Практические правила управления информационной безопасностью

Главная — Информационная безопасность — Основы ИБ — Основные аспекты информационной безопасности — Основные принципы обеспечения информационной безопасности — Практические правила управления информационной безопасностью

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Эффективность деятельности в любой сфере производства во многом зависит от того, насколько обеспечена информационная безопасность.

Управление информационной безопасностью должно быть неотъемлемой частью деятельности любой компании. При этом важно учитывать значимость сохранения конфиденциальности, целостности секретных сведений, доступности данных.

За организацию защиты ценной информации отвечают собственники или уполномоченные руководители предприятий.

О стандартах и правилах управления, которыми следует руководствоваться, мы и поговорим, акцентируя внимание на том моменте, что информационная безопасность достигается путем реализации соответствующего комплекса мероприятий на всех стадиях производственного процесса или оказания услуг.

Нормативная база

Проблема управления информационной безопасностью обострилась с развитием информационных технологий и Интернета, когда хакеры смогли использовать полученные сведения для мошенничества в корыстных целях.

Первый стандарт BS 7799 был разработан Британским институтом стандартов (BSI) в 1995 году. Он содержал рекомендации по управлению доступом к секретной информации и сертификации.

Объединив лучший мировой опыт, взяв за основу британские наработки, международная организация по стандартизации ISO выпустила в 1999 году новый документ, регулирующий вопросы организации обеспечения информационной безопасности. Актуальная редакция ISO/IEC 17799:2005.

Уникальность этого документа заключается в возможности его применения в любой организации независимо от сферы ее деятельности.

В рамках реализации политики конфиденциальности в России был принят и введен в действие ряд ГОСТов, касающихся информационных технологий, соответствующих требованиям ФЗ № 184 «О техническом регулировании».

Правила применения национальных стандартов закреплены в ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения».

Рассмотрим, какие мероприятия предложены в рамках управления защитой важных данных, которые могут повлиять на экономический результат в конечном итоге, обеспечив ликвидность, доходность организации, максимальную отдачу от инвестиций.

Составляющие практических правил управления безопасностью информации

Прежде чем определиться с направлением политики безопасности, необходимо проанализировать конкретные нужды организации, связанные со спецификой деятельности, формами используемой информации, средствами ее распространения и хранения.

Требования к обеспечению конфиденциального доступа только авторизованных пользователей к сведениям, представляющим коммерческую или другую тайну, сохранение целостности данных и доступности по мере необходимости других сотрудников, определяют с учетом:

рисков потенциальных угроз ценным активам;
регулирования с юридической точки зрения вопросов безопасности условиями договоров, заключенных с партнерами;
принципов обработки информации, приемлемых в данной сфере производства или оказания услуг.

Внимание акцентируется на том, что риски можно оценить как для всей организации, так и для отдельных структурных подразделений, связанных непосредственно с информационными системами.

Периодически нужно анализировать новые угрозы и уязвимости, эффективность управления информационной безопасностью.

На следующем этапе выбирают комплекс стандартных мероприятий, который обеспечит максимальное снижение вероятных угроз безопасности, в частности:

компьютерного мошенничества и шпионажа;
преднамеренного вредительства, уничтожения сведений;
потери данных из-за чрезвычайных ситуаций, аварий, пожаров или наводнений;
компьютерных взломов или вирусных атак.

Необходимо рассчитать соотношение предстоящих затрат, ожидаемого эффекта и возможных материальных убытков в случае утечки секретных сведений или прочих нарушений информационной безопасности.

Мероприятия можно выбрать не только в предложенном стандарте, но и разработать самостоятельно, учитывая специфические потребности обеспечения информационной безопасности.

Стандарты основ управления информационной безопасностью

Выработав четкую позицию по вопросам решения проблем защиты данных, высшее руководство издает соответствующие локальные положения, приказы внутреннего пользования. С документами под роспись знакомят сотрудников, имеющих доступ к конфиденциальным сведениям.

В документах должно быть отражено:

понятие информационной безопасности и ее цели;
требования к персоналу согласно договорным условиям, не противоречащим закону;
обязанности сотрудников в рамках соблюдения информационной безопасности и ответственность за допущенные нарушения;
вопросы, касающиеся порядка обучения информационным технологиям, обеспечивающим безопасность данных.

Письменным приказом назначается ответственное лицо за реализацию установленных мер защиты по отношению к информационным данным, своевременным пересмотром принятой политики управления или внедрением других стандартов.

Немаловажным является решение организационных вопросов, касающихся информационной безопасности. Стандартом предусмотрено создание управляющих советов и комитетов, координирующих внедрение мероприятий по обеспечению информационной безопасности.

Рекомендуется:

предусмотреть наличие штатного специалиста по внутренней информационной безопасности;
наладить контакт с внешними специалистами в сфере защиты для своевременного реагирования на возникающие отраслевые инциденты, возможности принимать более действенные меры управления;
сотрудничать с другими организациями в области информационной безопасности, обеспечивая защиту конфиденциальных сведений от несанкционированного доступа;
проводить аудит утвержденной внутренней политики безопасности.

Для обеспечения защиты всех информационных ресурсов проводится их инвентаризация.

Обычно четко идентифицируют, уточняя местоположение и данные владельца, отвечающего за сохранность:

системную документацию, базы и файлы информационных данных;
прикладное программное обеспечение, другие инструментальные средства;
компьютерное и техническое оборудование (маршрутизаторы, магнитные носители и т.д.).

Чтобы определить необходимую степень защиты, в стандарте даны рекомендации по классификации данных по степени чувствительности к угрозам.

Представленные в физической, электронной форме информационные активы подлежат маркировке для учета типа их обработки:

хранение или уничтожение;
копирование;
пересылка почтой или в электронном виде;
голосовая передача.

С целью минимизации рисков, возникающих по причине человеческого фактора, в управлении обращают внимание на вопросы подбора персонала. Проводится стандартная проверка кандидатов на должности, где с доступом к особо важной информации, секретным данным. Со штатными работниками и представителями третьей стороны, использующими информацию организации, подписывают соглашение о неразглашении сведений, конкретизируя меры ответственности за его несоблюдение.

В обязанности работодателей входит обучение персонала стандартным процедурам безопасности, правилам обработки сведений.

Сотрудники должны знать порядок информирования руководства об инцидентах, угрозах, сбое, уязвимостях системы и знать о мерах дисциплинарной ответственности за нарушения.

В стандарте к процедуре управления информационными активами относят размещение средств обработки критичной, секретной служебной информации в зонах, не доступных для свободного посещения. Стандартный порядок управления предусматривает необходимость принятия мер по защите такого оборудования, в том числе от воздействий окружающей среды.

Помимо того, что при размещении оборудования нужно ограничить к нему доступ, важно максимально снизить риски потенциальных угроз, связанных с затоплением, помехами в электроснабжении, химическим или электромагнитным воздействием.

Для защиты приборов и оборудования от сбоев, связанных с подачей электричества, стандарт предлагает использовать резервный генератор и устройства бесперебойного электропитания.

Стандарт рекомендует предусмотреть защиту информации от перехвата и повреждения через силовые и телекоммуникационные кабельные сети. Если в организации используются сетевые ресурсы (например, облачные хранилища), могут понадобиться дополнительные мероприятия по управлению ими для защиты важных данных. Доступ к внутренним, и к внешним сетевым сервисам должен быть контролируемым.

Для обеспечения непрерывной работоспособности и целостности оборудования необходимо периодически проводить его техническое обслуживание авторизированным персоналом в соответствии с инструкциями, разработанными поставщиками.

Согласно стандарту, общие мероприятия по управлению и защите информации должны предотвратить риски кражи сведений, исключить возможность компрометации. Также в нем рассматриваются вопросы управления непрерывностью бизнеса.

Политика организации по управлению безопасностью должна отвечать требованиям действующего законодательства. Руководствуясь практическими рекомендациями, предложенными в национальном стандарте (ГОСТ Р ИСО/МЭК 17799-2005), можно добиться эффективной защиты информационных активов.

18.05.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.