Смекни!
smekni.com

Стратегия обеспечения Информационной Безопасности предприятия (стр. 5 из 5)

― Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, что их защита построена в соответствии с общей политикой безопасности.

― Пользователи обязаны использовать локальную сеть в соот­ветствии с политикой безопасности; подчиняться распоря­жениям лиц, отвечающих за отдельные аспекты безопаснос­ти, ставить в известность руководство обо всех подозритель­ных ситуациях.

Роли и обязанности (детальное изложение)

Руководители подразделений обязаны:

― Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.

― Проводить анализ рисков, выявляя активы, требующие за­щиты, и уязвимые места систем, оценивая размер возможно­го ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.

― Организовать обучение персонала мерам безопасности. Об­ратить особое внимание на вопросы, связанные с антивирус­ным контролем.

― Информировать администраторов локальной сети и админи­страторов сервисов об изменении статуса каждого из подчи­ненных (переход на другую работу; увольнение и т. п.).

― Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за его безопасность и имеющего достаточную квалификацию для выполнения этой роли.

Администраторы локальной сети обязаны:

― Информировать руководство об эффективности существую­щей политики безопасности и о технических мерах, которые могут улучшить защиту.

― Обеспечить защиту оборудования локальной сети, в том чис­ле интерфейсов с другими сетями.

― Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попыт­ках нарушения защиты. Оказывать помощь в отражении уг­розы, выявлении нарушителей и предоставлении информа­ции для их наказания.

― Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

― Ежедневно анализировать регистрационную информацию, отно­сящуюся к сети в целом и к файловым серверам в особенности.

Пользователи обязаны:

― Знать и соблюдать законы, правила, принятые в норматив­ных документах, политику безопасности, процедуры безо­пасности.

― Использовать доступные защитные механизмы для обеспе­чения конфиденциальности и целостности своей информа­ции.

― Использовать механизм защиты файлов и должным образом задавать права доступа.

― Выбирать хорошие пароли; регулярно менять их. Не записы­вать пароли на бумаге, не сообщать их другим лицам (стратегически важным решением будет разработка отдельной политики управления паролями, руководствуясь которой пользователи бы выбирали свои пароли).

― Помогать другим пользователям соблюдать меры безопасно­сти. Указывать им на замеченные упущения с их стороны.

― Информировать администраторов или руководство о нару­шениях безопасности и иных подозрительных ситуациях.

― Не использовать слабости в защите сервисов и локальной сети в целом.

― Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.

― Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.

― Обеспечивать резервное копирование информации с жестко­го диска своего компьютера.

― Знать принципы работы зловредного программного обеспе­чения, пути его проникновения и распространения, слабос­ти, которые при этом могут использоваться.

― Знать и соблюдать процедуры для предупреждения проник­новения зловредного кода, для его обнаружения и уничто­жения.

― Знать слабости, которые используются для неавторизован­ного доступа.

― Знать способы выявления ненормального поведения конк­ретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.

― Знать и соблюдать правила поведения в экстренных ситуа­циях, последовательность действий при ликвидации послед­ствий аварий [1].

Заключение

Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации. Для того чтобы ПБ оставалась эффективной, необходимо осуществлять непрерывный контроль ее исполнения, повышать осведомленность сотрудников организации в вопросах ИБ и обучать их выполнению правил, предписываемых ПБ. Регулярный пересмотр и корректировка правил ПБ необходимы для поддержания ее в актуальном состоянии.

Разработка и внедрение ПБ в организации – процесс коллективного творчества, в котором должны участвовать представители всех подразделений, затрагиваемых производимыми изменениями. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ. Этот специалист координирует деятельность рабочей группы по разработке и внедрению ПБ на протяжении всего жизненного цикла, включающего в себя проведение аудита безопасности, разработку, согласование, внедрение, обучение, контроль исполнения, пересмотр и корректировку ПБ.

Для разработки эффективной ПБ, помимо профессионального опыта, знания нормативной базы в области ИБ и писательского таланта, необходимо также учитывать основные факторы, влияющие на эффективность ПБ, и следовать основным принципам разработки ПБ, к числу которых относятся: минимизация влияния на производительность труда, непрерывность обучения, контроль и реагирование на нарушения безопасности, поддержка руководства организации и постоянное совершенствование ПБ [6].

Литература

1. Кирсанов К.А., Малявина А.В., Попов Н.В. «Информационная безопасность: Учебное пособие». – М.:МАЭП, ИИК «Калита», 2000.

2. http://www.securitylab.ru/

3. http://www.rcb.ru/

4. http://www.cnews.ru/

5. http://www.bezpeka.com/ - Украинский Информационный Центр Безопасности

6. http://www.globaltrust.ru/

7. http://www.citforum.ru/

8. http://www.crime-research.ru/ - Центр исследования проблем компьютерной преступности

9. Зайцев Л.Г., Соколова М.И. Стратегический менеджмент: Учебник. – М.: Юристъ, 2002.