Разработване на препоръки за защита на информацията и сигурен достъп до информация

Разработване на препоръки за защита на информацията и сигурен достъп до информационни ресурси, оборудване работа уроци

Разработване на препоръки за защита на информацията и сигурен достъп до информационни ресурси.

Информационна сигурност - защитен механизъм, който гласи:

Сигурността на информацията се осъществява чрез прилагане на подходящ набор от мерки за управление на информационната сигурност, които могат да бъдат представлявани от политици, методи, процедури, организационни структури и функции на софтуера. Тези мерки следва да гарантират постигането на целите на информационната сигурност на организацията.

Организацията трябва да определи свои собствени изисквания за информационна сигурност, като се вземат предвид следните три фактора.

На първо място, оценката на рисковете, свързани с организацията. Чрез риск заплахи за оценка на активите, настъпва идентифициране на организацията, оценка на уязвимостта на тези активи и вероятността от заплахи, както и оценка на възможните последствия.

На второ място, правни, законодателни, регулаторни и договорни изисквания трябва да бъдат изпълнени от организация, нейните търговски партньори, контрагенти и доставчици на услуги.

На трето място, определен набор от принципи, цели и изисквания, разработен от организацията по отношение на обработката на информацията.

След като са определени изискванията за информационна сигурност, изберете и прилагат такива мерки за управление на информационната сигурност, които ще осигурят намаляване на риска до приемливо ниво.

Ключови мерки за контрол, от гледна точка на законодателството на са:

  • гарантиране на поверителността на личните данни;
  • организация за защита на счетоводната информация;
  • правата на интелектуална собственост.

Мерки за управление на информационната сигурност, се разглеждат като обичайна практика в областта на информационната сигурност включват:

  • Документ, който описва политиката за информационна сигурност;
  • разпределение на отговорностите за сигурността на информацията;
  • обучение по сигурността на информацията;
  • информиран за инциденти, свързани с информационната сигурност.

За успешното изпълнение на информационната сигурност в организацията са решаващи фактори са следните:

  • съответствие с целите, политиките и процедурите на информационната сигурност с бизнес цели;
  • координиран подход за прилагането на системата за сигурност с корпоративната култура;
  • видима подкрепа и ангажимент от страна на управлението;
  • ясно разбиране на изискванията за сигурност, оценка на риска и управлението на риска;
  • осигури разбиране на необходимостта от мерки на ръководството и служителите на организацията на информационната сигурност;
  • предаване на инструкции по отношение на политиката за сигурност и информация стандарти към всички служители и изпълнители;
  • осигуряване на необходимата образование и обучение;
  • цялостна и балансирана система за измерване на показателите, използвани за оценка на ефективността на управлението и предложения за подобрение, получени от изпълнители информационна сигурност.

политика по информационна сигурност следва да бъдат приети и правилно съобщава на всички служители на организацията. Трябва да се установи отговорността за управление, както и да представи подхода на организацията за управление на информационната сигурност. Най-малкото, политиката трябва да включва следното:

  1. определение на информационната сигурност, като цяло на неговите цели и обхват, както и разкриване на значението на сигурността като инструмент, който дава възможност за споделяне на информация;
  2. изложение на целите и принципите на информационната сигурност, определени от ръководството;
  3. обобщение на най-важните за политиките на организацията за сигурност, принципи, правила и изисквания, като например:
    1. съответствие със законовите изисквания и договорните задължения;
    2. изисквания за обучение по сигурност;
    3. предотвратяване и разкриване на вируси и друг злонамерен софтуер;
    4. Управление на непрекъснатостта на бизнеса;
    5. отговорен за нарушения на политиката за сигурност;
  4. дефиниране на общи и специфични задължения на служителите в рамките на управлението на информационната сигурност, включително информация за случаите на нарушения по сигурността на информацията;
  5. линкове към документи, които допълват политиката за сигурност, информация, например по-подробни правила и процедури за сигурност за специфични информационни системи, както и правилата за безопасност трябва да бъдат следвани от потребителите.

инфраструктура Организационно информационна сигурност

Необходимо е да се създаде съответната Управителния съвет с участието на висшето ръководство да одобрява политиката за информационна сигурност, назначаването на отговорни лица в областта на информационната сигурност, както и координацията на изпълнението на мерките за управление на сигурността на информацията в една организация. Ако е необходимо, да осигуряват наличието на специалист информационна сигурност в рамките на организацията, които могат да бъдат достъпни мотивирани служители. Необходимо е да се установят контакти с външни експерти по сигурността, за да сме в крак с тенденциите в промишлеността, техники и методи за неговата оценка, както и да отговори адекватно на случаите на нарушения по сигурността на информацията. Трябва да се насърчава мултидисциплинарния подход към сигурността на информацията, например чрез установяване на сътрудничеството между управителите, потребители, администратори, разработчици на приложения, одитори и служители по сигурността, както и експерти в областта на застраховането и управлението на риска.

Включване на информационната сигурност в работни задължения

Функции (роли) и отговорност в областта на информационната сигурност, както е посочено в организацията политика на информационната сигурност, трябва да бъдат документирани. Длъжностната характеристика трябва да включва както общи отговорности за изпълнението или спазването на политиките за сигурност, както и специфичните особености за защита на определени активи или дейности, свързани със сигурността.

споразумение за поверителност

споразумение за конфиденциалност или за неразгласяване споразумения са свикнали да уведомят служителите, че информацията е поверителна. Служителите обикновено трябва да подпишат такова споразумение, като неразделна част от условията на трудовия договор.

Договорът за наемане на работа

Правила и условия на трудовия договор се посочва отговорността на работника или служителя по отношение на информационната сигурност. Когато е необходимо, тази отговорност трябва да се запази и за определен период от време, след прекратяване на трудовото правоотношение. Трябва да укажете на дисциплинарните мерки, които да се прилагат в случай на нарушаване на безопасността на работниците и служителите.

Всички служители на организацията и, ако е необходимо, на потребителите на трети страни трябва да бъдат обучени и да получават редовни актуализации на политиките и процедурите на организацията за сигурност на информация. Образование служители трябва да предоставят своите познания за изискванията за сигурност и отговорност в съответствие със законодателството, мерки за управление на информационната сигурност, както и знания за правилното използване на обработка на информация, като например в системите на регистрационните процедури, използването на софтуерни пакети, преди да им бъде предоставен достъп до информация и услуги ,

кабелна мрежа за безопасност

Захранването и телекомуникационните кабелни мрежи, на които данните се предават или се извършват други информационни услуги, трябва да бъдат защитени от подслушване или щети. следва да се считат следните мерки:

Политиката на "чиста бюро" и "празен екран"

Медия оставени на масата също могат да бъдат повредени или унищожени от бедствия като пожар, наводнение или експлозия.

следните мерки трябва да се използват за управление на информационната сигурност:

Документация за оперативни процедури

също трябва да бъдат разработени Документирани процедури по отношение на системите за услуги по обработка и обмен на информация, по-специално процедурите стартиране и безопасно изключване на компютъра (и), резервни процедури, поддръжка и ремонт на оборудване, осигуряване на адекватни средства за защита, компютърна и комуникационна техника.

Email за сигурност

Мониторинг на потребителски пароли

Паролите са най-често срещаните начини за валидиране потребителско име за достъп до информационната система или услуга. Предоставяне на пароли трябва да се контролира чрез формален процес на управление, която трябва да включва:

  • потребителите да подпишат документ за необходимостта да спазват пълна конфиденциалност на личните пароли и по отношение на паролите група - конфиденциалност рамките на работната група (които могат да бъдат включени в условията на трудовия договор;
  • в случаите, когато потребителите са длъжни да притежават управление на пароли, е необходимо да се гарантира предоставянето на безопасно първоначалната временна парола, че потребителите са принудени да се промени при първоначалното влизане. Временните пароли се използват в случаите, когато потребителите забравят личната си парола и да бъдат отпуснати само след идентификация на потребителя;
  • осигуряване на безопасен начин за издаване на временната парола на потребителя.

Избягвайте използването на незащитени (чист текст), имейл съобщения или имейли от трети страни. Потребителите трябва да потвърждават получаването на пароли.

Паролите никога не трябва да се съхраняват в компютърна система в незащитена форма. Ако е необходимо, да обмислят възможността за други технологии за идентификация и удостоверяване на потребителя, като например биометрични данни (пръстови отпечатъци за проверка), за проверка и използване на идентификация хардуер (смарт чип карта) подпис.

Потребителите трябва да спазват определени правила за безопасност за подбор и използване на пароли.

Използване на пароли е предвидена потвърждение от потребителя идентификатор и следователно достъп до обработката или услугите на медиите. Всички потребители трябва да са наясно с необходимостта от:

Ако потребителите се нуждаят от достъп до множество услуги или бизнес приложения и са принудени да се използват множество пароли, можем да препоръчаме използването на една единствена парола за всички висококачествени услуги, които осигуряват разумна степен на защита на съхраняваните парола.

Оборудване оставят без надзор потребители

Мрежа за контрол на достъпа

Достъп до вътрешни и външни мрежови услуги трябва да се контролира. Това е необходимо, за да се уверите, че потребителите, които имат достъп до мрежи и мрежови услуги не застрашават тяхната безопасност чрез осигуряване на:

  • подходящи интерфейси между организациите на мрежата и мрежи, принадлежащи към други организации или обществени мрежи;
  • подходящ механизъм за удостоверяване между потребителите и оборудване;
  • контрол на достъпа на потребителите до информационни услуги.

Работа с преносими устройства, както и работят от разстояние

Трябва ли да се съпостави с необходимата защита за специфични рискове на работа от разстояние. При използване на ръчни устройства трябва да имат предвид рисковете, свързани с работата в незащитена среда и прилага съответните мерки за защита. В случай на дистанционно организация трябва да осигури защита, както на работното място и подходящи мерки по сигурността на информацията.

Работата от разстояние

Защита на данните и неприкосновеността на личния живот на личната информация

Спазването на законодателството за защита на данните е необходима подходяща структура за управление на информационната сигурност. Това се постига най-добре чрез назначаването на служителя, отговарящ за защитата на данните чрез подходящи мениджъри изясняване, потребителите и доставчиците на услуги на индивидуалните им отговорности и задължителното прилагане на подходящи мерки, за да се гарантира сигурността на информацията. Собствениците на данните се изискват, за да го информира за всички официални предложения за това как да съхранявате лична информация в структурата на файла с данни, а също така да се знае, приложими правни норми по отношение на защитата на личните данни.