Политики безопасности компании при работе в Интернет. Сергей Александрович Петренко
основных принципов обеспечения информационной безопасности компании позволяет простым и понятным языком, не вдаваясь в технические детали, сформулировать основные ценности компании и необходимость их защиты.
классификация и категорирование информационных ресурсов;
В основе любой политики безопасности лежит определение ценности информационных активов компании. Классификация и категорирование информационных ресурсов компании позволяет быстро и качественно принять решение о необходимой степени защищенности этих ресурсов.
анализ информационных потоков;
Цель анализа информационных потоков – определить все критичные точки обработки данных компании. Например, в системе обработки транзакций данные могут перемещаться через Web-браузеры, серверы данных и межсетевые экраны и могут храниться в базах данных, на магнитных носителях и на бумаге. Отслеживая информационные потоки, можно определить состав и структуру соответствующих средств защиты информации.
определение основных угроз и модели нарушителя;
Разработка модели угроз и модели нарушителя позволяет решить, какие типы угроз существуют в информационных системах компании, какова вероятность реализации угроз и каковы их последствия, а также стоимость восстановления.
определение сервисов безопасности;
Определение сервисов безопасности компании, например журналирования, авторизации, идентификации, аутентификации и пр., позволяет правильно выработать политику безопасности.
создание шаблона политики безопасности;
Структура политики безопасности может быть различна. Этот шаг используется для четкого определения разделов политики безопасности компании.
определение области действия политики безопасности.
Последний этап перед созданием первых черновых вариантов политики безопасности – определение всех областей, на которых фокусируется политика безопасности. Например, могут быть определены политики безопасности:
– категорирования информационных ресурсов,
– доступа к информационным ресурсам,
– использования паролей,
– использования шифрования и управления ключами,
– сетевой безопасности,
– физической безопасности,
– работы с электронной почтой,
– реагирования на инциденты в области безопасности,
– мониторинга и аудита безопасности,
– межсетевого экранирования,
– антивирусной защиты,
– управления системами и сетями,
– контроля действий сотрудников,
– резервного копирования,
– допуска сторонних организаций,
– разработки и внедрения приложений,
– управления конфигурациями,
– обнаружения вторжений и пр.
Шаблон