разглашения. К таким объектам в первую очередь относятся автоматизированные информационные системы предприятия. Компьютеры, серверы, каналы связи, периферийные устройства становятся целью хакеров или инсайдеров, заинтересованных в организации утечек информации. Решаются задачи ее хищения как через сеть, так и в ручном режиме, путем копирования информации или установки закладных устройств. Организационные и технические меры должны быть направлены на физическую защиту системы и установку программного обеспечения, которое устранит внешнее сетевое вмешательство.
Массивы информации становятся объектами защиты после признания их таковыми и отнесения к конфиденциальной информации.
Классификация осуществляется как по типу информации, так и по местам ее хранения.
Конфиденциальную информацию обычно классифицируют следующим образом:
Бухгалтерская информация и иные сведения, которые раскрываются в связи с требованиями законодательства, к категории конфиденциальных данных обычно не относятся.
Меры по обеспечению информационной безопасности
Обеспечение безопасности должно основываться на одновременном применении всего комплекса мер, предусмотренных законом или предлагаемых специалистами. Технические и организационные меры необходимо соразмерять с возможностями организации и информационной системы.
Система мер, рекомендуемая для большинства компаний, перед которыми стоит вопрос защиты информации, призвана обеспечить соблюдение основных признаков ее безопасности:
Организационные меры
К организационным мерам обеспечения информационной безопасности в первую очередь относится разработка положений, регламентов и процессов взаимодействия. Принятие некоторых внутренних нормативных актов регламентируется требованиями законодательства, к ним относится, например, положение об обработке персональных данных, которое должен разработать и разместить на своем сайте каждый оператор ПД.
Мероприятия по защите информации организационного характера не ограничиваются разработкой положений. Кроме этого, необходимо произвести:
Технические меры
К техническим средствам и мерам обеспечения информационной безопасности относятся не только программные продукты, например, DLP-системы, но и другие инструменты, находящиеся в распоряжении компании. Меры защиты информации с технической точки зрения должны опираться на модель построения информационной системы предприятия, позволяющую выстроить оборону против посягательств на конфиденциальные сведения.
К принципам построения такой системы относятся:
При реализации этих принципов обеспечения информационной безопасности рассматриваются вопросы об использовании дополнительных технических средств защиты информации, к которым относятся:
Меры по обеспечению информационной безопасности должны быть разумными, бизнес-процессы предполагают, что на защиту ресурсов не должны тратиться средства, сравнимые с их стоимостью. Излишняя нагрузка на бизнес или персонал окажется нецелесообразной.
Технологии защиты информации в компании
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
Термины МЧС России
совокупность приёмов, мероприятий и операций, применяемых в информационных технических средствах и системах информатизации; к организационно-техническим методам обеспечения информационной безопасности (ИБ) относят следующие действия: создание и совершенствование системы информационной безопасности; усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере; разработка, использование и совершенствование средств защиты информации (ЗИ) и методов контроля эффективности этих средств, развитие защищённых телекоммуникационных систем, повышение надежности специального программного обеспечения; создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств ЗИ при её хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по ЗИ; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств ЗИ; совершенствование системы серти-фикации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; контроль за действиями персонала в защищённых информационных системах, подготовка кадров в области обеспечения ИБ; формирование системы мониторинга показателей и характеристик ИБ в наиболее важных сферах жизни и деятельности общества и государства.
109012, г. Москва,
Театральный пр., 3
Виды мер обеспечения информационной безопасности
Защита данных
на базе системы
И нформационная безопасность предполагает создание условий для невозможности разглашения ценных сведений личного или служебного характера. Утечка персональной информации может подорвать репутацию физических лиц, нанести им моральный или материальный ущерб. Разглашение важной служебной информации может навредить деятельности компании, подорвать ее репутацию и даже подвергнуть персонал опасности. Для обеспечения информационной безопасности требуется принятие специальных мер по предотвращению утечки конфиденциальных сведений, использованию их в неблаговидных целях.
Информация обычно хранится в бумажном или электронном виде. Угроза утечки данных возникает при передаче их через интернет, неправильном хранении электронных носителей, несоблюдении инструкций по работе с секретными материалами. Для получения несанкционированного доступа к конфиденциальной информации мошенники используют вирусные программы, вымогают персональные данные, пароли и логины пользователей.
В организациях существуют службы информационной безопасности, в распоряжении которых имеются технические и программные средства защиты информационных ресурсов.
Принципы информационной защиты
При разработке мер для обеспечения безопасности и защиты секретных сведений за основу берутся принципы доступности, целостности и конфиденциальности информации.
Доступность. Применяемые методы защиты должны предусматривать беспрепятственный доступ к информации, предоставляемый конкретным лицам.
Целостность. Создание условий для невозможности преднамеренного искажения или уничтожения данных. Например, неверная трактовка технической инструкции может привести к потере времени и денег на производство некачественной продукции. А намеренное искажение лекарственной рецептуры создает угрозу для здоровья и жизни людей.
Конфиденциальность. Любая предпринимаемая мера должна обеспечивать безопасность информации, разглашение которой грозит неприятными последствиями для граждан, а государственных или коммерческих организаций.
Виды методов противодействия информационным угрозам
Для защиты информации от посягательства третьих лиц применяются правовые, организационные, морально-этические, технические и физические методы. Используются программно-аппаратные средства и различные технологические приемы, повышающие безопасность.
Законодательные (правовые) действия
Для обеспечения информационной безопасности в Российской Федерации изданы специальные нормативно-правовые акты, законы и указы, касающиеся правил обращения с информацией, нежелательной к разглашению. В них конкретно говорится о порядке предоставления доступа к таким материалам и об основных методах их использования. Оговаривается степень ответственности за разглашение, а также мера наказания.
Руководители организаций должны своевременно знакомить работников с содержанием законодательных актов, чтобы предупредить случайное или намеренное нарушение правил и повысить бдительность сотрудников.
Организационные мероприятия
К ним относится подбор персонала, его обучение, разработка должностных инструкций. Организуется охрана помещений, в которых находятся конфиденциальные материалы, вводится пропускной режим. Контролируется работа сотрудников, имеющих допуск в информационную систему, а также порядок хранения и уничтожения секретных материалов.
Технологические приемы
Для обеспечения безопасности используются приемы «перестраховки», с помощью которых исключается возможность ошибочного или несанкционированного проникновения в информационную систему. К примеру, для получения доступа к важным материалам необходимо получить разрешение нескольких руководящих лиц. Для совершения банковской транзакции требуется составление общего баланса счетов нескольких видов.
Морально-этические методы
Это профилактические действия, в основном, воспитательного характера. Они предпринимаются для создания в обществе и отдельных коллективах здорового морального климата. При приеме на работу необходимо предупреждать людей о необходимости соблюдения служебной этики. Сотрудников знакомят с предписаниями, связанными с сохранением коммерческих тайн и персональных данных клиентов фирмы.
Физическая защита
Такие мероприятия направлены на снижение риска потери данных и выявление лиц, пытающихся проникнуть на охраняемую территорию или в информационную систему. Устанавливаются видеокамеры, звуковая сигнализация. Проводится опломбирование секретных документов, используются специальные метки, позволяющие обнаружить угрозу утечки информации.
Программно-аппаратные (технические) методы
Для осуществления информационной защиты используются специальные компьютерные программы и технологии. С их помощью можно скрыть важные данные, не допустить утечки во время пересылки через интернет. К техническим мерам относится использование аппаратных и программных средств. Они позволяют обнаружить хакерские атаки, предупредить возможность их осуществления, ликвидировать последствия.
Применяются такие методы, как шифрование и маскировка информации, создание электронной подписи на компьютерных документах. Для передачи данных используются специальные каналы связи. Отмечается время доступа пользователей в информационную систему, используются пароли и секретные метки. Вход в систему усложняется введением биометрических данных.
Важные условия защиты информации
Осуществление мероприятий, обеспечивающих информационную безопасность должно происходить с соблюдением следующих условий:
2. Необходимо решать вопросы информационной безопасности комплексно. Мероприятия различных видов должны дополнять друг друга. Следует осуществлять их планомерно и постоянно. Требования должны быть едиными для всех. При разработке методов должны учитываться возможные направления хакерских атак, слабые места в информационной системе, повышающие риск несанкционированного доступа к секретным данным.
3. Важно осуществлять одновременно «внешнюю» и «внутреннюю» защиту. Это значит что мероприятия по обеспечению физической, организационной и правовой охраны должны сочетаться с применением новейших технологий безопасной работы компьютерных операционных систем. Необходимо обеспечить правильное хранение паролей и ключей шифрования. Их следует часто менять, чтобы не давать злоумышленникам шанса проанализировать существующие методы защиты и внедрить вирусные программы.
4. При разработке способов создания информационной безопасности важно учитывать опыт зарубежных специалистов в этой области.
5. Затраты на обеспечение информационной безопасности должны соответствовать ценности материалов, которыми владеет компания. Принятие неадекватных мер может мешать рабочему процессу и вызывать раздражение у персонала. Для оценки рисков проводится «категорирование» информации, которой владеет конкретная организация. Уровень риска считается высоким, если утечка информации чревата катастрофическими последствиями для деятельности и финансового состояния компании, угрожает безопасности персонала. Уровень риска может быть также умеренным. При низком уровне деятельность организации в результате утечки ценных сведений не прерывается, но эффективность ее работы снижается. При этом финансовый ущерб незначительный.
6. Необходимо распределять работу с секретными материалами между несколькими сотрудниками, вводить систему ограниченного доступа к информации. При этом снижается риск ее разглашения, поскольку каждому отдельному работнику будет доступна лишь определенная доля важных сведений. Важно четко распределить обязанности по соблюдению норм безопасности, чтобы в случае утечки данных быстро выявить виновника.
7. Любая мера защиты должна быть обоснованной и технически реализуемой. К разработке технических и программных продуктов должны быть привлечены профессионалы, имеющие государственные лицензии на оказание услуг в области защиты конфиденциальной информации;
8. Важную роль играет обучение персонала, знакомство с основами безопасной работы с секретной информацией и приемами, к которым прибегают мошенники для ее добычи. Сотрудников необходимо предупреждать о возможности фишинг-атак (рассылке подозрительных писем или вложений, содержащих психологические ловушки). Целью таких атак является получение данных о банковских операциях, электронных счетах компании. Необходимо повышать бдительность персонала, предупреждать о последствиях утери или кражи электронных носителей.
Контроль соблюдения разработанных мер осуществляет служба информационной безопасности предприятия. Ее сотрудники осуществляют как физическую, так и инженерно-техническую защиту.
Специалисты проводят постоянный мониторинг всех событий, происходящих в информационной системе организации, осуществляют резервное копирование данных, чтобы предотвратить потерю ценной информации в случае ее уничтожения злоумышленниками.
Информационная безопасность играет важную роль в жизни отдельных людей, обеспечении нормальной деятельности государственных организаций и частных компаний. Для защиты информации, предотвращения ее утечки или уничтожения архивных сведений проводятся комплексные мероприятия. Они осуществляются в соответствии с законами государства. Используются разнообразные методы и технологии обеспечения конфиденциальности информации. Ее безопасность и методы защиты зависят от степени секретности материалов и тяжести последствий, которые могут возникать при попадании сведений в руки злоумышленников.
Развитие компьютерных технологий и переход на работу с электронными документами требует от людей особой бдительности при использовании программ, которыми могут воспользоваться мошенники.
Техническое обеспечение информационной безопасности предприятия
Защита данных
на базе системы
В опросы технического обеспечения информационной безопасности предприятия решают не только ИТ-подразделения. В безопасном использовании информационных ресурсов заинтересовано руководство и другие службы компании.
Концепция защиты
Реализация стратегии защиты начинается с разработки Концепции информационной безопасности, которая включает:
Концепция принимается на уровне высшего руководства предприятия и должна пересматриваться по мере эволюции информационной инфраструктуры и изменения модели угроз. На первом этапе для ее разработки собираются мнения всех подразделений, заинтересованных в системном решении задачи технического обеспечения информационной безопасности. В дальнейшем задача ее доработки по итогам контроля работоспособности может быть возложена на курирующее ИТ-подразделение.
Объекты защиты
Неожиданным для сотрудников ИТ-подразделений, но важным для экономической безопасности предприятия становится такой объект защиты, как вложенные в создание технической инфраструктуры инвестиции. Их окупаемость должна стать одной из важных задач предприятия, недопустима избыточность, при которой ИБ становится самоцелью, отнимая ресурсы у бизнес-процессов.
Экономический эффект от внедрения системы технической защиты конфиденциальных данных проявляется в:
Традиционно объектами защиты становятся:
Часто объекты разнесены в пространстве, на промышленных предприятиях многие из них могут находиться в труднодоступных местах. Каждый объект защиты должен быть описан в концепции обеспечения безопасности с учетом его относительной ценности и возможности замены.
Классификация пользователей
Часто выбор технического обеспечения информационной безопасности предприятия зависит от типов пользователя и количества групп пользователей на предприятии. В общем значении под пользователем подразумевается сотрудник, идентифицируемый в системе под собственным логином и паролем и имеющий доступ к данным в соответствии со своими служебными обязанностями. Технические и программные средства защиты информации должны давать возможность не только идентифицировать пользователей, но и разграничивать их доступ к данным разной категории.
В обычной компании достаточно выделить лица с правами пользователей и с правами администраторов. На производственном предприятии выделяют следующие группы пользователей:
Для всех необходимо установить правила допуска, а также регламент их изменения. Права предоставляются по принципу минимально необходимых для решения служебных задач. Наиболее простое решение – открыть доступ пользователям к ресурсам исходя из типа программных модулей. К специализированным модулям относятся АСУ, банковские программы, системы управления безопасностью, к общедоступным – программы электронного документооборота (ЭДО), CRM-системы, корпоративная электронная почта.
Группа администраторов в ИТ-подразделении также не едина, в зависимости от сложности задач, стоящих перед службой, внутри нее могут выделяться отделы:
Также в отдельную группу выделяют сотрудников филиалов и удаленных рабочих мест.
Функционал каждого подразделения в части технического обеспечения информационной безопасности предприятия прописывается в общем положении и должностных инструкциях сотрудников.
Корпоративная сеть предприятия
ИС выступает самостоятельным объектом защиты, так как необходимо обеспечить ее целостность на основе сетевого протокола TCP/IP.
При формировании архитектуры выделяются адресные пространства:
Такая сегментация позволяет разделять группы пользователей межсетевыми экранами и обеспечить самостоятельный запуск отдельных приложений.
Технологические элементы сетей
Верные технологические решения обеспечивают работоспособность сети в целом, четкость бизнес-процессов, устойчивое качество работы приложений и сохранность информации.
Базовые структурные единицы ИС, общие для всех типов компаний:
Для обеспечения работоспособности технологических элементов системы ответственному за это сотруднику требуются навыки инженера и работающая модель мониторинга, сканеры которой будут выявлять отклонения от заданных параметров работы. Информационные ресурсы требуют иного подхода к защите.
Информационные ресурсы предприятия
Ценность данных, обрабатываемых в локальной сети, каждая компания, разрабатывающая систему ИБ, определяет исходя из бизнес-целей.
Часто выделяются следующие группы информационных ресурсов:
Объекты защиты могут структурироваться и храниться в базах данных, управляемых СУБД, а могут находиться в разрозненном виде на компьютерах сотрудников. Аудит информационных ресурсов поможет составить представление об объекте охраны и выработать оптимальный механизм защиты. Большие объемы данных, относящихся к общедоступным, не требуют дополнительной защиты и отвлечения ресурсов на эти задачи.
Выстраивая модель защиты информации, необходимо обратить внимание на структуру информационных потоков, циркулирующих внутри предприятия и поступающих из внешних источников.
Отслеживать необходимо следующие внутренние потоки:
В рамках внешних потоков информации, подлежащих особенной защите, выделяют:
Эти виды коммуникации содержат большие объемы конфиденциальной информации, которую необходимо защищать от утечек.
Взаимодействие организуется по трем каналам:
Совмещение этих трех защищенных каналов позволяет уберечь информацию, представляющую наибольший интерес для злоумышленников. Из средств технического обеспечения информационной безопасности предприятия дополнительно используются магистральные роутеры и межсетевые экраны. Задача регламентированного подключения пользователей к Интернету решается на основе системных политик компании.
Факторы, учитываемые при разработке стратегии ИБ
Меняющаяся реальность и увеличивающийся объем угроз побуждают организации постоянно видоизменять концепцию защиты информационных активов.
Среди факторов внешней и внутренней среды, учет которых необходим:
Эти факторы при работе над архитектурой сети и ее техническим обеспечением требуют от ИТ-подразделения компании и подрядчиков соблюдения следующих принципов:
Соблюдению этих принципов, в большей степени минимизирующих затраты, особое внимание должна уделять служба внутреннего аудита предприятия при оценке концепции.
Организация работы по созданию и внедрению Концепции
Внутренний аудит подключается к задаче оценки Концепции на одном из завершающих этапов, а его подготовка ведется департаментами ИТ и безопасности под руководством одного из заместителей директора или членов правления. Он должен отличаться достаточным уровнем компетенции и властных полномочий. Существуют государственные стандарты, описывающие подготовку технического задания при создании Концепции. Следование им сократит срок работы, так как большинство регламентов уже создано.
Руководитель проекта при подготовке основополагающего документа, содержащего основные принципы технического обеспечения информационной безопасности предприятия, определяет исполнителей, сроки и бюджет проведения мероприятий:
Реализация процесса по четырехзвенному механизму – разработка, внедрение, анализ, доработка, помогает повысить работоспособность системы защиты уже на ранних этапах. Частные компании могут обойтись без официальных приемочных испытаний, а вот для ГИС они необходимы.
Техническое обеспечение информационной безопасности предприятия после его внедрения призвано решить следующие задачи:
Аудит должен проверить выполнение всех требований и подготовить доклад с рекомендациями по дальнейшему улучшению системы.
Организационные, технические и программные средства защиты
Для любой компании реализация системы технической безопасности инфраструктуры начинается с принятия пакета прикладных организационных мер. Основным документом окажется Политика информационной безопасности, многие внутренние регламенты могут быть разработаны в качестве приложений к ней. Не рекомендуется оформлять в качестве приложений документы, разработка которых регламентирована необходимостью защиты персональных данных и выполнений требований регулятора.
Проверяющие организации запрашивают отдельными документами:
Их отсутствие может привести к штрафам. Помимо документов, относящихся к персональным данным, необходимо разработать и внедрить:
Персонал должен быть ознакомлен с документами. Они должны храниться в доступном для ознакомления месте, например, на сервере компании.
Процедурные задачи
Кроме документального, решение задачи технического обеспечения информационной безопасности предприятия внедряется на процедурном уровне. Требуется:
На программном уровне реализуются следующие шаги:
Если реализация мероприятий по созданию системы технического обеспечения информационной безопасности предприятия осуществляется организацией-подрядчиком, она должна иметь лицензии. Выполнение комплекса мер позволит обеспечить защиту интересов фирмы на высшем уровне.