Важные публикации
Как контролировать своих сотрудников? 15 апреля 2021
Отправными точками при выстраивании процесса обеспечения информационной безопасности организации являются:
Эти пункты индивидуализируют деятельность по обеспечению ИБ организации. Они помогают понять:
Есть несколько основных принципов, при соблюдении которых деятельность по обеспечению ИБ организации будет наиболее эффективной и успешной. Во многих случаях при игнорировании этих принципов (хотя бы одного) работа по выполнению конкретных задач может быть либо выполнена не так, как планировалось, либо не выполнена вовсе. Перечислим принципы обеспечения ИБ организации:
Принцип 1. Руководство организации должно оказывать видимую и достаточную поддержку в обеспечении информационной безопасности, а также своевременно и в полной мере выполнять обязательства в этом направлении: например, от целеполагания до финансирования.
Принцип 2. Работники, осуществляющие деятельность по обеспечению информационной безопасности организации, должны понимать цели и задачи обеспечения ИБ организации. Также они должны уметь выстраивать и редактировать порядок реализации целей и задач, которые будут поддерживать компанию в рабочем состоянии. В случае проблем, ошибок или нарушений ответственные лица должны объяснять причины недопустимости таких действий, ссылаясь на внутренние документы организации, в которых закреплены такие правила.
Принцип 3. У всех работников организации должно быть правильное понимание политики информационной безопасности. Они должны быть обеспечены всем необходимым, чтобы найти ответы на свои вопросы самостоятельно. В трудных ситуациях они должны иметь возможность получать своевременную консультацию.
В соответствии с ГОСТ Р 53114-2008 меры обеспечения информационной безопасности – это совокупность действий, которые направлены на разработку и (или) практическое применение способов и средств обеспечения информационной безопасности организации.
В каждой организации меры обеспечения информационной безопасности могут меняться в зависимости от:
• актуальности моделей угроз информационным системам;
• появления новых типов атак на инфраструктуру.
Все меры обеспечения информационной безопасности можно разделить на три основных типа.
Тип 1. Организационно-административные меры обеспечения информационной безопасности. К таким мерам относится разработка, внедрение и контроль исполнения локальных нормативных актов, организационно-распорядительной документации в сфере защиты информации: например, положение о коммерческой тайне или политика в области обработки персональных данных. Также к мерам этого типа будет относиться проведение обучающих семинаров и тренингов по информационной безопасности для сотрудников.
Тип 2. Физические меры обеспечения информационной безопасности. Чаще всего они включают в себя систему контроля и управления доступом на территории организации.
Тип 3. Программные и технические меры обеспечения информационной безопасности. Сюда можно отнести проектирование и внедрение средств защиты информации: межсетевые экраны, антивирусы, средства защиты от несанкционированного доступа (например, таким средством является DLP-система Falcongaze SecureTower) и т.д.
Все меры обеспечения информационной безопасности организации содержатся в Приложении А к ГОСТ Р ИСО/МЭК 27001:2021. В соответствии с документом приведём их ключевые разделы (Схема 2).
Схема 2
Меры обеспечения информационной безопасности организации
Организация, которая стремится уделить достаточно внимания информационной безопасности, не должна ограничиваться лишь организационными мерами обеспечения ИБ. Отметим, что внедрение лишь этих мер не поможет обеспечить информационную безопасность компании на должном уровне. Чтобы защита корпоративных данных была эффективной, потребуется внедрение DLP – программного обеспечения, способного контролировать действия в сети организации, ликвидировать риски утечек данных и т.д. Чтобы оценить все возможности DLP-системы, установите бесплатную тестовую версию Falcongaze SecureTower.