Разработка комплекса мер по обеспечению информационной безопасности предприятия.

1. Провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Защита информации заключается не только в обеспечении конфиденциальности информации, необходимо обеспечить защиту информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обрабатывается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации. Таким образом, необходимо определить: что защищать, где защищать и от кого защищать.

2. Выявить угрозы безопасности информации, в том числе и зависящие от территориального расположения предприятия. Угрозам можно присвоить вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, можно получить риск угрозы.

3. Разработать политику безопасности (ответственные лица за безопасность функционирования фирмы; полномочия и ответственность отделов и служб в отношении безопасности; организация допуска новых сотрудников и их увольнения; правила разграничения доступа сотрудников к информационным ресурсам; организация пропускного режима, регистрации сотрудников и посетителей; использование программно-технических средств защиты; другие требования общего характера).

4. Обеспечить безопасность компьютерной информации (установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение, выбрать средства защиты информации, обосновать целесообразность их использования). Рекомендации:

· в системе должен быть администратор безопасности;

· за каждое устройство должен быть назначен ответственный за его эксплуатацию;

· системный блок компьютера надо опечатывать печатями ответственного и работника IT-службы (или службы безопасности)

· жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;

· если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;

· установка любого программного обеспечения должна производиться только работником IT-службы;

· для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им также как и другая конфиденциальная информация;

· должно быть запрещено использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.

5. В политике безопасности предусмотреть меры ликвидации последствий нарушения информационной безопасности, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба.

6. Провести аудит безопасности. Оценить информационную безопасность предприятия. Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы.

Список литературы