Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Корпоративная политика безопасности

Образец политики корпоративной безопасности

Цель: гарантировать использование по назначению компьютеров и телекоммуникационных ресурсов Компании ее сотрудниками, независимыми подрядчиками и другими пользователями. Все пользователи компьютеров обязаны использовать компьютерные ресурсы квалифицированно, эффективно, придерживаясь норм этики и соблюдая законы.

Следующая политика, ее правила и условия касаются всех пользователей компьютерных и телекоммуникационных ресурсов и служб компании, где бы эти пользователи ни находились. Нарушения этой политики влечет за собой дисциплинарные воздействия, вплоть до увольнения и/или возбуждения уголовного дела.

Данная политика может периодически изменяться и пересматриваться по мере необходимости.

1. Руководство компании имеет право, но не обязано проверять любой или все аспекты компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение данной политики. Компьютеры и бюджеты предоставляются сотрудникам Компании с целью помочь им более эффективно выполнять свою работу.

2. Компьютерная и телекоммуникационная системы принадлежат Компании и могут использоваться только в рабочих целях. Сотрудники Компании не должны рассчитывать на конфиденциальность информации, которую они создают, посылают или получают с помощью принадлежащих Компании компьютеров и телекоммуникационных ресурсов.

3. Пользователям компьютеров следует руководствоваться перечисленными ниже мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя (но не ограничиваются) следующее: хост-компьютеры, серверы файлов, рабочие станции, автономные компьютеры, мобильные компьютеры, программное обеспечение, а также внутренние и внешние сети связи (интернет, коммерческие интерактивные службы и системы электронной почты), к которым прямо или косвенно обращаются компьютерные устройства Компании.

4. Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, касающиеся интеллектуальной собственности.

5. Неверные, навязчивые, непристойные, клеветнические, оскорбительные, угрожающие или противозаконные материалы запрещается пересылать по электронной почте или с помощью других средств электронной связи, а также отображать и хранить их на компьютерах Компании. Пользователи, заметившие или получившие подобные материалы, должны сразу сообщить об этом инциденте своему руководителю.

6. Все, что создано на компьютере, в том числе сообщения электронной почты и другие электронные документы, может быть проанализировано руководством Компании.

7. Пользователям не разрешается устанавливать на компьютерах и в сети Компании программное обеспечение без разрешения системного администратора.

8. Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя.

9. Электронная почта от юриста Компании или представляющего ее адвоката должна содержать в колонтитуле каждой страницы сообщение: «Защищено адвокатским правом/без разрешения не пересылать».

10. Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов.

11. Запрещается использование без предварительного письменного разрешения компьютерных и телекоммуникационных ресурсов и служб Компании для передачи или хранения коммерческих либо личных объявлений, ходатайств, рекламных материалов, а также разрушительных программ (вирусов и/или самовоспроизводящегося кода), политических материалов и любой другой информации, на работу с которой у пользователя нет полномочий или предназначенной для личного использования.

12. Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. Пользователи несут ответственность за все транзакции, которые кто-либо совершит с помощью их пароля.

13. Возможность входа в другие компьютерные системы через сеть не дает пользователям права на подключение к этим системам и на использование их без специального разрешения операторов этих систем.

Корпоративная политика безопасности

«Корпоративная политика безопасности» в книгах

Политика охраны труда и безопасности

Политика охраны труда и безопасности Политика охраны труда и безопасности предусматривает, каким образом организация предполагает обеспечить охрану труда и безопасность на рабочих местах (см. гл.

Глава 2 Полиция безопасности, Служба безопасности (СД) Германии Их органы в Восточной Пруссии

Глава 2 Полиция безопасности, Служба безопасности (СД) Германии Их органы в Восточной Пруссии Главный отдел гестапо «Кёнигсберг»За годы существования нацистского режима в Германии была создана совершенная система подавления и уничтожения и явных врагов Рейха, и просто

IV. Политика национальной безопасности в 1940 г.

IV. Политика национальной безопасности в 1940 г. 1. Безусловный нейтралитет после Зимней войныВ конце Зимней войны Финляндия исходила из того, что с принятием предложенной западной помощи она оказалась бы вовлеченной в столкновение между великими державами без какой-либо

5.2. Место информационной безопасности экономических систем в национальной безопасности страны

5.2. Место информационной безопасности экономических систем в национальной безопасности страны В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым,

Глава 20 Политика безопасности и меры противодействия

7.1. Политика безопасности как фундамент комплексной защиты. Понятие риска

7.1. Политика безопасности как фундамент комплексной защиты. Понятие риска Зачем нужна информационная безопасность (ИБ), какими средствами ее можно достичь и как с этим связана политика безопасности?Информация– это актив, ее можно купить и продать. Любая информационная

Несколько недель спустя; Политика установки средств безопасности

Несколько недель спустя; Политика установки средств безопасности Дэйв закончил свою часть работы первым. Время отклика Drug10 уже его не удовлетворяло. Поэтому перед подключением сервера к Интернету Дэйв установил в него более мощную систему и загрузил программное

Политика безопасности и способы ее реализации

Политика безопасности и способы ее реализации Политика — это набор установленных правил для управления определенными аспектами функционирования организации. Политика определяет, что должно быть сделано для обеспечения целей бизнеса, юридических требований или

Читать еще:  Служба политики провайдера безопасности аккаунта

Политика безопасности

Политика безопасности Этот раздел подчеркивает необходимость согласованности политики PKI с имеющимися корпоративными политиками безопасности и перечисляет ту информацию по безопасности PKI, которая важна для принятия решения о выборе поставщика:* способы

171. Что представляет собой «европейская политика в сфере безопасности и обороны»?

171. Что представляет собой «европейская политика в сфере безопасности и обороны»? В документах последних лет «европейской политикой в сфере безопасности и обороны» (англ. European Security and Defence Policy — ESDP; франц. Politique europйenne de sйcuritй et de dйfence — PESD) называются мероприятия,

Внутренняя политика России — дело национальной безопасности США

Внутренняя политика России — дело национальной безопасности США На прошлой неделе, выступая в Мюнхене на конференции НАТО, министр обороны Сергей Иванов предупредил, что Россия может выйти из договора по ограничению обычных вооружений в Европе. Причина: расширение НАТО

Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса

Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса Основные принципы защиты рабочих станций сотрудников банкаВ зависимости от того, в каких технических условиях проходит работа

ГЛАВА 7 Деловая контрразведка в системе безопасности НХС Система безопасности НХС

ГЛАВА 7 Деловая контрразведка в системе безопасности НХС Система безопасности НХС Итак, спецслужбы иностранных государств, конкуренты, криминальные структуры являются субъектами внешней угрозы по отношению к НХС. Это обстоятельство создает потребность в формировании

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание

Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем

2.3. Место информационной безопасности в системе национальной безопасности России

2.3. Место информационной безопасности в системе национальной безопасности России В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном всей

Корпоративная политика безопасности

Внедрение корпоративной политики безопасности — это очевидный шаг для компаний, заботящихся о собственном благополучии, и неотъемлемая часть всех мероприятий по обеспечению защиты бизнеса. В глобальном смысле политика безопасности описывает главные принципы и общие концепции по организации информационной безопасности в конкретной компании, а переходя от общего к частному, описывает и регулирует все рабочие процессы с точки зрения их безопасности.

Содержание

Для чего нужна политика безопасности

Основная задача корпоративной политики безопасности — это задокументировать правила работы на предприятии в области информационной безопасности. Без нее взаимодействие работников с различными ресурсами будет регулироваться лишь неформально и поэтому возрастет риск нарушений и утечек данных. Введение корпоративной политики повысит дисциплинированность и ответственность работников и построит базу, основываясь на которой можно эффективно организовывать работу компании.

При разработке корпоративной политики безопасности начать следует с определения рисков, которые грозят компании. Это значит в первую очередь определить какие информационные активы следует защищать, каким угрозам подвержены эти активы и какой урон грозит предприятию в случае осуществления этих угроз. Процесс внедрения защитных мер — это всегда поиск компромисса между удобством и снижением рисков. Внедрение политики безопасности является своего рода формализацией этого компромисса. Принятие корпоративной политики поможет минимизировать ситуации, в которых рядовой пользователь не воспринимает всерьез рекомендации ИБ-отдела, а «безопасники» пытаются защитить все и от всего, мешая рабочим процессам компании.

Существует международный стандарт безопасности ISO/IEC 27001, соответствующий лучшим международным практикам в сфере обеспечения безопасности. Прохождение сертификации (получение декларации на соответствие) по ISO/IEC 27001 дает полное право утверждать, что информационная безопасность компании находится на максимально высоком уровне. Однако выполнение всех требований, изложенных в стандарте, может оказаться весьма затратным и не всегда целесообразным. В зависимости от специфики бизнеса отдельные требования стандарта можно взять на вооружение и тем самым «подстелить соломки» на случай непредвиденных обстоятельств. Кроме того, существуют такие стандарты и руководства, как ITIL Information Technology Infrastructure Library и CobiT, представляющие собой гораздо более подробные и объемные документы, в которых информационная безопасность является частью более глобального подхода к организации менеджмента и по которым также проводится сертификация.

Что должно содержаться в корпоративной политике безопасности

Обеспечение безопасности следует проводить на всех уровнях, от сервера до конечного пользователя. Например, составляется список серверов (сервер электронной почты, FTP, HTTP) и перечень лиц, имеющих к ним доступ, определяются задачи и обязанности. Еще более важным при разработке регламентов безопасности является политика безопасности рабочих мест, в частности политика работы с веб-ресурсами. В ней регулируются ответственность и обязанности сотрудников при работе в интернете.

В политике следует прописывать все меры, которые компания применяет для контроля соблюдения этих политик, и указывать уровень ответственности за нарушения политики.

Положения корпоративной политики информационной безопасности дополняются документами, содержащими частные политики, такими, как вышеописанные политики безопасности рабочих мест и политика безопасности серверов. Важно не путать политики ИБ и процедуры. Требования к информационной безопасности процедур — это самый частный документ в политике корпоративной безопасности и описывает непосредственные меры для обеспечения информационной безопасности в процессе работы персонала.

Естественно, что обязательным условием обеспечения информационной безопасности является эффективно отлаженная работа коллектива. Ошибки в менеджменте и управлении персоналом грозят не только недополученной прибылью, но и многочисленными нарушениями политик безопасности.

Контроль соблюдения политики безопасности

Существуют различные методики контроля за соблюдением работниками корпоративных политик. Разнообразное ПО, предназначенное для мониторинга сотрудников, поставляется как отдельно, так и в составе более комплексных продуктов. Многие DLP-системы, такие, как Falcongaze SecureTower, помимо своей главной функции предотвращения утечек данных, позволяют производить мониторинг работы сотрудников и отслеживать даже те нарушения, которые не привели к нежелательным последствиям. А способ борьбы с такими нарушениями — предусмотренные политикой санкции.

Читать еще:  Gpo фильтрация отказано безопасность

Контроль и регулирование работы компании может вызвать протест среди сотрудников, вызванный вмешательством в привычный для них режим работы. Важно понимать, что оборудование и сервисы, предоставляемые работнику работодателем. являются собственностью владельца бизнеса. В том числе и время, «выкупленное» работодателем у персонала. Поэтому все результаты труда, выполненного в рабочее время, принадлежат работодателю, а он, вследствие этого, имеет полное право их контролировать. Будет нелишним прописать это в политике ИБ.

Внедрение корпоративной политики безопасности — это не одномоментное событие, а долгий процесс, участвовать в котором должны как представители ИБ- и ИТ-отделов, так и руководители других подразделений, дабы избежать «перекосов» и чтобы исполнение положений политики оказалось возможным на практике. Задача политики безопасности не отрегулировать любой возможный процесс в работе компании, а создать базу, на основе которой будет функционировать предприятие в дальнейшем, дополняя общую политику безопасности отдельными, как формальными, так и устными, регламентами и процедурами.

Корпоративная политика безопасности

Ю. М. Пенкин, проф., зав кафедрой фармакоинформатики НФаУ, г. Харьков, В. А. Жук, доц. кафедры фармакоинформатики НФаУ, г. Харьков, Л. Ю. Белогорцева, асс. кафедры фармакоинформатики НФаУ, г. Харьков

Политика информационной безопасности (ПИБ) — набор законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области защиты информации. На основе ПИБ строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение информационной системы в различных ситуациях.

В. В. Домарев «Безопасность информационных технологий.
Системный подход» — 2004 г.

Частные вопросы защиты информации мы уже затрагивали на предыдущих тематических встречах с читателями журнала. В этот раз нам предстоит познакомиться с общими подходами к реализации корпоративной политики информационной безопасности (ПИБ). Безусловно, этот аспект жизненного цикла информационных систем (ИС) является практически значимым в силу своей необходимости. Поэтому любая уважающая себя организация, имеющая корпоративную ИС, просто обязана сформировать собственную ПИБ.

В рамках системных требований к ПИБ разнообразие видов защиты информации определяется способами воздействия на дестабилизирующие факторы или порождающие их причины, на элементы ИС, защищаемую информацию и окружающую среду в направлении повышения показателей защищенности информации. Эти способы могут быть классифицированы следующим образом:

  • физические средства — механические, электрические, электромеханические, электронные, электронно-механические и другие устройства и системы, функционирующие автономно, создавая различного рода препятствия дестабилизирующим факторам;
  • аппаратные средства — различные электронные, электронно-механические и подобные устройства, встраиваемые в аппаратуру ИС или сопрягаемые с ней специально для решения задач защиты информации;
  • программные средства — специальные пакеты программ или отдельные программы, используемые для решения задач защиты;
  • организационные меры — организационно-технические мероприятия, предусматриваемые в ИС с целью решения задач защиты; правовые меры — законодательно-правовые акты, действующие в государстве, специально издаваемые законы, связанные с обеспечением защиты информации. Они регламентируют права и обязанности всех лиц и подразделений, имеющих отношение к функционированию ИС, и устанавливают ответственность за действия, следствием которых может быть нарушение защищенности информации;
  • морально-этические нормы — сложившиеся моральные нормы и этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению общих правил поведения в обществе.

По понятным причинам реализацию специальных средств (физических, аппаратных и программных) мы оставим специалистам и техникам, а здесь рассмотрим только общую структуру мероприятий по этим направлениям. Она представлена в табл. 1.

Политики корпоративной безопасности нужно пересмотреть

Cisco выпустила второй отчет по результатам глобального исследования утечек данных, в новом отчете оценивается эффективность корпоративных правил информационной безопасности и называются причины, по которым сотрудники игнорируют эти правила. Опубликованный отчет продолжил серию исследований по вопросам утечек данных и типичных ошибок при работе с информацией.

Данные о состоянии дел в области корпоративных правил информационной безопасности были получены в результате опроса более 2000 сотрудников и ИТ-специалистов из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии. Исследование по заказу Cisco было проведено американской аналитической фирмой InsightExpress в условиях, когда потеря данных стала одной из самых острых проблем для современных предприятий.

“Результаты исследования подчеркивают необходимость пересмотра корпоративной политики в сфере безопасности и методов доведения правил защиты информации до сотрудников компаний, — считает главный директор Cisco по информационной безопасности Джон Стюарт (John N. Stewart). — Если сотрудник считает такие правила помехой для повседневной работы и не понимает, чем грозит их нарушение, корпоративный регламент быстро перестает соблюдаться. Наши правила сплошь и рядом пишутся в форме жестких инструкций без объяснения причин, почему этих правил необходимо строго придерживаться. Между тем смысл правил информационной безопасности надо растолковывать и доводить до сотрудников — лишь в этом случае они поймут их важность и пользу. Взаимодействуя с сотрудниками и изучая особенности их работы, мы сможем разработать эффективные и реалистичные правила, тесно увязанные с общекорпоративной системой безопасности, и построить более безопасную рабочую среду”.

Читать еще:  Локальная система безопасности

«В России многие компании и организации тоже разрабатывают концепции и политики безопасности, которые трудноприменимы на практике, а зачастую и просто несут на себе печать секретности, что не позволяет знакомить с основополагающими документами в области корпоративной безопасности сотрудников, от понимая и умения которых и зависит уровень защищенности бизнеса от различных угроз, включая утечки информации, — прокомментировал второй отчет компании Cisco по результатам глобального исследования утечек данных директор по развитию бизнеса Cisco в России Михаил Кристев. — Кроме того, существующие в нашей стране правила зачастую игнорируют такие аспекты информационной безопасности, как управление мобильными и портативными устройствами (смартфоны, флешки, iPod’ы и т.п.), управление удаленным доступом (в том числе и к сегментам АСУ ТП), управление защищенной удаленной поддержкой и аутсорсингом, управление модемными подключениями и т.д. А ведь известно, что защищенность любой организации равна защищенности самого слабого ее звена. Упущения в политике безопасности приводят к тому, что компании теряют свою информацию, а с ней и доходы, репутацию, доверие клиентов».

Как показало исследование, правила (политики) безопасности разработаны в большинстве компаний (77%). Вместе с тем в каждой четвертой компании таких правил нет. Для этих компаний внедрение мобильности и методов совместной и распределенной работы чревато гораздо более серьезными негативными последствиями, чем для организаций, где вопросам о том, как и кому предоставлять доступ к корпоративным данным, приложениям и сетям, уделяется должное внимание. Отсутствие правил информационной безопасности особенно часто встречается в Японии (39% опрошенных) и Великобритании (29%).

Впрочем, даже если в компании соответствующие правила существуют, это вовсе не означает, что все сотрудники скрупулезно их выполняют. Более половины опрошенных признались, что не всегда придерживаются корпоративных правил безопасности. Больше всего таких сотрудников во Франции: там 84% респондентов указали, что иногда, а то и на регулярной основе, игнорируют принятые правила защиты данных. В Индии же лишь каждый десятый сотрудник (11%) никогда или почти никогда не нарушает этих правил.

Исследование дает основание для вывода о том, что соблюдение или, наоборот, нарушение корпоративных правил информационной безопасности зависят от следующих факторов:

Степень осведомленности. В зависимости от страны, число ИТ- специалистов, знающих правила безопасности, на 20-30% превышает количество обычных сотрудников, знакомых с этими правилами. Наибольшой разрыв (31%) зафиксирован в США, Бразилии и Италии. Эти результаты лишний раз свидетельствуют о важности эффективного взаимодействия между ИТ-отделами и остальными подразделеними компаний.


Коммуникация.
11% опрошенных сотрудников заявили, что ИТ-отдел никогда не сообщает им о правилах безопасности и не проводит соответствующего обучения. Особенно часто подобные заявления делались в Великобритании (25% респондентов) и Франции (20%). Там же, где ИТ-специалисты оповещают сотрудников о правилах защиты информации, они зачастую делают это в неофициальной форме: устно, по электронной почте, с помощью всплывающих подсказок во время загрузки систем, через голосовую почту.


Обновления.
Трое из каждых четырех ИТ-специалистов (77%) считают, что правила безопасности нужно обновлять чаще, чем это делается ныне. Это мнение разделяет почти половина (47%) сотрудников других отделов. Особенно часто это требование высказывалось в Китае (91% респондентов) и Индии (89%). Если сравнить эти показатели с данными предыдущих исследований, то обнаружится, что необходимость строгих корпоративных правил информационной безопасности особенно остро ощущается в странах с быстроразвивающейся экономикой, где полно молодых специалистов, впервые подключающихся к Интернету и другим сетям.

Чрезмерные строгости.
Большинство опрошенных сотрудников считает, что действующие в их компаниях правила носят чересчур запретительный характер. Это мнение доминирует в восьми из десяти стран, где проводилось исследование, и только в Германии и США пользователи придерживаются другого мнения. Так или иначе, в современном мире, где широко распространяются средства совместной работы, интерактивные приложения Web 2.0, видеотехнологии и мобильные устройства, компании должны защищать своих сотрудников и в то же время предоставлять им возможность пользоваться новыми технологиями, не раздражая специалистов слишком строгими запретами. Эта задача требует от информационно-технологических отделов не только технических знаний, но и немалого дипломатического искусства.


Несоблюдение правил.
Еще один важный результат исследования — различия во взглядах обычных сотрудников и информационно-технологических специалистов на причины несоблюдения правил информационной безопасности. По мнению ИТ-специалистов, сотрудники не соблюдают эти правила по самым разным причинам — от неспособности понять тяжесть последствий до общей апатии и безразличия. По мнению же самих сотрудников, главная причина несоблюдения правил кроется в том, что эти правила нереалистичны и мешают выполнять повседневные должностные обязанности. Такого мнения придерживаются двое из каждых пяти опрошенных сотрудников (42%). Примечательно, что в Германии, где большинство сотрудников считает корпоративные правила безопасности справедливыми, 55% респондентов заявили о своей готовности их нарушить, если правила станут помехой для работы.

“Если сотрудники встают перед выбором: соблюдать правила безопасности, которые мешают работать, или нарушать их, — ИТ-отделу нужно крепко задуматься, — говорит Мари Хаттар (Marie Hattar), вице-президент Cisco по сетевым системам и решениям для безопасности. — ИТ-отдел должен менять правила безопасности, адаптируя их к реальным потребностям компании и ее сотрудников, иначе те будут попросту игнорировать эти правила, что резко увеличит риск потери данных и взлома систем безопасности”.

Исследование показало, что нарушения правил безопасности наносят вред не только самим компаниям: в каждом пятом случае утечки информации по вине того или иного сотрудника в руки злоумышленников попадали данные клиентов.

Ссылка на основную публикацию
Adblock
detector