Kniga-Online.club
» » » » Сергей Авдошин - Информатизация бизнеса. Управление рисками

Сергей Авдошин - Информатизация бизнеса. Управление рисками

Читать бесплатно Сергей Авдошин - Информатизация бизнеса. Управление рисками. Жанр: Управление, подбор персонала издательство ДМК Пресс, год 2004. Так же читаем полные версии (весь текст) онлайн без регистрации и SMS на сайте kniga-online.club или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Перейти на страницу:

Внедрение политики информационной безопасности относится к организационным мерам управления безопасностью. Ввод в действие политики начинается с момента ознакомления всех сотрудников (под роспись) с актуальной политикой ИБ и ее основными принципами касательно применения видов связи, коммуникаций, хранения, использования и передачи данных. Так, например, политика безопасности может содержать регламенты использования следующих устройств:

 внешние носители. Запрет личных носителей, ограничение использования по принципу необходимости, строгий учет используемых носителей, назначение ответственных за ИБ в каждом подразделении;

 Интернет. Регламентация получения доступа, использования и контроля использования ресурсов сети Интернет, регламентация использования корпоративной и внешней электронной почты;

 дополнительные устройства. Регламентация самостоятельной установки/подключения дополнительных устройств, таких как USB, Fire-Wire, LPT, COM, IrDA, HDD, Floppy, DVD/CD-ROM, Tape, Modem, Bluetooth, Wi-Fi, мобильные устройства, прочее.

В некоторых компаниях используются так называемые «белые списки» устройств (например, USB, CD/DVD), доступных к использованию в соответствии с политикой безопасности, регламентированных по определенному производителю, модели, серийному номеру или по пользователям/группам пользователей.

Также в политике безопасности могут быть прописаны следующие ограничения:

• запрет/контроль использования личных мобильных телефонов, фото– и видеотехники, переносных компьютеров, дополнительных устройств передачи информации;

• контроль помещений и использование видеонаблюдения;

• регламентация учета, хранения и использования, а также контроль за перемещением всех накопителей информации и средств вычислительной техники;

• ограничения использования факсов, модемов, телефонной связи;

• разграничение полномочий пользователей информационных систем при помощи ведения и контроля журналов доступа к критичным ресурсам и использования частных политик безопасности для всех операционных систем, программных комплексов, коммуникационного оборудования, сетей;

• контроль каналов печати: локальных, сетевых, виртуальных;

• регламентация жизненного цикла, в том числе утилизации цифровых и бумажных носителей информации.

Помимо организационных принципов информационной безопасности, целесообразно использовать технические меры в соответствии с утвержденной политикой ИБ. Введение технических ограничений на внешние носители, аппаратное и программное ограничение рабочих станций предусматривает обязательное шифрование и автоматизированный контроль использования внешних носителей с помощью специального ПО.

Техническое разграничение доступа к ресурсам сети Интернет (выделенные компьютеры либо терминальный доступ) и предоставление доступа только к необходимым ресурсам либо разграничение специальным ПО позволяет осуществлять контроль использования сети Интернет, исключение взаимодействия с внутренней сетью организации и передачу данных. С помощью технических средств возможны отключение неиспользуемых устройств, постоянный контроль конфигураций компьютеров, а также аппаратное (либо программное) отключение возможности подключения дополнительных устройств. Дополнительно применяются регламентация использования переносных компьютеров и внешних носителей информации, обязательное шифрование всей критически важной информации. Существует техническое ограничение использования факсов, модемов (на офисных АТС), учет/аудиозапись использования телефонной связи, исключение возможности использования личных мобильных телефонов, контроль использования копировальной техники с помощью установки на открытых пространствах и видеонаблюдения.

Еще одной технической мерой информационной безопасности являются хранение резервных носителей в безопасных хранилищах, физическая защита и проектирование и внедрение систем бесперебойного и гарантированного электропитания, контроля и управления доступом в помещения и к оборудованию, видеоконтроля и теленаблюдения.

Разграничение доступа пользователей информационных систем, адекватная настройка систем безопасности операционных систем, программных комплексов, коммуникационного оборудования, своевременное обновление систем безопасности и использование систем обнаружения/предотвращения вторжений позволит снизить уязвимость информационных систем на техническом уровне.

Для своевременного отслеживания угроз информационной безопасности предусмотрены специальные технологии обнаружения, а именно:

• компьютерные программы для выявления, нейтрализации или устранения вредоносных программ (антивирусное ПО);

• системы обнаружения вторжений (СОВ), которые собирают и анализируют информацию из различных областей компьютера или сети для выявления возможных нарушений в системе безопасности;

• системы предотвращения вторжения (СПВ), которые определяют потенциальные угрозы и реагируют на них прежде, чем они будут использоваться при атаках.

Действия по эффективному управлению системы информационной безопасности должны включать регулярное планирование и организацию работ с достижением поставленных целей, разработку и регулярный пересмотр политик и процедур ИБ. После разработки или пересмотра политики ИБ необходимы вовлечение всех сотрудников в процесс обеспечения безопасности, ознакомление с документами, проведение тренингов, назначение ответственных за безопасность в отдельных сегментах. Определение четкой структуры и распределение полномочий и ответственности за ИБ позволит создать систему отчетности с прописанными показателями обеспечения ИБ и на ее основе осуществлять контроль выполнения работ.

К ключевым факторам успеха системы информационной безопасности можно отнести:

1) регулярный пересмотр политики информационной безопасности;

2) вовлечение всех сотрудников в процесс обеспечения информационной безопасности;

3) своевременность обнаружения и прогнозируемость развития проблем, оценку влияния проблем на бизнес-цели и управление непрерывностью бизнеса компании.

Глава 7

Организационные аспекты разработки ПО и внедрения ИТ-систем

7.1. Организация управления рисками в команде проекта

Люди – один из факторов успеха любого проекта, поэтому в ИТ-проектах «человеческий фактор» играет важнейшую роль как в процессе выбора и внедрения информационной системы или решения, так и в процессе их последующей эксплуатации и использования всеми сотрудниками компании.

Перейти на страницу:

Сергей Авдошин читать все книги автора по порядку

Сергей Авдошин - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки kniga-online.club.


Информатизация бизнеса. Управление рисками отзывы

Отзывы читателей о книге Информатизация бизнеса. Управление рисками, автор: Сергей Авдошин. Читайте комментарии и мнения людей о произведении.


Уважаемые читатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

  • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
  • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
  • 3. Просьба отказаться от нецензурной лексики.
  • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

Надеемся на Ваше понимание и благоразумие. С уважением, администратор kniga-online.


Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*