Sera ya usalama wa habari ya kampuni. Kanuni za sera ya usalama wa habari ya biashara

Katika mada hii, nitajaribu kukusanya mwongozo juu ya maendeleo ya nyaraka za udhibiti katika uwanja wa usalama wa habari kwa muundo wa kibiashara, kulingana na uzoefu wa kibinafsi na vifaa kutoka kwenye mtandao.

Hapa unaweza kupata majibu ya maswali:

  • kwa nini sera ya usalama wa habari inahitajika;
  • jinsi ya kuitunga;
  • jinsi ya kuitumia.

Haja ya sera ya usalama wa habari
Sehemu hii inaelezea hitaji la kutekeleza sera ya usalama wa habari na hati zinazoandamana sio kwa lugha nzuri ya vitabu vya kiada na viwango, lakini kwa kutumia mifano kutoka kwa uzoefu wa kibinafsi.
Kuelewa malengo na malengo ya idara ya usalama wa habari
Kwanza kabisa, sera ni muhimu ili kufikisha kwa biashara malengo na malengo ya usalama wa habari wa kampuni. Biashara lazima zielewe kwamba usalama sio tu chombo cha kuchunguza uvujaji wa data, lakini pia ni msaidizi katika kupunguza hatari za kampuni, na kwa hiyo katika kuongeza faida ya kampuni.
Mahitaji ya sera ndio msingi wa kutekeleza hatua za ulinzi
Sera ya usalama wa habari ni muhimu ili kuhalalisha kuanzishwa kwa hatua za ulinzi katika kampuni. Sera lazima iidhinishwe na chombo cha juu zaidi cha usimamizi cha kampuni (Mkurugenzi Mtendaji, bodi ya wakurugenzi, n.k.)

Hatua yoyote ya ulinzi ni maelewano kati ya kupunguza hatari na uzoefu wa mtumiaji. Mtaalamu wa usalama anaposema kwamba mchakato haupaswi kutokea kwa namna fulani kutokana na kuonekana kwa hatari fulani, kila mara anaulizwa swali linalofaa: "Inapaswa kutokeaje?" Mtaalamu wa usalama anahitaji kupendekeza muundo wa mchakato ambapo hatari hizi hupunguzwa kwa kiwango fulani cha kuridhisha kwa biashara.

Zaidi ya hayo, utumiaji wowote wa hatua zozote za ulinzi kuhusu mwingiliano wa mtumiaji na mfumo wa habari wa kampuni daima husababisha athari mbaya kutoka kwa mtumiaji. Hawataki kujifunza tena, kusoma maagizo yaliyotengenezwa kwao, nk. Mara nyingi watumiaji huuliza maswali yanayofaa:

  • kwa nini nifanye kazi kulingana na mpango wako uliobuniwa, na sio njia rahisi ambayo nimekuwa nikitumia kila wakati
  • ambaye alikuja na haya yote
Mazoezi yameonyesha kuwa mtumiaji hajali hatari, unaweza kumuelezea kwa muda mrefu na kwa uchungu kuhusu wadukuzi, msimbo wa uhalifu, nk, hakuna kitu kitakachotoka lakini kupoteza seli za ujasiri.
Ikiwa kampuni yako ina sera ya usalama wa habari, unaweza kutoa jibu fupi na fupi:
hatua hii ilianzishwa ili kuzingatia mahitaji ya sera ya usalama wa habari ya kampuni, ambayo iliidhinishwa na chombo cha juu cha utawala cha kampuni.

Kama sheria, baada ya hii nishati ya watumiaji wengi hupungua. Wale waliosalia wanaweza kuombwa kuandika memo kwa chombo hiki cha juu zaidi cha usimamizi cha kampuni. Hapa ndipo wengine huondolewa. Kwa sababu hata kama noti itaenda huko, tunaweza kudhibitisha hitaji la hatua zinazochukuliwa kwa usimamizi. Sio bure kwamba tunakula mkate wetu, sivyo? Kuna mambo mawili ya kuzingatia wakati wa kuunda sera.
  • Hadhira inayolengwa ya sera ya usalama wa habari ni watumiaji wa mwisho na wasimamizi wakuu wa kampuni, ambao hawaelewi matamshi changamano ya kiufundi, lakini lazima wafahamu masharti ya sera hiyo.
  • Hakuna haja ya kujaribu cram katika zisizofaa, ni pamoja na kila kitu unaweza katika hati hii! Lazima kuwe na malengo ya usalama wa habari tu, mbinu za kuyafanikisha na uwajibikaji! Hakuna maelezo ya kiufundi isipokuwa yanahitaji maarifa maalum. Hii ni nyenzo zote za maagizo na kanuni.


Hati ya mwisho lazima ikidhi mahitaji yafuatayo:
  • ufupi - kiasi kikubwa cha hati kitamtisha mtumiaji yeyote, hakuna mtu atakayesoma hati yako (na utatumia zaidi ya mara moja kifungu hiki: "huu ni ukiukaji wa sera ya usalama wa habari ambayo uliifahamu")
  • ufikiaji wa mtu wa kawaida - mtumiaji wa mwisho lazima aelewe NINI kilichoandikwa katika sera (hatawahi kusoma au kukumbuka maneno na vifungu vya maneno "kukata miti", "mfano wa kuingilia", "tukio la usalama wa habari", "miundombinu ya habari", "teknolojia". ”, “anthropogenic” ", "sababu ya hatari", nk.)
Jinsi ya kufikia hili?

Kwa kweli, kila kitu ni rahisi sana: sera ya usalama wa habari inapaswa kuwa hati ya ngazi ya kwanza, inapaswa kupanuliwa na kuongezwa na nyaraka nyingine (kanuni na maelekezo), ambayo tayari itaelezea kitu maalum.
Mfano unaweza kuchorwa na serikali: hati ya kiwango cha kwanza ni katiba, na mafundisho, dhana, sheria na kanuni zingine zilizopo katika serikali zinakamilisha tu na kudhibiti utekelezaji wa vifungu vyake. Mchoro wa takriban unaonyeshwa kwenye takwimu.

Ili sio kupaka uji kwenye sahani, hebu tuangalie mifano ya sera za usalama wa habari ambazo zinaweza kupatikana kwenye mtandao.

Idadi muhimu ya kurasa* Imejaa masharti Ukadiriaji wa jumla
OJSC Gazprombank 11 Juu sana
Mfuko wa Maendeleo ya Ujasiriamali wa JSC "Damu" 14 Juu Hati ngumu ya kusoma kwa uangalifu, mtu wa kawaida hataisoma, na ikiwa ataisoma, hataielewa na hataikumbuka.
JSC NC "KazMunayGas" 3 Chini Rahisi kuelewa hati, sio kujazwa na maneno ya kiufundi
JSC "Taasisi ya Uhandisi wa Redio iliyopewa jina la Msomi A. L. Mints" 42 Juu sana Hati ngumu ya kusoma kwa uangalifu, mtu wa kawaida hataisoma - kuna kurasa nyingi sana

* Ninaita muhimu idadi ya kurasa bila jedwali la yaliyomo, ukurasa wa kichwa na kurasa zingine ambazo hazina habari maalum

Muhtasari

Sera ya usalama wa habari inapaswa kuendana na kurasa kadhaa, iwe rahisi kwa mtu wa kawaida kuelewa, na kuelezea kwa jumla malengo ya usalama wa habari, mbinu za kuyafanikisha na majukumu ya wafanyikazi.
Utekelezaji na matumizi ya sera ya usalama wa habari
Baada ya kupitishwa kwa sera ya usalama wa habari, lazima:
  • kuwafahamisha wafanyikazi wote waliopo na sera;
  • kufahamisha wafanyikazi wote wapya na sera (jinsi bora ya kufanya hivyo ni mada ya majadiliano tofauti; tuna kozi ya utangulizi kwa wageni, ambayo mimi hutoa maelezo);
  • kuchambua michakato iliyopo ya biashara ili kutambua na kupunguza hatari;
  • kushiriki katika uundaji wa michakato mpya ya biashara, ili usikimbie treni baadaye;
  • kuendeleza kanuni, taratibu, maagizo na nyaraka zingine zinazosaidia sera (maelekezo ya kutoa upatikanaji wa mtandao, maelekezo ya kutoa ufikiaji wa maeneo yaliyozuiliwa, maagizo ya kufanya kazi na mifumo ya habari ya kampuni, nk);
  • kagua sera ya usalama wa habari na hati zingine za usalama wa habari angalau mara moja kwa robo ili kuzisasisha.

Kwa maswali na mapendekezo, karibu katika maoni na PMs.

Swali %username%

Kuhusu siasa, wakubwa hawapendi ninachotaka kwa maneno rahisi. Wananiambia: "Mbali na mimi na wewe na wafanyikazi wengine 10 wa IT ambao wenyewe wanajua na kuelewa kila kitu, tuna mia 2 ambao hawaelewi chochote kuhusu hili, nusu yao ni wastaafu."
Nilifuata njia ya ufupi wa wastani wa maelezo, kwa mfano, sheria za ulinzi dhidi ya virusi, na hapa chini ninaandika kitu kama vile kuna sera ya ulinzi dhidi ya virusi, nk. Lakini sielewi ikiwa mtumiaji anasaini sera, lakini tena anahitaji kusoma rundo la nyaraka zingine, inaonekana amefupisha sera, lakini inaonekana hajafanya hivyo.

Hapa ningechukua njia ya uchambuzi wa mchakato.
Wacha tuseme ulinzi wa antivirus. Kimantiki, inapaswa kuwa hivyo.

Je, virusi vina hatari gani kwetu? Ukiukaji wa uadilifu (uharibifu) wa habari, ukiukaji wa upatikanaji (muda wa chini wa seva au PC) wa habari. Ikiwa mtandao umepangwa vizuri, mtumiaji haipaswi kuwa na haki za msimamizi wa ndani katika mfumo, yaani, haipaswi kuwa na haki za kufunga programu (na kwa hiyo virusi) kwenye mfumo. Kwa hivyo, wastaafu huanguka, kwani hawafanyi biashara hapa.

Nani anaweza kupunguza hatari zinazohusiana na virusi? Watumiaji walio na haki za msimamizi wa kikoa. Msimamizi wa kikoa ni jukumu nyeti, linalopewa wafanyikazi wa idara za IT, nk. Ipasavyo, wanapaswa kufunga antivirus. Inatokea kwamba wao pia wanajibika kwa shughuli za mfumo wa kupambana na virusi. Ipasavyo, lazima watie saini maagizo juu ya kuandaa ulinzi wa antivirus. Kwa kweli, jukumu hili lazima lielezwe katika maagizo. Kwa mfano, mtu wa usalama anatawala, wasimamizi wanatekeleza.

Swali %username%

Kisha swali ni, ni nini haipaswi kuingizwa katika maagizo ya Anti-Virus ZI wajibu wa uumbaji na matumizi ya virusi (au kuna makala na haiwezi kutajwa)? Au kwamba wanatakiwa kuripoti virusi au tabia ya ajabu ya Kompyuta kwa Dawati la Usaidizi au watu wa TEHAMA?

Tena, ningeangalia kutoka kwa mtazamo wa usimamizi wa hatari. Hii harufu, kwa kusema, ya GOST 18044-2007.
Katika kesi yako, "tabia ya ajabu" si lazima virusi. Hii inaweza kuwa mfumo wa kuvunja au kuvunja, nk. Ipasavyo, hii sio tukio, lakini tukio la usalama wa habari. Tena, kulingana na GOST, mtu yeyote anaweza kuripoti tukio, lakini inawezekana kuelewa ikiwa ni tukio au si tu baada ya uchambuzi.

Kwa hivyo, swali lako hili halitafsiri tena kuwa sera ya usalama wa habari, lakini katika usimamizi wa matukio. Sera yako inapaswa kusema hivyo kampuni lazima iwe na mfumo wa kushughulikia matukio.

Hiyo ni, kama unavyoona, utekelezaji wa kiutawala wa sera hutegemea wasimamizi na maafisa wa usalama. Watumiaji wamesalia na vitu maalum.

Kwa hivyo, unahitaji kuteka "Utaratibu wa kutumia SVT katika kampuni," ambapo lazima uonyeshe majukumu ya watumiaji. Hati hii inapaswa kuhusishwa na sera ya usalama wa habari na iwe, kwa kusema, maelezo kwa mtumiaji.

Hati hii inaweza kuonyesha kuwa mtumiaji anahitajika kuarifu mamlaka inayofaa ya shughuli isiyo ya kawaida ya kompyuta. Kweli, unaweza kuongeza kila kitu kingine maalum hapo.

Kwa jumla, unahitaji kumjulisha mtumiaji na hati mbili:

  • sera ya usalama wa habari (ili aelewe kile kinachofanywa na kwa nini, haitikisi mashua, haapi wakati wa kuanzisha mifumo mpya ya udhibiti, nk)
  • hii "Utaratibu wa kutumia SVT katika kampuni" (ili aelewe nini hasa cha kufanya katika hali maalum)

Kwa hiyo, wakati wa kutekeleza mfumo mpya, unaongeza tu kitu kwenye "Utaratibu" na uwajulishe wafanyakazi kuhusu hili kwa kutuma utaratibu kwa barua pepe (au kupitia EDMS, ikiwa inapatikana).

Lebo: Ongeza vitambulisho

Katika ulimwengu wa kisasa, dhana ya "sera ya usalama wa habari" inaweza kufasiriwa kwa maana pana na nyembamba. Kwa maana ya kwanza, pana, inaashiria mfumo mgumu wa maamuzi ambayo hufanywa na shirika fulani, iliyoandikwa rasmi na yenye lengo la kuhakikisha usalama wa biashara. Kwa maana nyembamba, dhana hii ina maana hati ya umuhimu wa ndani, ambayo inabainisha mahitaji ya usalama, mfumo wa hatua zilizochukuliwa, wajibu wa wafanyakazi na utaratibu wa udhibiti.

Sera ya kina ya usalama wa habari ni dhamana ya utendakazi thabiti wa kampuni yoyote. Upana wake upo katika kufikiria na uwiano wa kiwango cha ulinzi, pamoja na maendeleo ya hatua sahihi na mfumo wa udhibiti katika tukio la ukiukwaji wowote.

Mbinu zote za shirika zina jukumu muhimu katika kuunda mpango wa usalama wa habari wa kuaminika, kwa sababu matumizi haramu ya habari ni matokeo ya vitendo viovu, uzembe wa wafanyikazi, na sio shida za kiufundi. Ili kufikia matokeo mazuri, unahitaji mwingiliano wa kina wa hatua za shirika, kisheria na kiufundi, ambazo zinapaswa kuwatenga kupenya zote ambazo hazijaidhinishwa kwenye mfumo.

Usalama wa habari ni dhamana ya uendeshaji mzuri wa kampuni na maendeleo yake thabiti. Walakini, msingi wa kujenga mfumo wa ulinzi wa hali ya juu unapaswa kuwa majibu kwa maswali yafuatayo:

    Mfumo wa data ni nini na ni kiwango gani cha ulinzi wa usalama kitahitajika?

    Ni nani anayeweza kusababisha uharibifu kwa kampuni kwa kuvuruga utendakazi wa mfumo wa habari na ni nani anayeweza kutumia habari iliyopokelewa?

    Hatari kama hiyo inawezaje kupunguzwa kwa kiwango cha chini bila kuvuruga utendakazi mzuri wa shirika?

    Wazo la usalama wa habari, kwa hivyo, linapaswa kuendelezwa kibinafsi kwa biashara maalum na kulingana na masilahi yake. Jukumu kuu katika sifa zake za ubora linachezwa na hatua za shirika, ambazo ni pamoja na:

      Shirika la mfumo wa udhibiti wa ufikiaji ulioanzishwa. Hii imefanywa ili kuzuia kuingia kwa siri na bila ruhusa katika eneo la kampuni na watu wasioidhinishwa, pamoja na udhibiti wa kukaa katika majengo na wakati wa kuondoka.

      Kufanya kazi na wafanyikazi. Kiini chake kiko katika kuandaa mwingiliano na wafanyikazi na wafanyikazi wa kuajiri. Ni muhimu pia kufahamiana nao, kuandaa na kufundisha sheria za kufanya kazi na habari ili wafanyikazi wajue mipaka ya usiri wake.

      Sera ya usalama wa habari pia hutoa matumizi ya muundo wa njia za kiufundi zinazolenga kukusanya, kukusanya na kuongezeka kwa usiri.

      Kufanya kazi inayolenga ufuatiliaji wa wafanyikazi katika suala la matumizi yao ya habari iliyoainishwa na kuandaa hatua ambazo zinapaswa kuhakikisha ulinzi wake.

    Gharama za kutekeleza sera hiyo zisizidi madhara yanayoweza kutokea kutokana na hasara yake.

    Sera ya usalama wa habari na ufanisi wake kwa kiasi kikubwa hutegemea idadi ya mahitaji yaliyowasilishwa kwake na kampuni, ambayo inafanya uwezekano wa kupunguza kiwango cha hatari kwa kiwango kinachohitajika.

Sera ya usalama wa habari (IS) ni seti ya hatua, sheria na kanuni zinazoongoza wafanyikazi wa biashara/shirika katika utendaji wao wa kila siku ili kulinda rasilimali za habari.

Kwa muda tangu dhana ya usalama wa habari ilipoibuka, sera nyingi zinazofanana zimetengenezwa - katika kila kampuni, usimamizi huamua wenyewe jinsi na aina gani ya habari ya kulinda (pamoja na kesi hizo ambazo ziko chini ya mahitaji rasmi ya sheria ya Shirikisho la Urusi). Sera kawaida hurasimishwa: kanuni zinazolingana hutengenezwa. Wafanyakazi wa biashara wanatakiwa kuzingatia hati hii. Ingawa sio hati hizi zote hatimaye huwa na ufanisi. Hapo chini tutaangalia vipengele vyote vya sera ya usalama wa habari na kutambua vipengele vikuu ambavyo ni muhimu kwa ufanisi wake.

Kwa nini ni muhimu kurasimisha usalama wa habari?

Masharti ya sera ya usalama wa habari mara nyingi huonekana katika mfumo wa hati tofauti ili kutimiza mahitaji ya mdhibiti - shirika ambalo linadhibiti sheria za uendeshaji wa vyombo vya kisheria katika tasnia fulani. Ikiwa hakuna utoaji juu ya usalama wa habari, basi kisasi fulani dhidi ya mkiukaji hawezi kutengwa, ambayo inaweza hata kusababisha kusimamishwa kwa shughuli za mwisho.

Pia, sera ya usalama ni sehemu ya lazima ya viwango fulani (za ndani au kimataifa). Inahitajika kuzingatia mahitaji maalum, ambayo kawaida huwekwa mbele na wakaguzi wa nje wanaosoma shughuli za shirika. Ukosefu wa sera ya usalama huleta maoni hasi, na tathmini kama hizo huathiri vibaya viashiria kama vile ukadiriaji, kiwango cha kutegemewa, kuvutia uwekezaji, n.k.

Nyenzo juu ya usalama wa habari huonekana wakati usimamizi wa juu wenyewe unapokuja kuelewa hitaji la mbinu iliyoundwa kwa mada ya usalama wa habari. Suluhisho hizo zinaweza kutekelezwa baada ya kuanzishwa kwa njia za kiufundi, wakati kuna uelewa kwamba njia hizi zinapaswa kusimamiwa na lazima ziwe chini ya udhibiti wa mara kwa mara. Mara nyingi, usalama wa habari pia ni pamoja na maswala ya uhusiano na wafanyikazi (mfanyikazi anaweza kuzingatiwa sio tu kama mtu anayepaswa kulindwa, lakini pia kama kitu ambacho habari inapaswa kulindwa), mambo mengine na mambo ambayo yanapita zaidi ya ulinzi kamili wa wafanyikazi. mtandao wa kompyuta na kuzuia ufikiaji usioidhinishwa kwake.

Uwepo wa vifungu husika unaonyesha uwezekano wa shirika katika masuala ya usalama wa habari na ukomavu wake. Uundaji wa wazi wa sheria za usalama wa habari ni ushahidi kwamba maendeleo makubwa yamepatikana katika mchakato huu.

Wanasiasa walioshindwa

Kuwepo tu kwa hati inayoitwa "Kanuni za Usalama wa Habari" hakuhakikishi usalama wa habari kama hivyo. Ikiwa inazingatiwa tu katika hali ya kufuata mahitaji fulani, lakini bila maombi katika mazoezi, athari itakuwa sifuri.

Sera ya usalama isiyofaa, kama inavyoonyesha mazoezi, huja katika aina mbili: iliyoundwa vyema, lakini haijatekelezwa, na kutekelezwa, lakini haijaundwa kwa uwazi.

Ya kwanza, kama sheria, ni ya kawaida katika mashirika ambayo mtu anayehusika na ulinzi wa habari hupakua tu hati zinazofanana kutoka kwa Mtandao, hufanya mabadiliko madogo na kuwasilisha sheria za jumla za kupitishwa na usimamizi. Kwa mtazamo wa kwanza, mbinu hii inaonekana pragmatic. Kanuni za usalama katika mashirika tofauti, hata kama lengo la shughuli zao linatofautiana, mara nyingi hufanana. Lakini matatizo ya usalama wa habari yanaweza kutokea wakati wa kuhama kutoka kwa dhana ya jumla ya usalama wa habari hadi kazi ya kila siku yenye hati kama vile taratibu, mbinu, viwango, n.k. Kwa kuwa sera ya usalama iliundwa awali kwa muundo tofauti, kunaweza kuwa na matatizo fulani katika kurekebisha. hati za kila siku.

Sera zisizo na ufanisi za aina ya pili ni pamoja na jaribio la kutatua tatizo si kwa kupitisha mipango ya jumla ya kimkakati, lakini kwa kufanya maamuzi ya muda mfupi. Kwa mfano, msimamizi wa mfumo, amechoka na ukweli kwamba watumiaji huharibu mtandao na udanganyifu wao usiojali, huchukua hatua zifuatazo: huchukua kipande cha karatasi na kwa dakika kumi huchora sheria (nini kinaruhusiwa na kisichoruhusiwa, nani. inaruhusiwa kupata data ya mali fulani, na ambaye haruhusiwi hapana) na kuiita "Siasa". Ikiwa usimamizi utaidhinisha "Sera" kama hiyo, basi inaweza kutumika kama msingi wa shughuli za muundo katika uwanja wa usalama wa habari kwa miaka, na kusababisha shida zinazoonekana: kwa mfano, na kuanzishwa kwa teknolojia mpya, haiwezekani kila wakati. kutoa programu muhimu. Kama matokeo, isipokuwa kwa sheria huanza kuruhusiwa (kwa mfano, aina fulani ya programu inahitajika, ni ghali, na mfanyakazi anashawishi usimamizi kutumia toleo lisilo na leseni kinyume na sheria za usalama zilizowekwa hapo awali), ambayo inapuuza ulinzi wote.

Maendeleo ya mfumo bora wa usalama wa habari

Ili kuunda mfumo mzuri wa usalama wa habari, zifuatazo lazima ziandaliwe:

  • dhana ya usalama wa habari (inafafanua sera ya jumla, kanuni na malengo yake);
  • viwango (sheria na kanuni za ulinzi wa habari kwa kila eneo maalum);
  • utaratibu (maelezo ya hatua maalum za kulinda habari wakati wa kufanya kazi nayo: data ya kibinafsi, taratibu za kupata vyombo vya habari, mifumo na rasilimali);
  • maelekezo (maelezo ya kina ya nini na jinsi ya kufanya ili kuandaa usalama wa habari na kuhakikisha viwango vilivyopo).

Nyaraka zote hapo juu lazima ziunganishwe na zisipingane.

Pia, ili kuandaa kwa ufanisi usalama wa habari, mipango ya dharura inapaswa kuendelezwa. Wao ni muhimu katika kesi ya kurejesha mifumo ya habari katika tukio la hali ya nguvu majeure: ajali, majanga, nk.

Muundo wa dhana ya ulinzi

Wacha tuangalie mara moja: wazo la usalama wa habari halifanani na mkakati. Ya kwanza ni tuli, wakati ya pili ni ya nguvu.

Sehemu kuu za dhana ya usalama ni:

  • ufafanuzi wa usalama wa habari;
  • muundo wa usalama;
  • maelezo ya utaratibu wa udhibiti wa usalama;
  • tathmini ya hatari;
  • usalama wa habari: kanuni na viwango;
  • majukumu na wajibu wa kila kitengo, idara au idara katika kutekeleza ulinzi wa vyombo vya habari na data nyingine;
  • viungo kwa kanuni zingine za usalama.

Kwa kuongeza, sehemu inayoelezea vigezo kuu vya ufanisi katika uwanja wa kulinda taarifa muhimu haitakuwa nje ya mahali. Viashiria vya ufanisi wa ulinzi ni muhimu, kwanza kabisa, kwa usimamizi wa juu. Wanakuruhusu kutathmini shirika la usalama bila kutafakari nuances ya kiufundi. Wale wanaohusika na shirika la usalama pia wanahitaji kujua vigezo wazi vya kutathmini ufanisi wa usalama wa habari ili kuelewa jinsi usimamizi utakavyotathmini kazi yake.

Orodha ya mahitaji ya msingi kwa nyaraka za usalama

Sera ya usalama lazima iundwe kwa kuzingatia mambo makuu mawili:

  1. Hadhira inayolengwa ambayo taarifa zote za usalama zinakusudiwa ni wasimamizi wa kati na wafanyakazi wa kawaida ambao hawajui istilahi mahususi za kiufundi, lakini lazima waelewe na kuiga taarifa iliyotolewa wakati wa kusoma maagizo.
  2. Maagizo yanapaswa kuwa mafupi na wakati huo huo yana habari zote muhimu kuhusu sera inayofuatwa. Hakuna mtu atakayesoma "folio" kubwa kwa undani, sembuse kuikumbuka.

Kutoka hapo juu, mahitaji mawili ya vifaa vya mbinu juu ya usalama yanafuata:

  • lazima ziandikwe kwa lugha rahisi ya Kirusi, bila kutumia maneno maalum ya kiufundi;
  • Nakala ya usalama lazima iwe na malengo, njia za kuzifanikisha, zinaonyesha madhumuni ya dhima ya kutofuata usalama wa habari. Wote! Hakuna maelezo ya kiufundi au mengine maalum.

Shirika na utekelezaji wa usalama wa habari

Mara nyaraka za usalama wa habari ziko tayari, shirika lililopangwa la kazi ni muhimu kutekeleza katika kazi ya kila siku. Ili kufanya hivyo unahitaji:

  • kufahamisha timu na sera iliyoidhinishwa ya usindikaji wa habari;
  • kufahamisha wafanyikazi wote wapya na sera hii ya usindikaji wa habari (kwa mfano, fanya semina za habari au kozi ambazo maelezo ya kina hutolewa);
  • soma kwa uangalifu michakato iliyopo ya biashara ili kugundua na kupunguza hatari;
  • kushiriki kikamilifu katika kukuza michakato mpya ya biashara, ili usiwe nyuma bila tumaini katika uwanja wa usalama wa habari;
  • tengeneza nyenzo za kina za kimbinu na habari, maagizo ambayo yanakamilisha sera ya usindikaji wa habari (kwa mfano, sheria za kutoa ufikiaji wa kazi kwenye mtandao, utaratibu wa kuingia kwenye majengo na ufikiaji mdogo, orodha ya njia za habari ambazo data ya siri inaweza kupitishwa. , maagizo ya kufanya kazi na mifumo ya habari, nk. .d.);
  • mara moja kila baada ya miezi mitatu, kagua na urekebishe ufikiaji wa habari, utaratibu wa kufanya kazi nayo, sasisha hati zilizopitishwa za usalama wa habari, fuatilia na kusoma matishio yaliyopo ya usalama wa habari.

Watu wanaojaribu kupata ufikiaji usioidhinishwa wa habari

Hatimaye, tunaainisha wale ambao wanaweza au wanataka kupata ufikiaji usioidhinishwa wa habari.

Wahalifu wa nje wanaowezekana:

  1. Wageni wa ofisi.
  2. Wafanyikazi waliofukuzwa hapo awali (haswa wale walioondoka kwa kashfa na wanajua jinsi ya kupata habari).
  3. Wadukuzi.
  4. Miundo ya mtu wa tatu, ikiwa ni pamoja na washindani, pamoja na vikundi vya uhalifu.

Wanaowezekana wa ndani:

  1. Watumiaji wa vifaa vya kompyuta kutoka kwa wafanyikazi.
  2. Watayarishaji wa programu, wasimamizi wa mfumo.
  3. Wafanyakazi wa kiufundi.

Ili kuandaa ulinzi wa habari wa kuaminika, kila moja ya vikundi vilivyoorodheshwa inahitaji sheria zake. Ikiwa mgeni anaweza tu kuchukua kipande cha karatasi na data muhimu, basi mtu kutoka kwa wafanyakazi wa kiufundi anaweza kuunda kuingia bila kusajiliwa na kuondoka kutoka kwa LAN. Kila moja ya kesi ni uvujaji wa habari. Katika kesi ya kwanza, inatosha kukuza sheria za maadili kwa wafanyikazi katika ofisi, kwa pili, tumia njia za kiufundi ambazo huongeza usalama wa habari, kama mifumo ya DLP na mifumo ya SIEM inayozuia uvujaji kutoka kwa mitandao ya kompyuta.

Wakati wa kuendeleza usalama wa habari, ni muhimu kuzingatia maalum ya makundi yaliyoorodheshwa na kutoa hatua madhubuti za kuzuia uvujaji wa habari kwa kila mmoja wao.

Kwa biashara, habari yake ni rasilimali muhimu. Sera ya usalama wa habari inafafanua hatua zinazohitajika ili kulinda habari dhidi ya kupatikana kwa bahati mbaya au kwa kukusudia, uharibifu, nk. Kila mfanyakazi wa biashara anajibika kwa kufuata sera ya usalama. Malengo ya sera ya usalama ni:

  • Utekelezaji wa upatikanaji endelevu wa rasilimali za kampuni kwa utendaji wa kawaida wa majukumu yao na wafanyikazi
  • Kutoa rasilimali muhimu za habari
  • Ulinzi wa uadilifu wa data
  • Mgawo wa kiwango cha uwajibikaji na kazi za wafanyikazi kwa utekelezaji wa usalama wa habari katika biashara
  • Fanya kazi ili kufahamisha watumiaji hatari zinazohusiana na habari. rasilimali za biashara

Wafanyikazi wanapaswa kuchunguzwa mara kwa mara ili kuhakikisha kufuata sera ya usalama wa habari. Sheria za sera zinatumika kwa rasilimali zote na habari za biashara. Kampuni inamiliki haki za umiliki wa rasilimali za kompyuta, taarifa za biashara, programu zilizoidhinishwa na kuundwa, maudhui ya barua pepe, na aina mbalimbali za nyaraka.

Kwa mali zote za taarifa za biashara, lazima kuwe na watu wanaofaa na wajibu wa matumizi ya mali fulani.

Udhibiti wa ufikiaji wa mifumo ya habari

Majukumu yote lazima yafanywe tu kwenye kompyuta zilizoidhinishwa kutumika katika biashara. Matumizi ya vifaa vyako vya kubebeka na vifaa vya kuhifadhi vinawezekana tu kwa idhini. Taarifa zote za siri lazima zihifadhiwe katika fomu iliyosimbwa kwenye diski kuu zilizo na programu ya usimbuaji wa diski kuu. Haki za wafanyikazi kwa mfumo wa habari zinapaswa kukaguliwa mara kwa mara. Ili kutekeleza ufikiaji ulioidhinishwa wa rasilimali ya habari, kuingia kwenye mfumo lazima kutekelezwa kwa kutumia jina la mtumiaji na nenosiri la kipekee. Nenosiri lazima liridhishe. Pia, wakati wa mapumziko, au mfanyakazi hayupo mahali pa kazi, kazi ya kiokoa skrini inapaswa kuchochewa ili kuzuia mashine ya kufanya kazi.

Ufikiaji wa wahusika wengine kwa mfumo wa habari wa biashara

Kila mfanyakazi lazima aarifu huduma ya usalama wa habari kwamba anawapa wahusika wengine ufikiaji wa rasilimali za mtandao wa habari.

Ufikiaji wa mbali

Wafanyikazi wanaotumia vifaa vya kubebeka vya kibinafsi wanaweza kuomba ufikiaji wa mbali kwa mtandao wa habari wa biashara. Wafanyikazi wanaofanya kazi nje ya tovuti na wana ufikiaji wa mbali wamepigwa marufuku kunakili data kutoka kwa mtandao wa shirika. Pia, wafanyikazi kama hao hawawezi kuwa na unganisho zaidi ya moja kwa mitandao tofauti ambayo sio ya biashara. Kompyuta zilizo na ufikiaji wa mbali lazima ziwe na .

Ufikiaji wa mtandao

Ufikiaji kama huo unapaswa kuruhusiwa tu kwa madhumuni ya biashara na sio matumizi ya kibinafsi. Yafuatayo ni mapendekezo:

  • Hairuhusiwi kutembelea tovuti ambayo inachukuliwa kuwa ya kukera jamii au iliyo na maudhui ya ngono, propaganda, n.k.
  • Wafanyikazi hawapaswi kutumia Mtandao kuhifadhi data ya kampuni
  • Wafanyakazi ambao wana akaunti zinazotolewa na watoa huduma za umma ni marufuku kutumia vifaa vya biashara
  • Faili zote kutoka kwa Mtandao lazima zichanganuliwe kwa virusi
  • Ufikiaji wa mtandao ni marufuku kwa watu wote wasio waajiriwa

Ulinzi wa vifaa

Wafanyakazi wanapaswa pia kuzingatia kutekeleza usalama wa kimwili kwa vifaa ambavyo data ya biashara inahifadhiwa au kuchakatwa. Ni marufuku kusanidi maunzi na programu kwa mikono wataalamu wa huduma za usalama wa habari wanapatikana kwa hili.

Vifaa

Watumiaji wanaofanya kazi na taarifa za siri lazima wawe na chumba tofauti ili kuzuia ufikiaji wao na mahali pao pa kazi.

Kila mfanyakazi, akiwa amepokea vifaa kutoka kwa kampuni kwa matumizi ya muda (safari ya biashara), lazima aiangalie na usiiache bila kutarajia. Katika kesi ya upotezaji au hali zingine za dharura, data kwenye kompyuta lazima isimbwe fiche mapema.

Kuumbiza data kabla ya kurekodi au kuharibu midia sio hakikisho la 100% la usafi wa kifaa. Pia, bandari za data kwenye kompyuta za mezani zinapaswa kuzuiwa isipokuwa mfanyakazi ana ruhusa ya kunakili data.

Programu

Programu zote zilizowekwa kwenye kompyuta za biashara ni mali ya biashara na lazima zitumike kwa kazi rasmi. Ni marufuku kwa wafanyikazi kusakinisha programu zingine kibinafsi bila kukubaliana na huduma ya usalama wa habari. Kompyuta zote za mezani lazima ziwe na seti ya chini ya programu:

  • Programu ya antivirus
  • Programu ya usimbuaji wa kiendeshi kikuu
  • Programu ya usimbaji barua pepe

Wafanyikazi wa kampuni hawapaswi:

  • zuia au usakinishe programu nyingine ya kuzuia virusi
  • badilisha mipangilio ya usalama

Ujumbe wa kielektroniki (hata uliofutwa) unaweza kutumiwa na serikali. mamlaka au washindani wa biashara mahakamani kama ushahidi. Kwa hivyo, maudhui ya ujumbe lazima yazingatie kikamilifu viwango vya ushirika katika uwanja wa maadili ya biashara.

Wafanyikazi hawawezi kusambaza habari za siri za kampuni kupitia barua bila usimbaji fiche. Wafanyikazi pia hawaruhusiwi kutumia sanduku za barua za umma. Kwa mtiririko wa hati, visanduku vya barua vya kampuni pekee ndivyo vinapaswa kutumika. Zifuatazo ni vitendo visivyoweza kutatuliwa wakati wa kutekeleza barua pepe:

  • utumaji barua wa kikundi kwa watumiaji wote wa biashara
  • kutuma ujumbe wa kibinafsi kwa kutumia rasilimali za barua pepe za kampuni
  • kujiandikisha kwa sanduku la barua la kampuni ya majarida
  • kutuma nyenzo zisizohusiana na kazi

Kuripoti tukio, majibu na kuripoti

Wafanyakazi wote lazima waripoti udhaifu wowote wa kiusalama unaoshukiwa. Pia, udhaifu katika mfumo wa usalama unaojulikana kwa mfanyakazi lazima usifichuliwe. Ikiwa kuna mashaka ya virusi au vitendo vingine vya uharibifu kwenye kompyuta, mfanyakazi lazima:

  • kuwajulisha wafanyikazi wa usalama wa habari
  • usiwashe kompyuta iliyoambukizwa na usiitumie
  • Usiunganishe kompyuta kwenye mtandao wa habari wa biashara

Majengo yenye mbinu za ulinzi wa kiufundi

Mikutano/mikutano yote ya siri lazima ifanyike katika vyumba vilivyotengwa pekee. Washiriki hawaruhusiwi kuleta vifaa vya kurekodia (Sauti/video) na simu za rununu ndani ya majengo bila idhini ya huduma ya usalama wa habari. Rekodi ya sauti/video inaweza kufanywa na mfanyakazi kwa ruhusa kutoka kwa huduma ya usalama wa habari.

Bila kujali saizi ya shirika na maelezo ya mfumo wake wa habari, fanya kazi ili kuhakikisha kuwa mfumo wa usalama wa habari kawaida huwa na hatua zifuatazo (Mchoro 1):

- kufafanua upeo (mipaka) ya mfumo wa usimamizi wa usalama wa habari na kubainisha malengo ya kuundwa kwake;

- tathmini ya hatari;

- uteuzi wa hatua za kupinga ambazo zinahakikisha utawala wa IS;

- Usimamizi wa hatari;

- ukaguzi wa mfumo wa usimamizi wa usalama wa habari;

- maendeleo ya sera ya usalama.

DIV_ADBLOCK315">

Hatua ya 3. Kuunda hatua za kukabiliana na ulinzi wa habari katika ngazi kuu zifuatazo: utawala, utaratibu, programu na maunzi.

Hatua ya 4. Kuanzisha utaratibu wa uthibitisho na kibali cha CIS kwa kufuata viwango katika uwanja wa usalama wa habari. Kuamua mzunguko wa mikutano juu ya mada za usalama wa habari katika kiwango cha usimamizi, pamoja na uhakiki wa mara kwa mara wa vifungu vya sera ya usalama wa habari, na pia utaratibu wa kutoa mafunzo kwa aina zote za watumiaji wa mfumo wa habari katika uwanja wa usalama wa habari. Inajulikana kuwa uundaji wa sera ya usalama ya shirika ndio hatua isiyo rasmi kabisa. Hata hivyo, hivi karibuni hapa ndipo jitihada za wataalamu wengi wa usalama wa habari zimezingatiwa.

Hatua ya 5. Kuamua upeo (mipaka) ya mfumo wa usimamizi wa usalama wa habari na kutaja malengo ya uumbaji wake. Katika hatua hii, mipaka ya mfumo ambayo serikali ya usalama wa habari inapaswa kutolewa imedhamiriwa. Ipasavyo, mfumo wa usimamizi wa usalama wa habari umejengwa kwa usahihi ndani ya mipaka hii. Ufafanuzi wa mipaka ya mfumo yenyewe unapendekezwa kufanywa kulingana na mpango ufuatao:

- muundo wa shirika. Uwasilishaji wa muundo uliopo na mabadiliko ambayo yanatarajiwa kufanywa kuhusiana na maendeleo (kisasa) ya mfumo wa automatiska;

- rasilimali za mfumo wa habari kulindwa. Inashauriwa kuzingatia rasilimali za mfumo wa otomatiki wa madarasa yafuatayo: vifaa vya elektroniki, data, mfumo na programu ya maombi. Rasilimali zote zina thamani kutoka kwa mtazamo wa shirika. Ili kuzitathmini, mfumo wa vigezo na mbinu ya kupata matokeo kulingana na vigezo hivi lazima uchaguliwe;

· maendeleo ya kanuni za kuainisha mali ya habari ya kampuni na kutathmini usalama wao;

· tathmini ya hatari za habari na usimamizi wao;

· Kufundisha wafanyikazi wa kampuni katika njia za usalama wa habari, kufanya muhtasari na ufuatiliaji wa maarifa na ujuzi wa vitendo wa kutekeleza sera ya usalama na wafanyikazi wa kampuni;

· kushauriana na wasimamizi wa kampuni juu ya maswala ya usimamizi wa hatari ya habari;

· uratibu wa sera za kibinafsi na kanuni za usalama kati ya vitengo vya kampuni;

· udhibiti wa kazi ya huduma za ubora na otomatiki za kampuni na haki ya kuangalia na kuidhinisha ripoti za ndani na hati;

· mwingiliano na huduma ya wafanyikazi wa kampuni ili kuthibitisha data ya kibinafsi ya wafanyikazi wakati wa kuajiri;

· kuandaa hatua za kuondoa hali ya dharura au dharura katika uwanja wa usalama wa habari ikiwa itatokea;

Uadilifu wa habari - uwepo wa habari katika fomu isiyopotoshwa (isiyobadilika kuhusiana na hali fulani iliyowekwa). Kwa kawaida, masomo yana nia ya kuhakikisha mali pana - kuaminika kwa habari, ambayo inajumuisha utoshelevu (ukamilifu na usahihi) wa kuonyesha hali ya eneo la somo na uadilifu wa moja kwa moja wa habari, yaani, kutopotosha kwake.

Kuna tofauti kati ya uadilifu tuli na thabiti. Ili kukiuka uadilifu tuli, mshambuliaji anaweza: kuingiza data isiyo sahihi; Ili kubadilisha data. Wakati mwingine data ya maudhui hubadilika, wakati mwingine maelezo ya huduma hubadilika. Vitisho kwa uadilifu unaobadilika ni pamoja na ukiukaji wa atomiki ya shughuli, kupanga upya, wizi, kurudia data, au kuanzishwa kwa ujumbe wa ziada (pakiti za mtandao, n.k.). Shughuli hii katika mazingira ya mtandao inaitwa kusikiliza kwa bidii.

Tishio kwa uadilifu sio tu uwongo au urekebishaji wa data, lakini pia kukataa kwa vitendo vilivyokamilishwa. Ikiwa hakuna njia ya kuhakikisha "kutokataa", data ya kompyuta haiwezi kuchukuliwa kama ushahidi. Sio tu data, lakini pia programu zinaweza kuathiriwa na ukiukaji wa uadilifu. Sindano ya zisizo ni mfano wa ukiukwaji huo.

Tishio la dharura na la hatari sana ni kuanzishwa kwa rootkits (seti ya faili zilizowekwa kwenye mfumo kwa lengo la kubadilisha utendaji wake wa kawaida kwa njia mbaya na ya siri), roboti (mpango ambao hufanya kazi fulani moja kwa moja; kikundi cha kompyuta ambazo roboti kama hizo hufanya kazi huitwa botnet), mashambulizi ya siri (programu hasidi ambayo husikiliza amri kwenye bandari maalum za TCP au UDP) na programu hasidi (programu hasidi inayolenga kuhatarisha data ya siri ya mtumiaji. Kwa mfano, Back Orifice na Netbus Trojans hukuwezesha kupata udhibiti wa mifumo ya mtumiaji na lahaja mbalimbali za MS -Windows.

Tishio la usiri

Tishio la uvunjaji wa usiri ni kwamba habari inajulikana kwa mtu ambaye hana mamlaka ya kuipata. Wakati mwingine, kutokana na tishio la uvunjaji wa usiri, neno "kuvuja" hutumiwa.

Usiri wa habari ni tabia iliyodhamiriwa (inayohusishwa) (mali) ya habari, inayoonyesha hitaji la kuanzisha vizuizi kwenye mduara wa masomo ambao wanapata habari hii, na kuhakikishwa na uwezo wa mfumo (mazingira) kuweka habari hii. siri kutoka kwa watu ambao hawana mamlaka ya kuipata. Masharti ya lengo la kizuizi kama hicho juu ya upatikanaji wa habari kwa baadhi ya masomo yako katika hitaji la kulinda masilahi yao halali kutoka kwa masomo mengine ya uhusiano wa habari.

Habari ya siri inaweza kugawanywa katika somo na habari ya huduma. Maelezo ya huduma (kwa mfano, nywila za watumiaji) haihusiani na eneo maalum la somo, ina jukumu la kiufundi katika mfumo wa habari, lakini ufichuaji wake ni hatari sana, kwani umejaa ufikiaji usioidhinishwa wa habari zote, pamoja na habari ya somo. Tishio hatari lisilo la kiufundi kwa usiri ni njia za ushawishi wa kiadili na kisaikolojia, kama vile "masquerade" - kufanya vitendo chini ya kivuli cha mtu aliye na mamlaka ya kupata data. Vitisho visivyopendeza ambavyo ni vigumu kuvilinda ni pamoja na matumizi mabaya ya madaraka. Kwenye aina nyingi za mifumo, mtumiaji aliyebahatika (kwa mfano, msimamizi wa mfumo) anaweza kusoma faili yoyote (isiyosimbwa) na kupata ufikiaji wa barua pepe ya mtumiaji yeyote.

Hivi sasa, ya kawaida zaidi ni mashambulizi yanayoitwa "hadaa". Hadaa (uvuvi - uvuvi) ni aina ya ulaghai wa mtandao, madhumuni yake ambayo ni kupata ufikiaji wa data ya siri ya mtumiaji - kuingia na nywila. Hii inafanikiwa kwa kutuma barua pepe nyingi kwa niaba ya bidhaa maarufu, pamoja na ujumbe wa kibinafsi ndani ya huduma mbalimbali, kwa mfano, kwa niaba ya benki, huduma (Rambler, Mail.ru) au ndani ya mitandao ya kijamii (Facebook, Vkontakte, Odnoklassniki.ru ) Walengwa wa walaghai leo ni wateja wa benki na mifumo ya malipo ya kielektroniki. Kwa mfano, nchini Marekani, wakijifanya kuwa Huduma ya Mapato ya Ndani, walaghai walikusanya data muhimu kuhusu walipa kodi mwaka wa 2009.



MAKALA INAYOHUSIANA