Разработка политики ИБ для компании
Концепция разрабатывается в соответствии с системным к информационной безопасности, предполагающим проведение комплексного перечня мероприятий включающего анализ угроз информационной безопасности, эксплуатацию программных, аппаратных и технических средств защиты информации, анализ принятых мер и поддержание состояния информационной безопасности.
В соответствии с принципом системного подхода система обеспечения информационной безопасности разбивается на следующие подсистемы:
— управления доступом;
— регистрации и учета;
— обеспечения целостности;
— антивирусной защиты;
— межсетевого экранирования.
Подсистема управления доступом предназначена для ограничения доступа пользователей к информации, не соответствующей их уровню допуска, а также для реализации процедур идентификации и аутентификации пользователей средств вычислительной техники.
Подсистема реализуется:
— средством защиты он несанкционированного доступа политиками прав пользователей, политика паролей, политика блокировки учетных записей, настройкой политик безопасности.
Подсистема регистрации и учета предназначена для журналирования действий пользователей на средствах вычислительной техники, фиксации в журнале попыток несанкционированного доступа к конфиденциальным ресурсам, регистрации запуска/завершения программного обеспечения.
Подсистема реализуется:
— средством защиты он несанкционированного доступа, журналированием и хранением системных событий, аудитом входа/выхода в систему;
Подсистема обеспечения целостности предназначается для обеспечения целостности и доступности файловой системы средств вычислительной техники, предотвращения случайной или преднамеренной модификации информации.
Подсистема реализуется:
— средством защиты он несанкционированного доступа механизмом замкнутой программной среды, контролем целостности (файлов, каталогов, элементов системного реестра, секторов дисков), восстановлением поврежденной/модифицированной информации, контролем аппаратной конфигурации средств вычислительной техники.
Подсистема антивирусной защиты предназначена для защиты от вредоносного программного обеспечения, периодического сканирования средств вычислительной техники на наличие вредоносного программного обеспечения, лечения зараженных файлов.
Подсистема реализуется:
— средством антивирусной защиты, защитой от вредоносного программного обеспечения, сигнатурным и эвристическим анализом программного обеспечения, лечения зараженных файлов, контроля активности программ, локального межсетевого экранирования.
Подсистема межсетевого экранирования предназначена для обеспечения безопасного межсетевого взаимодействия с внешними сетями, защиты трафика от несанкционированного в каналах связи.
Подсистема реализуется:
— межсетевым экраном, межсетевое экранирование трафика, обнаружение и предотвращение вторжений, потоковым антивирусом.
Политика в отношении обработки персональных данных ООО «Азимут»
Политика в отношении обработки персональных данных является основополагающим документом ООО «Азимут», определяющим его систему взглядов на вопросы обеспечения безопасности персональных данных.
Политика в отношении обработки персональных данных ООО «Азимут» должна четко показывать: каковы цели ООО «Азимут» при обработке персональных данных, как осуществляется сбор и обработка персональных данных, какими методами ООО «Азимут» обеспечивает безопасность и конфиденциальность персональных данных, когда прекращается обработка персональных данных. Иными словами, в Политике должны быть показаны законные основания для обработки ООО «Азимут» персональных данных субъектов.
По своей структуре Политика в отношении обработки персональных данных ООО «Азимут» должна содержать следующие основные положения:
— назначение и область действия политики;
— сведения об обработке персональных данных: основания для обработки, обрабатываемые категории, обрабатываемые сведения, порядок и условия обработки;
— передача персональных данных;
— меры, применяемые оператором по обеспечению безопасности персональных данных: организационные, технические, правовые;
— права субъектов;
— роли сторон;
— ответственность ООО «Азимут».
Политика в отношении обработки персональных данных ООО «Азимут» обязан быть опубликован на официальном Интернет-ресурсе ООО «Азимут» — http://азимут.рф, в форме, не предусматривающей его редактирование, тем самым предоставив к Политике неограниченный доступ заинтересованных лиц.
Методика реагирования на инциденты информационной безопасности
Разработку методики реагирования на инциденты информационной безопасности предполагает создание процедуры управления инцидентами информационной безопасности, включающей в себя:
— определение инцидента;
— оповещение о возникновении инцидента;
— регистрацию инцидента;
— устранение причин и последствий инцидента;
— расследование инцидента;
— реализацию действий, предупреждающих повторное возникновение инцидента.
Процесс выстраивания политики реагирования рекомендуется организовать по циклу Шухарта-Деминга PDCA (Планируй, Plan — Выполняй, Do — Проверяй, Check — Действуй, Act).
Политика по организации парольной защиты
Политика по организации парольной защиты регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей, удаления учетных записей пользователей, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
В документе должны быть определены:
— требования к атрибутам паролей: длине, символам, сохранности;
— требования к плановой и внеплановой смене пароля;
— действия пользователей при компрометации пароля.
Политика по организации антивирусной защиты
Политика по организации антивирусной защиты определяет требования к организации защиты от воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих вычислительные комплексы, за их выполнение.
В документе должно быть определено:
— наименование средства антивирусной защиты;
— порядок установки, обновления и деинсталляции средства антивирусной защиты;
— порядок применения средств антивирусного контроля;
— порядок нейтрализации антивирусного программного обеспечения;
— ответственность за организацию антивирусного контроля;
— порядок проведения контроля за состоянием антивирусной защиты.
Нужна похожая работа?
Оставь заявку на бесплатный расчёт
Промокоды сервисов
-
валютно-финансовые условия внешнеторгового контракта (условия платежа) Читать
-
Анализ рентабельности предприятия Читать
-
Знакомство дошкольников с поэзией А.С.Пушкина. Читать
-
Структура службы управления персоналом и ее место в организации ПАО «Татнефть» Читать
-
Анализ мероприятий процесса оценки информационной безопасности. Читать
-
Становление и развитие науки государственного управления в России Читать
