Скачать книгу

основных принципов обеспечения информационной безопасности компании позволяет простым и понятным языком, не вдаваясь в технические детали, сформулировать основные ценности компании и необходимость их защиты.

       классификация и категорирование информационных ресурсов;

      В основе любой политики безопасности лежит определение ценности информационных активов компании. Классификация и категорирование информационных ресурсов компании позволяет быстро и качественно принять решение о необходимой степени защищенности этих ресурсов.

       анализ информационных потоков;

      Цель анализа информационных потоков – определить все критичные точки обработки данных компании. Например, в системе обработки транзакций данные могут перемещаться через Web-браузеры, серверы данных и межсетевые экраны и могут храниться в базах данных, на магнитных носителях и на бумаге. Отслеживая информационные потоки, можно определить состав и структуру соответствующих средств защиты информации.

       определение основных угроз и модели нарушителя;

      Разработка модели угроз и модели нарушителя позволяет решить, какие типы угроз существуют в информационных системах компании, какова вероятность реализации угроз и каковы их последствия, а также стоимость восстановления.

       определение сервисов безопасности;

      Определение сервисов безопасности компании, например журналирования, авторизации, идентификации, аутентификации и пр., позволяет правильно выработать политику безопасности.

       создание шаблона политики безопасности;

      Структура политики безопасности может быть различна. Этот шаг используется для четкого определения разделов политики безопасности компании.

       определение области действия политики безопасности.

      Последний этап перед созданием первых черновых вариантов политики безопасности – определение всех областей, на которых фокусируется политика безопасности. Например, могут быть определены политики безопасности:

      – категорирования информационных ресурсов,

      – доступа к информационным ресурсам,

      – использования паролей,

      – использования шифрования и управления ключами,

      – сетевой безопасности,

      – физической безопасности,

      – работы с электронной почтой,

      – реагирования на инциденты в области безопасности,

      – мониторинга и аудита безопасности,

      – межсетевого экранирования,

      – антивирусной защиты,

      – управления системами и сетями,

      – контроля действий сотрудников,

      – резервного копирования,

      – допуска сторонних организаций,

      – разработки и внедрения приложений,

      – управления конфигурациями,

      – обнаружения вторжений и пр.

      Шаблон

Скачать книгу