Оцените Makves DCAP на практике! Заполните форму и свяжитесь с нами, чтобы согласовать время и формат демонстрации.
Мы используем файлы cookie, чтобы сделать сайт более удобным для пользователей. Используйте этот сайт, просматривайте его разделы и соглашайтесь с нашей политикой конфиденциальности
Полная защита вашего организма и его данных требует широкого и всестороннего подхода. И нет лучшей основы для создания культуры информационной безопасности. Это хорошая политика информационной безопасности — набор мер, правил и принципов, определяющих, как сотрудники защищают информационные активы.
В этой статье вы рассмотрите, что такое политика безопасности, узнаете, почему ее важно внедрять, и изучите некоторые лучшие практики для создания эффективной политики безопасности в вашей организации.
Политика безопасности (или политика безопасности разведки) — это, как правило, набор документов, регулирующих деятельность организации по защите информации и обеспечению безопасности. Политики безопасности существуют на разных уровнях: от концепций высокого уровня, описывающих общие бизнес-цели и принципы безопасности, до документов, касающихся конкретных вопросов, таких как удаленный доступ или использование Wi-Fi.
Политика безопасности определяет общую стратегию и отношение совета директоров, в то время как другие документы помогают создать структуру вокруг этих практик. Политика безопасности отвечает на вопросы «что» и «почему», а вопросы «как» — на процедуры, стандарты и руководства.
Политика безопасности может показаться ненужной бюрократической задачей, но на самом деле она является ключевым элементом программы информационной безопасности. Перечислим некоторые преимущества разработанной политики безопасности
1. координирует применение технических мер контроля
Политика безопасности не содержит конкретных технических указаний, но разъясняет высшие цели и ожидания руководства в отношении информационной безопасности. Сотрудники должны воплотить эти намерения в конкретные технические модели поведения.
Например, политика может указывать, что доступ к информации, принадлежащей компании, должен предоставляться только авторизованным пользователям. Правила контроля доступа, используемые для реализации этих систем аутентификации и политик, могут со временем меняться, но общий смысл остается неизменным.
2. установите четкие требования
Без политики безопасности каждый пользователь сам решает, что ему подходит, а что нет. Это может привести к серьезным последствиям, если разные сотрудники будут применять разные стандарты.
Можно ли использовать корпоративное оборудование в личных целях? Могут ли менеджеры делиться паролями с прямыми подрядчиками для удобства? А как насчет установки несанкционированного программного обеспечения? Без четкой политики разные сотрудники могут по-разному отвечать на эти вопросы. В политике безопасности также должно быть четко указано, как будет осуществляться контроль за ее соблюдением.
3. Она повышает эффективность организации и способствует достижению бизнес-целей
Хорошая политика безопасности может повысить эффективность организации. Ее полномочия позволяют всем быть на одной волне, избегать повторения усилий и обеспечивать последовательность решений и преемственность.
Для достижения этих преимуществ, помимо реализации и соблюдения требований, политика должна быть согласована с бизнес-целями и культурой организации.
Политики безопасности различаются по масштабу, охвату и сложности в зависимости от потребностей различных организаций. Стоит отметить, что количество уровней иерархии документов в организации зависит от организации и может меняться. Наиболее распространены трех- и четырехуровневые иерархии документов.
Программная политика (в общем случае) — это стратегический план высокого уровня, определяющий цели и масштаб программы информационной безопасности организации. Этот документ разрабатывается на основе вклада высшего руководства и обычно не содержит конкретных технологий и механизмов. Программные политики реже обновляются, поскольку любые технические и организационные изменения должны быть проработаны на достаточно высоком уровне, прежде чем их можно будет поднять.
Обязательства, ориентированные на политику, основаны на общих правилах безопасности и содержат более конкретные указания по специфическим вопросам, относящимся к персоналу организации. Примерами могут служить политики сетевой безопасности или телеработы, а также политики использования социальных сетей. Эти документы могут относиться к конкретным техническим областям, но обычно носят более общий характер.
В политиках удаленного доступа может быть указано, что доступ за пределы рабочего места возможен только при наличии разрешения VPN, но при этом конкретные клиенты VPN не могут быть идентифицированы. Это помогает компаниям менять поставщиков услуг без существенного обновления политик.
Системно-ориентированные политики — это наиболее подробный тип политики безопасности, направленный на конкретные типы систем, такие как брандмауэры, организационные серверы и даже отдельные компьютеры. Сектор информатики и безопасности играет активную роль в создании, внедрении и навязывании политической системы, но основные решения и правила по-прежнему принимаются высшей администрацией.
Политика безопасности — это ключевой элемент программы обеспечения безопасности разведки, который должен быть правильно разработан, реализован и внедрен. Эффективная политика безопасности должна содержать следующую информацию
1. четкие цели и задачи Это особенно важно для программ. Помните, что многие сотрудники не знают об угрозах безопасности и могут воспринимать любой вид контроля как довесок. Четкое изложение миссии или цели, заявленное на самом высоком уровне политики безопасности, должно помочь всей организации осознать важность информационной безопасности.
2. Сфера действия каждой политики безопасности должна иметь четкую область применения, в которой ясно указано, для кого эта политика реализуется. Это может быть географическая область, бизнес-подразделение, местоположение или другая организационная структура.
3. политика безопасности должна отражать намерения высшего руководства, и без этой поддержки программа безопасности может потерпеть неудачу. Чтобы добиться успеха, политика должна быть доведена до сведения сотрудников, регулярно обновляться и последовательно применяться. Отсутствие поддержки со стороны руководства делает этот процесс еще более сложным.
4. Реалистичные и реализуемые политики Очень соблазнительно создать идеальные политики безопасности, основанные на передовом опыте, но важно помнить, что сотрудники, скорее всего, не будут воспринимать слишком обременительные политики. Аналогично, политики, в которых отсутствуют механизмы принуждения, могут быть легко проигнорированы большинством сотрудников. Важно найти баланс между созданием реалистичных политик и обеспечением их соблюдения.
5. Четкое определение ключевых терминов Обратите внимание, что целевая аудитория политики безопасности может не быть технически подкованной. Важно использовать лаконичный, не жаргонный язык, а все технические термины в документе должны быть четко определены.
6. идентификация рисков Для разработки соответствующих процедур управления рисками организациям необходимо определить потенциальные риски. Многие организации делают это с помощью оценки рисков. Внедряйте новые средства контроля безопасности. Например, для контроля и анализа неструктурированных данных, учета и контроля прав доступа сотрудников используйте современное решение DCAP, такое какMacbeth DCAP..
7. Обновление Обновление политик безопасности — важнейшее условие их эффективности. Программные политики не нуждаются в частых изменениях, но их следует регулярно пересматривать. Частные и системные политики следует обновлять чаще в связи с изменениями в технологиях и организационных тенденциях на рабочем месте. Со временем может потребоваться разработка новых политик.
Безопасность предприятия: руководство по созданию служб безопасности
Для крупных предприятий достаточно выделить средства из бюджета, чтобы создать службу безопасности. Для малых и средних предприятий это сложнее.
Для малых и средних предприятий услуги внутренней безопасности кажутся ненужной роскошью. Однако многие руководители недооценивают важность этой услуги. В конце концов, она защищает то, что вы создали. Задачу создания службы безопасности в организации можно упростить, разбив ее на пять шагов.
Как предприятие может создать службу безопасности
Шаг 1: Определите свою цель
Сначала ответьте на вопрос: «Зачем предприятию нужна служба безопасности?». Сначала ответьте на вопрос «Зачем предприятию нужны услуги безопасности?». Потенциальные угрозы варьируются от криминальных до менее очевидных. Одна из них — кража имущества компании сотрудниками или недобросовестными подрядчиками. Другая — необоснованные требования налоговых и правоохранительных органов. В некоторых компаниях угрозу может представлять даже некомпетентность персонала.
Пример. Служба безопасности мебельной фабрики обнаружила возможную угрозу. Рядом открылась автозаправочная станция. АЗС не соответствовала стандартам безопасности, и на ней мог начаться пожар. В этом случае могла пострадать продукция на складе и фабрике. Служба безопасности компании собрала документы, подтверждающие незаконность АЗС, и передала их в надзорные органы. В результате АЗС была закрыта.
Шаг 2: Постановка целей
Определив риски для компании, оцените их последствия. Сосредоточьте операции по обеспечению безопасности на конкретных угрозах. Сведите к минимуму количество других функций.
Посоветуйтесь с человеком, которому поручено управление службой безопасности вашей компании, чтобы он помог вам расставить приоритеты. Например, защита ювелирной компании направлена на предотвращение краж со стороны сотрудников и нападений преступников. Для IT-компаний важно защитить интеллектуальные продукты от шпионажа и краж. В первом случае речь идет о создании служб безопасности, во втором — о создании конкурентоспособных информационных услуг.
Пример. Руководитель предприятия по производству кормов создает организацию по обеспечению финансовой безопасности. В течение двух месяцев он раскрыл схему хищений, которую давно использовали его работники. Получив материалы от поставщика, водитель останавливался на дороге и выгружал часть из них сообщнику. Это уменьшало количество материалов в компании на 10-15 %. Акционер, владелец магазина, получал материал в первоначальном объеме и записывал его в производство. Третий участник схемы, работник производства, подписывал бланк на получение материала. Далее материал перерабатывается в конечный продукт.
План был раскрыт следующим образом. Служба безопасности установила на воротах сканеры. Они обнаружили, что в середине кузова автомобиля есть пустое место. Затем они провели контроль движения сырья на всех этапах производства и обсудили это с рабочими. Получив доказательства, они организовали внезапную проверку, которая выявила недостаток. После того как система была выявлена, экономия на стоимости продукции составила 10
Шаг 3: Создание секции
В крупных компаниях отдел безопасности отвечает за ряд направлений, включая юридическую защиту и взаимодействие с персоналом. Однако в небольших компаниях это невозможно. Когда все обязанности распределяются между небольшими отделами, не остается времени на выявление реальных угроз для компании. Оптимальная конфигурация службы безопасности для малого и среднего бизнеса — 3 человека:
Шаг 4: Рассчитайте бюджет
Желание тратить меньше денег на услуги безопасности вполне обоснованно. Оно не увеличивает прибыль, но предотвращает возможные потери, которых может и не быть. Однако не стоит экономить на трех элементах.
В целом на содержание службы безопасности необходимо тратить не менее 3 млн руб. в год. Оценив затраты, можно прийти к выводу, что дешевле поручить функцию безопасности внешнему партнеру. Помните: в этом случае вы не сможете полностью контролировать безопасность компании. Третья организация может создать для компании проблемы с увеличением бюджета и расширением штата.
Шаг 5: найдите специалиста
Оценивая кандидата на должность руководителя службы безопасности, обратите внимание на его историю. Его обязанности должны быть похожи на поставленные перед ним задачи.
Для охраны объектов подходят лица, работавшие на внешнее министерство внутренних дел, или бывшие сотрудники ФСО. Для защиты коммерческой тайны и предотвращения хищений требуются бывшие руководители предприятий из Министерства внутренних дел, Федерального управления лекарственных средств и Федеральной службы безопасности. Желательно, чтобы это был человек с опытом руководящей работы, но не понимающий высших должностей: руководителя группы или отдела. При выборе между бывшими сотрудниками уголовного розыска и сотрудниками отдела по борьбе с финансовыми преступлениями предпочтение отдается последним.
Пример.
Компания решает создать службу безопасности. Заместитель директора предложил знакомого, который работал начальником отдела правоохранительных служб. У него было юридическое образование и 15-летний опыт работы в бизнесе. Офицеры, посетившие его, нашли:
Руководитель службы безопасности создал систему бухгалтерского учета и обязал охранников проверять грузы и документацию. Программа службы охраны: вместо охранников были поставлены охранники. Договоры на поставку продукции подписывались только после проведения бизнес-администрирования. Были выявлены подрядчики с плохой репутацией. Вокруг предприятия были установлены дополнительные видеокамеры и проведен технический осмотр. Кроме того, служба безопасности проанализировала документацию предприятия. Они обнаружили, что у недавно построенной газовой котельной нет лицензии. Это позволило предприятию избежать претензий со стороны правоохранительных органов.