Скачать 2.64 Mb.
|
Политики использования отдельных универсальных информационных технологий в масштабе всего предприятия могут включать в себя: политику использования электронной почты (e-mail); политику использования средств шифрования данных; политику защиты от компьютерных вирусов и других вредоносных программ; политику использования модемов и других аналогичных коммуникационных средств; политику использования Инфраструктуры публичных ключей; политику использования технологии Виртуальных частных сетей (Virtual Private Network – VPN). Политика использования электронной почты может включать в себя как общие ограничения на ее использование определенными категориями сотрудников, так и требования к управлению доступом и сохранению конфиденциальности сообщений, а также к администрированию почтовой системы и хранению электронных сообщений. Кроме того, политика может предусматривать: запрет на использование электронной почты в личных целях; специальные требования к отправке и получению присоединенных файлов, которые потенциально могут содержать вредоносные программы; запрет на использование электронной почты временными сотрудниками; требования шифрования передаваемых сообщений; наблюдение за всеми передаваемыми и получаемыми сообщениями; ограничения на передачу конфиденциальной информации при помощи электронной почты и другие положения. Политика использования коммуникационных средств может определять границы использования технологий, позволяющих подключить компьютеры и информационные системы предприятия к информационным системам и коммуникационным каналам за его пределами. В частности, такая политика может вводить определенные ограничения на использование модемов для телефонных линий, устройств, использующих современные беспроводные технологии, такие, как GSM (GPRS), Wi-Fi, передача данных в сетях стандарта CDMA и т.п. Политика использования мобильных аппаратных средств может относиться к различным устройствам, таким как мобильные ПК, КПК (PDA), переносные устройства хранения информации (дискеты, USB-flash, карты памяти, подключаемые жесткие диски и т.п.). Она может отражать общее отношение предприятия к использованию сотрудниками таких устройств, определять требования и устанавливать конкретные области, в которых их использование допустимо. Также могут устанавливаться дополнительные общие требования к стационарному оборудованию в целях ограничения подключения к ним мобильных компьютеров и средств переноса данных. Политика информационной безопасности предприятия: нижний уровень Данный уровень включает в себя документы, являющиеся инструкциями и методиками прямого действия, используемыми в повседневной деятельности сотрудников предприятия. Эти документы относятся к отдельным сервисам, процедурам и информационным системам. Основной задачей разработки организационной документации на этом уровне является обеспечение как можно более детального и формализованного описания всех процедур и требований, относящихся к обеспечению безопасности отдельных элементов информационных систем, информационных потоков и массивов информации. В частности, для обеспечения полноты формирования политики информационной безопасности предприятия необходимо сформировать как можно более полный комплект организационной документации, включающий в себя: бланки типовых заявок на предоставление доступа отдельных сотрудников к определенным информационным ресурсам и информационным системам, а также регламенты предоставления такого доступа; регламенты (процедуры) работы с определенными информационными и телекоммуникационными системами, программным обеспечением и базами данных; должностные обязанности отдельных категорий сотрудников в отношении обеспечения информационной безопасности, а также требования, предъявляемые к персоналу; типовые договоры с внешними контрагентами, связанные с передачей или получением информации, или основные требования, предъявляемые к таким договорам. Процедурные документы, относящиеся к предоставлению доступа к ресурсам (таким как сеть Интернет, корпоративные информационные системы и базы данных, аппаратные средства, средства передачи информации и т.п.) могут включать как типовые бланки заявок на предоставление доступа, так и описание основных процедур (регламента) принятия решений о предоставлении такого доступа и предоставлении конкретных прав при работе с информационными ресурсами, а также перечни критериев, необходимых для предоставления тех или иных прав в информационных системах. Процедуры работы с отдельными информационными системами и/или модулями информационных систем (базами данных, модулями корпоративной ERP-системы, системами электронного документооборота и т.п.) могут перечислять все основные требования, правила и ограничения, например, запрет использовать дискеты для копирования и переноса информации или ограничения, налагаемые на возможность удаленного доступа к тем или иным информационным сервисам. Требования и правила, связанные с обеспечением информационной безопасности, могут быть как включены в общие инструкции по использованию информационных систем или регламенты осуществления бизнес-процессов, так и оформлены в виде специальных инструкций и памяток, содержащих исключительно требования и правила информационной безопасности. Должностные обязанности персонала предприятия, связанные с обеспечением информационной безопасности, должны входить как составная часть в должностные инструкции для каждого сотрудника. Кроме того, политика безопасности может предусматривать подписание (как при поступлении на работу или переводе на определенную должность, так и при увольнении с нее) отдельными категориями персонала дополнительных соглашений, обязательств и подписок о неразглашении определенной информации. Также политика безопасности может вводить дополнительные требования к персоналу, работающему с определенными сведениями или информационными системами. Примерами таких ограничений могут быть отсутствие судимости, наличие определенных навыков или специальной квалификации, прохождение профессиональной сертификации или психологической проверки. Политики безопасности, относящиеся к работе с внешними контрагентами, могут предусматривать типовые формы и отдельные инструкции по составлению коммерческих контрактов (для каждого типа контрактов, а также для отдельных групп контрагентов) и обмену информацией с поставщиками, покупателями, консультантами, посредниками, субподрядчиками, поставщиками финансовых и информационных услуг и другими участниками хозяйственной деятельности. В частности, в политике для каждой из этих категорий может предусматриваться специфический порядок информационного обмена, взаимные требования по обеспечению конфиденциальности и возможные меры ответственности в случае нарушения согласованных требований какой-либо из сторон. Заключительные положения В тех случаях, когда определенная политика безопасности описывает сложную информационную систему и систему защиты информации, предназначенную для выполнения наиболее ответственных операций (таких как, например, электронные денежные переводы), она может быть разделена на две составляющие: внутренний регламент работы подразделений (групп, администраторов), отвечающих за выполнение наиболее важных административных функций (например, выдача и обслуживание электронных сертификатов Инфраструктуры публичных ключей); политику, непосредственно отражающую требования к пользователям и процессам, а также описания процедур работы и взаимодействия всех участников информационного обмена. В этом случае внутренний регламент может содержать подробное описание тех правил и требований, которые должны выполнять ответственные подразделения (ИТ-служба, Департамент информационной безопасности или Служба безопасности предприятия) в процессе выполнения своих функций. Такой регламент может быть необходим для демонстрации надежности наиболее важных и ответственных элементов инфраструктуры информационной безопасности. Это особенно важно в том случае, если предприятие осуществляет информационный обмен с внешними контрагентами (и, в частности, клиентами) и демонстрация надежности внутренних процедур сервисов информационной безопасности может обеспечить расширение бизнеса и повышение эффективности отдельных операций. В некоторых случаях объем таких документов (политик, регламентов) может достигать нескольких десятков страниц (как правило, не более 100-150 страниц). Документы такого размера, как правило, составляются в тех случаях, когда может понадобиться их использование в судебных процессах для установления степени вины и ответственности различных участников процедур информационного обмена. В том случае, если отдельные политики представляют собой сложные объемные документы, изобилующие юридическими и техническими терминами, они могут сопровождаться дополнительным документом, кратко раскрывающим основные требования и положения для большинства пользователей. Такой документ должен иметь относительно небольшой объем (например, не более двух страниц) и содержать описание наиболее важных аспектов предмета политики: практически важные ограничения, ответственность и основные правила, знание которых необходимо для повседневной деятельности. К числу документов на среднем и нижнем уровне детализации, помимо собственно политик безопасности, можно отнести также юридическое заключение, формально подтверждающее, что все меры информационной безопасности, предпринимаемые на предприятии, соответствуют требованиям действующего законодательства и/или стандартов. 9. Лекция: Департамент информационной безопасности и работа с персоналом Департамент информационной безопасности Департамент информационной безопасности (далее – департамент) предприятия представляет собой самостоятельное структурное подразделение предприятия, непосредственно выполняющее ключевые функции защиты информационных ресурсов. Его основными задачами, как правило, являются: организация и координация работ по обеспечению комплексной защиты информации на предприятии; контроль за выполнением установленных требований и оценка эффективности работы подразделений и персонала предприятия по обеспечению информационной безопасности; выполнение отдельных административных и технических функций по обеспечению информационной безопасности, в т.ч.: формирование, поддержка и документальное обеспечение политики информационной безопасности на всех уровнях; внедрение различных средств защиты информации; администрирование отдельных информационных систем. Состав задач департамента и его внутренняя организационная структура в каждом конкретном случае определяется такими особенностями функционирования предприятия, как: значимость информационных ресурсов в работе предприятия и характер существующих угроз; отношение руководства и собственников предприятия к вопросам информационной безопасности и их управленческая квалификация; функциональность и характер используемых информационных систем, их роль в бизнес-процессах; организация работы и структура ИТ-службы; финансовое состояние предприятия. Таким образом, решение о составе и структуре департамента в каждом случае должно быть индивидуальным и учитывающим все основные условия. Функции, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия, могут включать в себя: консультирование руководителей и собственников предприятия по вопросам разработки и совершенствования политики информационной безопасности; самостоятельная разработка политики безопасности, ее согласование и представление ее руководству предприятия для утверждения, а также внесение необходимых изменений по мере изменения условий работы предприятия; самостоятельная разработка политик безопасности, касающихся отдельных вопросов защиты информации (правил применения телекоммуникационных технологий, требований, обязательных для всех используемых на предприятии персональных компьютеров и т.п.); формирование требований и регламента процедур пересмотра политики безопасности, отдельных правил, типовых форм и других документов; анализ отдельных договоров и соглашений со сторонними организациями (поставщиками, покупателями, партнерами по проведению НИОКР и т.п.) на предмет соответствия требованиям политики информационной безопасности; анализ и обобщение передового опыта и современных теорий в сфере управления информационной безопасностью с целью их практического применения на предприятии; привлечение сторонних специалистов, исследователей, консультантов (консалтинговых компаний) для разработки и совершенствования политики безопасности предприятия и внедрения развитых методов управления в этой сфере; управление обучением персонала компании (контроль за полнотой и правильностью материалов учебных программ, связанных с информационной безопасностью, обеспечение своевременности прохождения обучения и т.п.); консультирование специалистов и руководителей подразделений предприятия по вопросам соответствия разрабатываемых внутренних документов отдельных подразделений требованиям политики безопасности предприятия; контроль соответствия внутренних организационных документов предприятия (правил внутреннего распорядка, должностных инструкций, инструкций по использованию информационных систем, типовых форм договоров и т.п.) требованиям политики информационной безопасности, а также согласование таких документов при их утверждении. Функции, связанные с внедрением средств защиты информации могут включать в себя: анализ современных программных и аппаратных средств защиты информации и связанных с ними методик защиты, а также рынка доступных средств защиты информации, применяемых для различных целей, и подготовка обоснованных предложений по приобретению определенных продуктов у определенных поставщиков; анализ закупаемых информационных систем (операционных систем, прикладных программ, телекоммуникационного оборудования, вычислительной техники и т.п.) на предмет их потенциальной надежности и наличия уязвимостей; привлечение сторонних экспертов и консультантов для анализа закупаемых и используемых средств защиты информации с точки зрения их надежности, а также с точки зрения целесообразности их применения (внедрения); формулирование требований (связанных с обеспечением информационной безопасности) к самостоятельно разрабатываемым программным продуктам или программному обеспечению, создаваемому на заказ сторонними разработчиками; участие в проектировании новых информационных систем, а также тестировании вновь разработанных и внедряемых программных продуктов; разработку технико-экономического обоснования для проектов внедрения средств защиты информации, а также привлечение для этих целей сторонних аналитиков и консультантов, специализирующихся на вопросах анализа средств защиты информации; подготовку обоснованных решений о выборе между самостоятельной разработкой средств защиты информации (например, программных модулей, осуществляющих шифрование данных) и передачей их разработки сторонним компаниям. Функции, связанные с администрированием информационных систем и систем защиты информации могут включать в себя: выполнение некоторых функций по администрированию отдельных информационных систем (баз данных, систем коллективной работы с документами, почтовых систем и т.п.), а также администрирование и конфигурирование систем защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.); определение требуемых типовых настроек и конфигураций рабочих станций (персональных компьютеров), имеющих отношение к информационным системам предприятия (в частности, подключенных к его локальной сети); привлечение сторонних организаций для осуществления текущего администрирования информационных систем и систем защиты информации, а также для консультационной и технической поддержки при возникновении инцидентов, связанных с информационной безопасностью (в частности, при осуществлении нападений на информационные системы предприятия); установку (в том числе и совместно со специалистами ИТ-подразделения) программных и аппаратных средств защиты информации на рабочие места пользователей и в другие элементы информационных систем; консультирование пользователей по возникающим вопросам, связанным с информационной безопасностью, и оперативное разрешение возникающих у них проблем; реагирование на различные инциденты, связанные с нарушением информационной безопасности; принятие активных встречных мер при обнаружении вторжений в информационную систему (информирование правоохранительных органов, самостоятельный поиск нападающих и т.п.); генерирование паролей пользователей информационных систем и обеспечение их сохранности; участие в восстановлении работоспособности информационных систем после сбоев и нарушений в работе. Функции, связанные с контролем выполнения требований политики информационной безопасности и проведением аудитов могут включать в себя: сбор и анализ сведений о нарушениях различных требований политики безопасности, поступающих из различных источников (в том числе и от администраторов информационных систем) и определение приоритетных направлений контрольной работы; проверку организационной документации отдельных подразделений предприятия на предмет соответствия требованиям политики информационной безопасности (в том числе и своевременности внесения всех необходимых изменений в действующие внутренние организационные документы); проверку состояния (правильности ведения) текущей хозяйственной и кадровой документации отдельных подразделений предприятия, связанной с обеспечением информационной безопасности (правильности и своевременности заполнения журналов, своевременность оформления обязательств о неразглашении сведений сотрудниками и т.п.); проведение комплексных аудитов информационной безопасности на предприятии; организацию контрольных проверок защищенности отдельных элементов информационных систем (серверов, сегментов сети и т.п.); привлечение сторонних организаций для проведения аудитов информационной безопасности на предприятии, проверок надежности информационных систем. Кроме перечисленных функций, непосредственно связанных с защитой информационных ресурсов, также большое значение имеет выполнение функций, связанных с охраной имущества предприятия и решением задач, которые связаны с обеспечением безопасности предприятия в более широком смысле. В частности, для обеспечения информационной безопасности имеет значение выполнение таких функций, как: охрана территории и имущества предприятия, а также охрана персонала; обеспечение соблюдения пропускного режима; наблюдение за территорией и помещениями (в том числе при помощи видеокамер); контроль за ввозом на территорию предприятия и вывозом готовой продукции, материалов, документов и другого имущества; организация внутренних служебных проверок и расследований, а также взаимодействия с правоохранительными органами; контроль за соблюдением временного режима работы, а также за соблюдением правил внутреннего распорядка. Организационная структура и персонал департамента информационной безопасности На практике департамент является подразделением, либо напрямую подчиняющимся первому лицу предприятия, либо входящим в качестве структурной единицы в службу безопасности предприятия. Сотрудники департамента находятся в административном и функциональном подчинении у руководителя департамента1), который несет ответственность за обеспечение информационной безопасности на предприятии. Вывод департаментов информационной безопасности из структуры ИТ-служб на предприятиях является одной из важных современных тенденций в управлении бизнесом, информационными технологиями и информационной безопасностью, т.к., по мнению некоторых специалистов, у этих подразделений имеются некоторые частично взаимопротиворечащие интересы и потому некоторые задачи не могут быть эффективно решены в рамках одного структурного подразделения. В составе департамента для повышения эффективности работы могут быть выделены самостоятельные группы (отделы), специализирующиеся на выполнении определенных функций (см. рис. 9.1): отдел (группа, бюро) нормативной (организационной) документации; отдел (группа, бюро) администрирования информационных систем; отдел (группа, бюро) аудита информационной безопасности; отдел (группа, бюро) внедрения информационных систем и систем защиты информации. увеличить изображение |
Внеаудиторная самостоятельная работа студентов – планируемая учебная, учебно-исследовательская, научно-исследовательская работа студентов,... | В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,... | ||
В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,... | Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки... | ||
Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки... | Методическое пособие предназначено для практических занятий и самостоятельной работы студентов специальностей 110400. 65-«Зоотехния»,... | ||
Методические рекомендации по организации самостоятельной работы студентов: учебно-метод пособие/В. С. Ширманов, В. Н. Волков, Е.... | ... | ||
Дисциплина «Организация охраны и конвоирования в уголовно-исполнительной системе» изучается на установочных лекциях и семинарах под... | Методические указания предназначены для студентов I и II курсов экономических специальностей дневного и заочного отделений. Методические... |
Поиск Главная страница   Заполнение бланков   Бланки   Договоры   Документы    |