Політики безпеки підприємства

Розробка і реалізація політики безпеки підприємства

Забезпечення комплексної безпеки є необхідною умовою функціонування будь-якої компанії. Ця "комплексність" полягає, перш за все, в продуманості, збалансованості захисту, розробці чітких організаційно-технічних заходів та забезпечення контролю над їх виконанням. -Якої успішної діяльності повинен передувати етап планування. Шахісти знають, що, не створивши чіткого плану, виграти партію у скільки-небудь серйозного суперника неможливо. А суперник - "промисловий шпигун" - у нас досить серйозний. Планування забезпечення безпеки полягає в розробці політики безпеки. Спочатку необхідно провести аудит інформаційних процесів фірми, виявити критично важливу інформацію, яку необхідно захищати. Іноді до цієї справи підходять однобоко, вважаючи, що захист полягає в забезпеченні конфіденційності інформації. При цьому не беруться до уваги необхідність забезпечення захисту інформації від підробки, модифікації, парирування загроз порушення працездатності системи. Наприклад, ображений чимось програміст може вставити деструктивну закладку в програмне забезпечення, ко-торая зітре цінну базу даних вже набагато пізніше часу його звільнення. Аудит інформаційних процесів повинен закінчуватися визначенням переліку конфіденційної інформації підприємства, ділянок, де ця інформація звертається, допущених до неї осіб, а також наслідків втрати (спотворення) цієї інформації. Після цього стає ясно, що захищати, де захищати і від кого захищати: адже в переважній випадку інцидентів в якості порушників будуть виступати - вільно чи мимоволі - самі співробітники фірми. Насправді, з цим нічого не можна вдіяти: це треба прийняти як даність. Різним загрозам безпеки можна привласнити ймовірності їх реалізації. Помноживши ймовірність реалізації загрози на яку завдають цієї реалізацією збиток, отримаємо ризик загрози. Після цього можна приступати до розробки політики безпеки.

Політика безпеки - це документ "верхнього" рівня, в якому повинно бути зазначено:

відповідальні особи за безпеку функціонування фірми;
повноваження та відповідальність відділів і служб щодо безпеки;
організація допуску нових співробітників і їх звільнення;
правила розмежування доступу співробітників до інформаційних ресурсів;
організація пропускного режиму, реєстрації співробітників і відвідувачів;
використання програмно-технічних засобів захисту;
інші вимоги загального характеру.

Забезпечення безпеки комп'ютерної інформації

Значна увага в політиці безпеки приділяється питанням забезпечення безпеки інформації при її обробці в автоматизованих системах: автономно працюючих комп'ютерах і локальних мережах. Необхідно встановити, як повинні бути захищені сервери, маршрутизатори та інші пристрої мережі, порядок використання змінних носіїв інформації, їх маркування, зберігання, порядок внесення змін до програмного забезпечення. Можна навести з цього приводу наступні загальні рекомендації:

в системі повинен бути адміністратор безпеки;

за кожен пристрій повинен бути призначений відповідальний за його експлуатацію;

системний блок комп'ютера треба опечатувати печатками відповідального і працівника IT-служби (або служби безпеки) жорсткі диски краще використовувати знімні, а після закінчення робочого дня прибирати їх в сейф;

якщо немає необхідності в експлуатації CD-ROM, дисководів, вони повинні бути зняті з комп'ютерів;

установка будь-якого програмного забезпечення повинна проводитися тільки працівником IT-служби;

має бути заборонено використання неврахованих носіїв інформації. На врахованих носіях виконується маркування, наприклад, гриф, номер, посада та прізвище співробітника.

Ще раз нагадаємо про розумної достатності і здоровому глузді. Впровадження будь-якого захисту призводить до певних незручностей користувача. Однак ці незручності не повинні бути істотними, інакше людина буде ігнорувати існуючі правила. Наприклад, можна зажадати завести журнал користувача персонального комп'ютера, в якому він повинен відзначати час початку і кінця роботи, характер виконуваних дій, найменування створених файлів і т.д. Можна передбачити процедуру видалення файлів під дві розпису в журналі, та хіба мало що ще спаде на думку! Ніхто і ніколи не буде виконувати такі безглузді вимоги. Інша справа, якщо підготовка якихось важливих документів передбачена на спеціальному комп'ютері в службі безпеки. Тут журнал обліку роботи користувачів буде не тільки доречним, але і необхідним. Вкрай уважно треба поставитися до підключення своїх інформаційних ресурсів до Інтернету. У політиці безпеки це питання має бути виділено в окремий розділ. Підключення до Інтернету зазвичай переслідує такі цілі:
отримання інформації з Інтернету;
розміщення в Інтернеті своєї інформації про послуги, що надаються, що продаються товари і т.д.
організація спільної роботи віддалених офісів або працівників на дому.