Ай Ти группа "Центр" | Разработка политики информационной безопасности

Разработка политики информационной безопасности

Главная / Центр защиты информации / Разработка политики информационной безопасности

Политика безопасности – основа организационных мер по защите информации
Адекватный уровень информационной безопасности (ИБ) в организации может быть обеспечен только при комплексном подходе, включающем как программно-технические, так и организационные меры защиты. Причем организационные меры играют более важную роль и в среднем должны составлять более 60% усилий в этом направлении. Эффективность любых сложных и дорогостоящих программно-технических механизмов защиты может быть сведена к нулю в случае, если пользователи информационных систем игнорируют элементарные правила парольной политики. Установка межсетевого экрана может даже понизить защищенность сети в случае отсутствия политики управления доступом, которую он должен реализовывать.
В основе организационных мер защиты информации лежат политики безопасности организации (ПБ), от эффективности которых в наибольшей степени зависит успешность мероприятий по обеспечению ИБ. Разработка политик безопасности собственными силами — длительный и трудоемкий процесс, требующий профессиональных навыков и отличного знания нормативной базы в области ИБ.

При разработке и внедрении ПБ специалисты Центра защиты информации выполняют пять последовательных этапов:

Аудит безопасности. Аудит безопасности включает в себя проведение обследования, идентификацию угроз безопасности, выявление ресурсов, нуждающихся в защите, и оценку рисков. В ходе аудита специалисты КРОК проводят анализ текущего состояния ИБ, выявляют уязвимости и наиболее чувствительные к угрозам ИБ бизнес-процессы. В результате аудита безопасности собираются и обобщают сведения, необходимые для разработки ПБ.
Разработка ПБ. На основании результатов аудита определяются и утверждаются руководством организации основные условия и требования к обеспечению ИБ в организации, позволяющие уменьшить риски до приемлемой величины.
Внедрение ПБ. Содержание политик безопасности доводится до сведения всех сотрудников организации, проводится обучение, даются необходимые разъяснения сомневающимся сотрудникам, которые пытаются обойти новые правила.
Аудит и контроль. Проведение планового аудита безопасности — основной метод контроля работоспособности ПБ, позволяющий оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений ПБ и внесения необходимых корректировок.
Пересмотр и корректировка. Первая версия ПБ обычно не в полной мере отвечает потребностям организации и требует доработки после наблюдения за процессом внедрения ПБ и оценки эффективности её применения. Также необходимо корректировать подход к обеспечению ИБ в соответствии с изменением используемых технологий и бизнес-процессов организации. В большинстве случаев ежегодный пересмотр ПБ является нормой, установленной самой политикой.

Звоните и узнайте:
+380 44 205-58-85

О компании Вакансии Решения и услуги Проекты Новости Контакты	Разработка политики информационной безопасности Главная / Центр защиты информации / Разработка политики информационной безопасности Политика безопасности – основа организационных мер по защите информации Адекватный уровень информационной безопасности (ИБ) в организации может быть обеспечен только при комплексном подходе, включающем как программно-технические, так и организационные меры защиты. Причем организационные меры играют более важную роль и в среднем должны составлять более 60% усилий в этом направлении. Эффективность любых сложных и дорогостоящих программно-технических механизмов защиты может быть сведена к нулю в случае, если пользователи информационных систем игнорируют элементарные правила парольной политики. Установка межсетевого экрана может даже понизить защищенность сети в случае отсутствия политики управления доступом, которую он должен реализовывать. В основе организационных мер защиты информации лежат политики безопасности организации (ПБ), от эффективности которых в наибольшей степени зависит успешность мероприятий по обеспечению ИБ. Разработка политик безопасности собственными силами — длительный и трудоемкий процесс, требующий профессиональных навыков и отличного знания нормативной базы в области ИБ. При разработке и внедрении ПБ специалисты Центра защиты информации выполняют пять последовательных этапов: Аудит безопасности. Аудит безопасности включает в себя проведение обследования, идентификацию угроз безопасности, выявление ресурсов, нуждающихся в защите, и оценку рисков. В ходе аудита специалисты КРОК проводят анализ текущего состояния ИБ, выявляют уязвимости и наиболее чувствительные к угрозам ИБ бизнес-процессы. В результате аудита безопасности собираются и обобщают сведения, необходимые для разработки ПБ. Разработка ПБ. На основании результатов аудита определяются и утверждаются руководством организации основные условия и требования к обеспечению ИБ в организации, позволяющие уменьшить риски до приемлемой величины. Внедрение ПБ. Содержание политик безопасности доводится до сведения всех сотрудников организации, проводится обучение, даются необходимые разъяснения сомневающимся сотрудникам, которые пытаются обойти новые правила. Аудит и контроль. Проведение планового аудита безопасности — основной метод контроля работоспособности ПБ, позволяющий оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений ПБ и внесения необходимых корректировок. Пересмотр и корректировка. Первая версия ПБ обычно не в полной мере отвечает потребностям организации и требует доработки после наблюдения за процессом внедрения ПБ и оценки эффективности её применения. Также необходимо корректировать подход к обеспечению ИБ в соответствии с изменением используемых технологий и бизнес-процессов организации. В большинстве случаев ежегодный пересмотр ПБ является нормой, установленной самой политикой. Звоните и узнайте: +380 44 205-58-85
	© Copyright 2007. Read Privacy policy. Киев, 04050, Глубочицкая 17, 3 этаж, оф 317 Тел.: +38 (044) 205 58 85 (могоканальный). Факс.: +38 (044) 205 58 84