1. Провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Защита информации заключается не только в обеспечении конфиденциальности информации, необходимо обеспечить защиту информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обрабатывается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации. Таким образом, необходимо определить: что защищать, где защищать и от кого защищать.
2. Выявить угрозы безопасности информации, в том числе и зависящие от территориального расположения предприятия. Угрозам можно присвоить вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, можно получить риск угрозы.
3. Разработать политику безопасности (ответственные лица за безопасность функционирования фирмы; полномочия и ответственность отделов и служб в отношении безопасности; организация допуска новых сотрудников и их увольнения; правила разграничения доступа сотрудников к информационным ресурсам; организация пропускного режима, регистрации сотрудников и посетителей; использование программно-технических средств защиты; другие требования общего характера).
4. Обеспечить безопасность компьютерной информации (установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение, выбрать средства защиты информации, обосновать целесообразность их использования). Рекомендации:
· в системе должен быть администратор безопасности;
· за каждое устройство должен быть назначен ответственный за его эксплуатацию;
· системный блок компьютера надо опечатывать печатями ответственного и работника IT-службы (или службы безопасности)
· жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;
· если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;
· установка любого программного обеспечения должна производиться только работником IT-службы;
· для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им также как и другая конфиденциальная информация;
· должно быть запрещено использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.
5. В политике безопасности предусмотреть меры ликвидации последствий нарушения информационной безопасности, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба.
6. Провести аудит безопасности. Оценить информационную безопасность предприятия. Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы.
Список литературы
1. Белов Е. Б., Лось В. П., Мещеряков Р. В. Основы информационной безопасности. Учебное пособие для ВУЗов. М.: Горячая линия-Телеком, 2008. – 544 с. |
2. Галатенко В.А. Основы информационной безопасности. Учебное пособие. Издательство "БИНОМ. Лаборатория знаний", 2008 – 208 с. |
3. Петраков А.М., Мельников В.П., Клейменов С.А. Информационная безопасность и защита информации. Учебное пособие для вузов (5-е изд., стер., 5-е изд., стер., ВУЗ). Гриф УМО МО РФ. М.: Academia, 2011 г., 336 с. |
4. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. - Москва, 2003. |
5. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. - Москва, 2003. |
6. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - Москва, 2003. 7. Гостехкомиссия России. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники. - Москва, 2003. |
8. Теоретические основы компьютерной безопасности: Учебное пособие для вузов /П. Н. Девянин и др. - М.: Радио и связь, 2005. - 192 с. |