Elaborarea recomandărilor pentru protecția informațiilor și accesul securizat la informații
Elaborarea recomandărilor pentru protecția informațiilor și accesul securizat la resursele informaționale, locuri de muncă de echipamente tutorilor
Dezvoltarea de recomandări pentru protecția informațiilor și accesul securizat la resursele informaționale.
Securitatea informațiilor - mecanism de protecție, care prevede:
Securitatea informațiilor se realizează prin punerea în aplicare a setului corespunzător de măsuri de management al securității informațiilor, care pot fi reprezentate de politicieni, metode, proceduri, structuri organizatorice și funcții software. Aceste măsuri ar trebui să asigure atingerea scopurilor securității informațiilor unei organizații.
Organizația ar trebui să definească propriile sale cerințe pentru securitatea informațiilor, ținând seama de următorii trei factori.
În primul rând, evaluarea riscurilor organizației. Prin risc amenințări de evaluare a activelor are loc identificarea organizației, să evalueze vulnerabilitatea acestor active și probabilitatea amenințărilor, precum și evaluarea consecințelor posibile.
În al doilea rând, cerințele legale, legislative, de reglementare și contractuale care trebuie îndeplinite de către o organizație, partenerii comerciali, contractorii și furnizorii de servicii.
În al treilea rând, un anumit set de principii, obiective și cerințe, elaborate de organizație în ceea ce privește prelucrarea informațiilor.
Odată definit cerințele pentru astfel de măsuri de securitate a informațiilor, selectați și punerea în aplicare de management al securității informațiilor, care va oferi de reducere a riscurilor la un nivel acceptabil.
măsuri de control cheie, din punct de vedere al legislației sunt:
- asigurarea confidențialității datelor cu caracter personal;
- organizație de protecție a datelor contabile;
- drepturilor de proprietate intelectuală.
Măsuri de management al securității informațiilor, considerate ca fiind o practică comună în domeniul securității informațiilor includ:
- Un document care descrie politica de securitate a informațiilor;
- alocarea de responsabilități pentru securitatea informațiilor;
- instruirea privind securitatea informațiilor;
- informat cu privire la incidentele legate de securitatea informațiilor.
Pentru punerea în aplicare cu succes a securității informațiilor în organizație sunt factori decisivi sunt următoarele:
- conformitatea cu obiectivele, politicile și procedurile de securitate a informațiilor cu obiectivele de afaceri;
- abordare coordonată a punerii în aplicare a sistemului de securitate cu cultura corporativă;
- sprijin vizibil și angajamentul din partea conducerii;
- o înțelegere clară a cerințelor de securitate, evaluarea și gestionarea riscurilor;
- să asigure înțelegerea nevoii de măsuri de management al securității informațiilor și angajații organizației;
- transmiterea de instrucțiuni în ceea ce privește politica de securitate a informațiilor și standarde pentru toți angajații și contractorii;
- oferind educația și formarea necesară;
- sistem cuprinzător și echilibrat de măsurare a indicatorilor utilizați pentru a evalua eficacitatea managementului securității informațiilor și propuneri de îmbunătățire primite de la interpreți.
Politica de securitate a informațiilor ar trebui să fie adoptate și comunicate în mod adecvat tuturor angajaților organizației. Acesta ar trebui să stabilească responsabilitatea de conducere, precum și de a prezenta abordarea organizației la managementul securității informațiilor. La un nivel minim, politica ar trebui să includă următoarele:
- definirea securității informațiilor, obiectivele sale generale și domeniul de aplicare, precum și dezvăluirea importanței securității ca un instrument care oferă posibilitatea de a face schimb de informații;
- declarație a obiectivelor și principiilor de securitate a informațiilor stabilite de către conducere;
- un rezumat al celor mai importante pentru politicile organizației de securitate, principii, reguli și cerințe, cum ar fi:
- respectarea cerințelor legale și a obligațiilor contractuale;
- cerințe pentru pregătire în domeniul securității;
- prevenirea și detectarea virușilor și a altor programe rău intenționate;
- managementul continuității activității;
- responsabile de încălcarea politicii de securitate;
- Definiția obligații generale și specifice ale angajaților din cadrul managementului securității informațiilor, inclusiv informații cu privire la incidentele de încălcare de securitate a informațiilor;
- link-uri către documente care completează politica de securitate a informațiilor, politicile și procedurile de securitate de exemplu, mai detaliate pentru sistemele de informații specifice, precum și normele de siguranță care trebuie urmate de către utilizatori.
Infrastructura de securitate Informații organizatorice
Este necesar să se creeze Consiliul de conducere competent, cu participarea conducerii superioare pentru a aproba politica de informații de securitate, desemnarea persoanelor responsabile în domeniul securității informațiilor, precum și coordonarea punerii în aplicare a măsurilor de management al securității informațiilor într-o organizație. Dacă este necesar, să asigure disponibilitatea de securitate a informațiilor de specialitate în cadrul organizației, care pot fi accesate de angajați motivați. Este necesar să se stabilească contacte cu experți în securitate din exterior pentru a ține la curent cu tendințele din industrie, tehnici și metode de evaluare a acesteia, precum și pentru a răspunde în mod adecvat la incidentele de încălcare a securității informațiilor. Aceasta ar trebui să promoveze o abordare multidisciplinară a securității informațiilor, de exemplu prin stabilirea cooperării între manageri, utilizatori, administratori, dezvoltatori de aplicații, auditori și personalul de securitate, precum și experți în domeniul asigurărilor și de gestionare a riscurilor.
Includerea securității informațiilor în responsabilitățile de locuri de muncă
Funcții (roluri) și responsabilități în domeniul securității informațiilor, astfel cum se prevede în organizarea politicii de securitate a informațiilor, ar trebui să fie documentate. Descrierea postului ar trebui să includă atât responsabilități generale pentru punerea în aplicare sau respectarea politicilor de securitate, precum și caracteristicile specifice pentru protejarea anumitor active sau activități legate de securitate.
acord de confidențialitate
acorduri acord de confidențialitate sau non-divulgare sunt folosite pentru a notifica angajații că informațiile sunt confidențiale. în mod normal, Angajații ar trebui să semneze un astfel de acord ca parte integrantă a condițiilor contractului de muncă.
Acordul de muncă
Termenii și condițiile contractului de muncă specifică responsabilitatea angajatului în ceea ce privește securitatea informațiilor. În cazul în care este necesar, această responsabilitate ar trebui să fie menținută și pentru o anumită perioadă de timp după încetarea contractului de muncă. Trebuie să specificați măsurile disciplinare care urmează să fie aplicate în caz de încălcare a siguranței angajaților.
Toți angajații organizației și, dacă este necesar, utilizatorii terți ar trebui să fie instruiți și să primiți actualizări periodice ale politicilor și procedurilor organizației de securitate a informațiilor. angajaților din învățământ ar trebui să ofere cunoștințele lor cerințelor de securitate și responsabilitate, în conformitate cu legislația, măsuri pentru managementul securității informației, precum și cunoașterea utilizării corecte de prelucrare a informațiilor, cum ar fi în sistemele de proceduri de înregistrare, utilizarea de pachete software, înainte de a li se permite accesul la informații sau servicii .
rețea de cablu de siguranță
rețelele de alimentare și cablul de telecomunicații pe care datele sunt transmise sau efectuate alte servicii de informare, ar trebui să fie protejate de interceptare sau deteriorare. ar trebui să fie luate în considerare următoarele măsuri:
Politica de „birou curat“ și „ecran gol“
Medii de înregistrare rămase pe masa poate fi, de asemenea, deteriorate sau distruse de dezastru, cum ar fi incendii, inundații sau explozie.
următoarele măsuri ar trebui să fie utilizate pentru managementul securității informației:
Documentarea procedurilor operaționale
De asemenea, ar trebui elaborate proceduri documentate în ceea ce privește schimbul de sisteme de prelucrare de servicii și informații, în special, procedurile de pornire și oprire în condiții de siguranță a calculatorului (e), procedurile de backup, întreținerea și repararea echipamentelor, furnizarea de facilități de securitate adecvate, calculatoare și echipamente de comunicații.
Securitate E-mail
Monitorizarea parolelor de utilizator
Parolele sunt cele mai comune mijloace de validare a unui ID de utilizator pentru accesul la sistem sau a serviciului de informații. Furnizarea de parole ar trebui să fie controlată printr-un proces de management formal, care ar trebui să includă:
- utilizatorilor să semneze un document cu privire la necesitatea de a respecta confidențialitatea completă a parolelor personale, precum și în ceea ce privește parole de grup - confidențialitatea în cadrul grupului de lucru (care pot fi incluse în condițiile contractului de muncă;
- în cazurile în care utilizatorii trebuie să le dețină de gestionare a parolei, este necesar să se asigure furnizarea parolei temporare inițiale în condiții de siguranță pe care utilizatorii sunt obligați să se schimbe la prima logon. Parolele temporare sunt utilizate în cazurile în care utilizatorii uitat parola lor personale, și ar trebui să fie acordată numai după identificarea utilizatorului;
- asigurând modalitate sigură de a emite parola temporară pentru utilizator.
Evitați utilizarea neprotejat (text clar), mesajele de e-mail sau mesaje e-mail de la terțe părți. Utilizatorii ar trebui să recunoască primirea de parole.
Parolele nu ar trebui să fie stocate într-un sistem informatic într-o formă neprotejată. Dacă este necesar, să ia în considerare posibilitatea altor tehnologii pentru identificarea și autentificarea utilizatorului, cum ar fi date biometrice (amprente digitale de control), verificarea semnăturii și utilizarea de identificare hardware (smart card cu cip).
Utilizatorii trebuie să respecte anumite reguli de siguranță pentru selectarea și utilizarea parolelor.
Utilizarea parolelor este furnizat confirmarea de identificare a utilizatorului și, prin urmare, accesul la prelucrarea sau servicii media. Toți utilizatorii trebuie să fie conștienți de necesitatea de a:
În cazul în care utilizatorii au nevoie de acces la mai multe servicii sau aplicații de afaceri și sunt obligați să utilizeze mai multe parole, putem recomanda utilizarea unei singure parole pentru toate serviciile de înaltă calitate, care oferă un nivel rezonabil de protecție a parolei stocate.
Echipament lăsat nesupravegheat utilizatori
controlul accesului la rețea
Accesul la ambele servicii de rețea interne și externe ar trebui să fie controlate. Acest lucru este necesar pentru a se asigura că utilizatorii care au acces la rețele și servicii de rețea nu compromite siguranța acestora prin furnizarea de:
- interfețe adecvate între organizațiile și rețelele care aparțin altor organizații sau rețele publice de rețea;
- mecanism de autentificare adecvat între utilizatori și echipamente;
- controlul accesului utilizatorilor la serviciile de informare.
Lucrul cu dispozitive portabile, și lucreze de la distanță
Ar trebui să fie puse în balanță cu protecția necesară a riscurilor specifice de lucru la distanță. La utilizarea dispozitivelor portabile ar trebui să ia în considerare riscurile asociate care lucrează într-un mediu neprotejat și să aplice măsuri de protecție adecvate. În cazul organizării la distanță ar trebui să ofere protecție atât măsuri de securitate a informațiilor adecvate la locul de muncă și.
lucreze de la distanță
Protecția datelor și confidențialitatea informațiilor cu caracter personal
Respectarea legislației privind protecția datelor necesită o structură adecvată de gestionare a informațiilor de securitate. Acest lucru este cel mai bine realizat prin numirea ofițerului responsabil de protecția datelor prin intermediul managerilor de clarificare corespunzătoare, utilizatorii și furnizorii de servicii cu privire la responsabilitățile lor individuale și punerea în aplicare obligatorie a măsurilor adecvate pentru a asigura securitatea informațiilor. Proprietarii datelor sunt obligate să-l informeze cu privire la orice propuneri oficiale cu privire la modul de a stoca informațiile personale într-o structură de fișier de date, precum și, de asemenea, să cunosc regulile aplicabile ale legii cu privire la protecția datelor cu caracter personal.