Штирлиц — Сеть печатных салонов в Перми

Весь комплекс печатных услуг в Перми. Общирная сеть печатных салонов в Перми. Цифровая печать, цветное и черно-белое копирование документов, сканирование документов, ризография в Перми

Основные направления безопасности организации: Обеспечение безопасности организации

Основные направления обеспечения экономической безопасности хозяйствующего субъекта



Обеспечение экономической безопасности предприятия — это непрерывный процесс, играющий важную роль в ее функционировании в целом. В статье были рассмотрены методы обеспечения экономической безопасности хозяйствующего субъекта во избежание возможных убытков и рисковых ситуаций.

Ключевые слова: экономическая безопасность, хозяйствующий субъект, обеспечение безопасности, экономическая безопасность предприятия

История экономической безопасности России начинается с 1992 г., когда был выпущен Закон РФ от 05.03.1992 № 2446-I «О безопасности». В законе не был выделен термин «экономическая безопасность», но определено понятие экономической безопасности: «Безопасность — состояние защищенности жизненно важных интересов личности, компании и государства от внутренних и внешних угроз». Функцией системы безопасности определено «выявление и прогнозирование внешних и внутренних угроз жизненно важным интересам объектов безопасности». Жизненно важные интересы — совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, компании и государства [2]. Из этого закона вытекает, что обеспечение совокупности потребностей для прогрессивного развития осуществляется не на макроуровне, а на предприятиях промышленности, в организациях и компаниях, которые являются составляющими системы безопасности страны.

В современных условиях процесс успешного функционирования и экономического развития предприятий зависит от работы структуры экономической безопасности и степени снижения и предотвращения рисков. Наиболее оправдан, с научной точки зрения, процессный подход, основанный на рассмотрении экономической безопасности предприятий как процесса, экономически выгодно влияющего на все основные процессы организации, создающие добавленную стоимость.

Некорректно относиться к экономической безопасности предприятия как к застывшему раз и навсегда определенному явлению, но в пределах определенного периода достижения стратегических целей экономическая безопасность является системой с определенными организационными, правовыми, техническими и экономическими параметрами.

Экономическая безопасность является подсистемой, обеспечивающей эффективную работу всех звеньев предприятия, способствует достижению намеченных стратегических показателей, придавая стабильность и надежность системе управления путем нейтрализации и снижения рисков.

Модель предприятия, которая фиксируется в показателях экономической безопасности, выступает неким эталоном безопасного ведения бизнеса. Как только он достигнут, руководство предприятия осознает необходимость в разработке новой концепции [8].

Оперативное обнаружение и адекватная оценка угроз экономическим интересам коммерческого предприятия является обязательным требованием разработки и применения особо эффективных способов реагирования на противоправные действия мошенников и пагубные воздействия рынка.

Таким образом, обеспечение экономической безопасности предприятия — это защита от внутренних и внешних угроз. Угрозы экономической безопасности могут быть представлены к внешней среде и связаны с ошибками при разработке и реализации определенных реформ, с научной, промышленной и инновационной политики государства, утрата контроля над экономическими процессами и т. д. но в любом случае, как показывает анализ угроз экономической безопасности, разработка эффективной финансовой политики существенно снижает возможные риски с внешней и внутренней сторон.

Правильная оценка состояния экономической безопасности крайне важна для предприятия. Это позволит определить реальный уровень угроз и возможность организации предотвратить выявленные угрозы. Также оценка безопасности может способствовать улучшению существующей системы безопасности для минимизации риска наступления негативных для фирмы событий. Поэтому выбор методики оценки экономической безопасности предприятия является важным этапом обеспечения ее безопасности в целом.

Следует особо отметить, что система экономической безопасности каждого предприятия чрезвычайно индивидуальна. Его масштабное сотрудничество и эффективность зависят от существующей государственно-правовой базы, обеспечиваемой руководителем компании, материально-технических и финансовых ресурсов, понимания любыми работниками важности охранного бизнеса, а также практических знаний и опыта экономического руководителя системы безопасности, непосредственно участвующего в строительстве и обслуживании самой системы.

В современном мире успешное функционирование и стремительное экономическое развитие предприятий большей частью зависит от совершенствования их деятельности в сфере обеспечения экономической безопасности.

Среди проблем, появляющихся перед предприятиями на пути к достижению приемлемого уровня экономической безопасности, можно выделить следующие (рисунок 1).

Рис. 1. Основные проблемы обеспечения экономической безопасности [27]

Как видно из рисунка 1, основными проблемами обеспечения экономической безопасности на предприятии являются:

  1. Недостаток необходимой для успешного функционирования предприятия подробной и объективной информации о субъектах предпринимательской деятельности, об их финансовом положении;
  2. Высокая зависимость самостоятельных хозяйствующих субъектов от внутренних и внешних источников финансирования;
  3. Отсутствие законов, которые позволят в полной мере противодействовать недобросовестной конкуренции;
  4. Низкий уровень качества доступной информации не только о конкурентах, но и о состоянии собственной деятельности;
  5. Недостаточное применение анализа затрат предприятия на разработку стратегии экономической безопасности;
  6. Направление всей системы экономической безопасности на работу с угрозами и пренебрежение имеющимися возможностями предприятия.

Основным фактором, определяющим состояние экономической безопасности, является наличие сильных конкурентных преимуществ в компании. Эти льготы должны работать в соответствии со стратегическими целями компании.

Исходя из ранее изложенного, экономическая безопасность предприятия — это состояние защиты жизненно важных интересов организации от внутренних и внешних угроз, формируемых руководством и персоналом предприятия, реализующих экономические, правовые, инженерные, организационные и социально-психологические подходы.

Таблица 2

Подходы кзащите экономической безопасности [14]

Подход

Характеристика

Упреждающий

разработка и реализация управленческих мероприятий и стратегии деятельности носят превентивный характер и направлены на предотвращение или уменьшение размера ущерба для безопасности структурных подразделений Общества, его работников и членов их семей.

Основными направлениями профилактической деятельности по обеспечению безопасности являются меры, принимаемые в информационной деятельности и при обеспечении безопасности зданий, сооружений, имущества и сооружений, а также рабочих мест персон

Реагирующий

разработка и внедрение системы мероприятий, направленных на определение факторов нарушения безопасности, а также проверку соблюдения требований режима безопасности и сигналов в отношении отдельных лиц, компаний, событий, фактов.

При определении направлений обеспечения экономической безопасности организации предусматриваются 2 подхода к защите (таблица 2).

Таким образом, если система безопасности организации функциональна, она сможет справиться со своими задачами.

Понимание безопасности предприятия представляет собой официально утвержденный документ, который должен включать описанные ниже моменты [32]:

− описание проблемной ситуации в области безопасности предприятия;

− определение целевой функции обеспечения безопасности;

− построение системы экономической безопасности предприятия;

− разработка методологии оценки состояния экономической безопасности предприятия;

− расчет стоимости мер, необходимых для обеспечения безопасности;

− планирование действий;

− анализ эффективности внедрения концепции безопасности.

При разработке методологии оценки состояния экономической безопасности общества необходимо определить основные критерии безопасности, в дальнейшем определить методы оценки состояния экономической безопасности, а также сформировать систему анализа экономического риска.

Так, при разработке системы безопасности предприятия необходимо рассчитать стоимость мероприятий, необходимых для его защиты, а также учесть необходимый материально-технический объем и ресурс работ, затраты на их содержание и стимулирование занятости. после этого надо сравнить необходимые затраты с потенциальным ущербом от воздействия внутренних и внешних угроз и определить эффективность его внедрения.

Следующим этапом разработки концепции является планирование действий по реализации положений концепции безопасности предприятия, а также определение условий, которые будут нужны для реализации концепции с выделением финансовых средств. Из этого следует, что необходимо разработать стратегический план, а также планы работы для структурных подразделений службы безопасности. Для этого нужен потенциал хорошо подготовленных профессиональных кадров для службы безопасности, проведение обучения сотрудников, по вопросам соблюдения правил безопасности, пропускного режима, работы с документами, по соблюдению коммерческой тайны. Из вышеперечисленных мер особенно необходимо уделить внимание мерам по установлению технических средств защиты.

Последним этапом процесса внедрения системы экономической безопасности является выработка анализа эффективности и соответствия данной концепции, сформулированными целями и задачами, и способностями службы безопасности решить стоящие перед ней задачи.

Основным стратегическим направлением обеспечения экономической безопасности предприятия в условиях кризиса является планирование и бюджетирование, которое осуществляется на основе выработанной концепции системы управленческого учета. Для того, чтобы составить правильный и действенный план экономической безопасности предприятия, нужно выработать определённую стратегию, она состоит из нескольких аспектов:

− рассмотреть функциональные элементы обеспечения безопасности;

− оценить состояние всего предприятия, подбирается самый оптимальный метод как использовать ресурсы;

− продумываются мероприятия по организации безопасности;

− нужно рассмотреть взаимодействие структурных подразделений;

− скоординировать правильную работу и планирование в финансовой, производственной структурах, а также персонала;

Как итог, на основании изложенного в статье можно сделать следующие выводы:

  1. Экономическая безопасность предприятия — это состояние защищённости жизненно важных интересов предприятия от негативного влияния внешних и внутренних угроз. Уровень экономической безопасности предприятия зависит от множества факторов, таких как: стадия развития экономики государства, темпы инфляции, состояние финансовое системы, государственная политика, а также управленческая организация предприятия, уровень рентабельности, структура капитала, доходность инвестиционных проектов, наличие инвестиционных ресурсов.
  2. Обеспечение экономической безопасности предприятия — это непрерывный процесс, играющий важную роль в ее функционировании в целом, направленный на реализацию стратегии с целью предотвращения потенциального ущерба в данный момент и в будущем. Экономическая безопасность предприятия может быть обеспечена при условии проведения адекватных мероприятий, четкой логической модели своевременного выявления и устранения возможных предпринимательских рисков.
  3. Для обеспечения экономической безопасности предприятия необходимо создать надёжную систему безопасности предприятия, в которой будут отражены основные стратегические направления деятельности предприятия для достижения поставленных целей, с минимально возможными убытками и с чётко прописанной схемой уменьшения рисковых ситуаций.

Литература:

  1. Федеральный закон от 28.12.2010 N 390-ФЗ (ред. от 05.10.2015) «О безопасности» // Собрание законодательства РФ, 30.12.2010, № 52, ст. 6329.
  2. Указ Президента РФ от 06.08.2014 № 560 «О применении отдельных специальных экономических мер в целях обеспечения безопасности Российской Федерации» (ред. от 24.06.2019) // Собрание законодательства РФ от 11.08.2014, № 32 ст. 4470.
  3. Указ Президента РФ «О стратегии национальной безопасности Российской Федерации» от 31.12.2015 г. № 683 // Собрание законодательства РФ от 4.01.2016 г. N 1 (часть II) ст. 212.
  4. Беловицкий К. Б. Экономическая безопасность: учебное пособие / Беловицкий К. Б., Николаев В. Г. — Электрон. текстовые данные. — М.: Научный консультант, 2017. — 287 c.
  5. Березина И. В., Гиржева Ю. С. Аналитический обзор современных методик оценок экономической безопасности предприятия / И. В. Березина, Ю. С. Гиржева / Современной стиль управления. Сборник научных статей — 2016. — С.291–295.
  6. Белозеров И. П. Организационно-правовые основы обеспечения экономической безопасности предпринимательской деятельности / И. П. Белозеров // Вестник «Право». — 2016. — № 8. — С. 16–25.
  7. Богомолов В. А. Введение в специальность «Экономическая безопасность»: учебное пособие для студентов вузов, обучающихся по специальности «Экономическая безопасность» / Богомолов В. А. — Электрон. текстовые данные. — М.: ЮНИТИ-ДАНА, 2015. — 279 c.

Основные термины (генерируются автоматически): экономическая безопасность, экономическая безопасность предприятия, обеспечение безопасности, угроза, непрерывный процесс, основная проблема обеспечения, планирование действий, потенциальный ущерб, разработка методологии оценки состояния, успешное функционирование.

Стратегия и методы обеспечения кадровой безопасности предприятия

В настоящее время большинство предприятий сталкивается с различными проблемами и барьерами для осуществления основной деятельности. Персонал предприятия, как человеческий ресурс не только выявляет и предотвращает риски экономической безопасности, но и в некоторых случаях является ее основной угрозой.

Под экономической безопасностью предприятия понимают состояние хозяйственного субъекта, который при эффективности использования корпоративных ресурсов обеспечивает защиту и предотвращение от существующих опасностей и непредвиденных ситуаций, способствует достижению целей и решению задач в условиях конкуренции и повышенного риска [3, c. 29].

В системе экономической безопасности выделяют: финансовую, информационную, правовую, техническую и кадровую безопасность.

Обеспечение кадровой безопасности одна из важнейших задач экономической безопасности предприятия, направленная на выявление рисков и потенциальных угроз, оказывающих негативное воздействие на корпоративную безопасность предприятия связанных, в первую очередь, с персоналом предприятия и системой трудовых отношений в целом. Процесс обеспечения кадровой безопасности — это сбор и анализ информации, оценка и предотвращение нежелательных и неправомерных действий сотрудников в отношении компании, формирование требований к сотрудникам на основе полученных данных.

Значительное влияние на осуществление деятельности предприятия и уровень его безопасности оказывают как внешняя, так и внутренняя среда. Под внешними угрозами понимают факторы, возникающие за пределами предприятия и влияющие на его устойчивое положение [2, c. 12].

На кадровую безопасность также влияют и внутренние факторы, которые возникают непосредственно внутри предприятия. В основном, эти угрозы связаны с недобросовестными действиями сотрудников, нарушениями трудовой дисциплины, использованием ресурсов организации в личных целях, отсутствием контроля над действиями персонала и напрямую влияют на развитие и функционирование предприятия.

Так как кадровая безопасность, является элементом экономической безопасности любого предприятия, ее целью является безопасная работа с персоналом, установление трудовых отношений, формирование корпоративной этики и психологического климата внутри коллектива, обеспечивающих безубыточность и эффективность деятельности предприятия. Организация должна сформировать систему обеспечения кадровой безопасности, определить ее цели и задачи, в соответствии с которыми будет внедрен комплекс эффективных методов защиты от потенциальных угроз и рисков.

При формировании системы обеспечения кадровой безопасности решающим фактором является разработка стратегии кадровой безопасности организации. Она представляет собой совокупность приоритетных целей и управленческих решений, направленных на защиту организации от любых угроз, связанных с функционированием кадрового направления ее деятельности [1, с. 32]. Данная стратегия, как составная часть корпоративной стратегии экономической безопасности включает в себя ряд направлений деятельности предприятия при взаимодействии с персоналом, в результате выполнения которых риск возникновения угрозы кадровой безопасности будет минимизирован или предотвращен (рис. 1).

Важнейшей задачей в стратегии развития и совершенствования кадровой политике является обеспечение лояльности сотрудника. Кадровая и социальная политика предприятия, система мотивации и материального стимулирования создает благоприятную среду для трудовой деятельности персонала. Внедрение и совершенствование стратегии управления персоналом способствует повышению уровня кадровой безопасности предприятия. Именно удовлетворение основных нефинансовых потребностей сотрудника, определяет уровень удовлетворенности работодателям и работой в целом.

Рис. 1. Направления стратегии обеспечения кадровой безопасности предприятия

Для оптимизации данной составляющей экономической безопасности необходимо принимать соответствующие меры, так как непосредственно за всеми процессами стоят конкретные люди и именно от них зависит эффективность деятельности. Наиболее распространёнными методами обеспечения кадровой безопасности являются процедурные и интерактивные методы (рис. 2).

Рис. 2. Методы обеспечения кадровой безопасности предприятия

Данные методы по предотвращению и минимизации угроз со стороны собственных работников универсальны. Они подходят для сотрудников любого уровня, квалификации, не зависят от отдела и занимаемой должности и включают:

  • подбор и проверка потенциальных кандидатов, проверка наличия рекомендаций, выявление наиболее опытных и надежных работников;
  • внутренний контроль, своевременное устранение обстоятельств и угроз;
  • материальная мотивация, предоставление социальных льгот;
  • создание благоприятного эмоционального климата при взаимодействии между сотрудниками, уважительное отношение как со стороны персонала, так и самой компании;
  • введение системы наставничества, прохождение тренингов и различных обучений;
  • правильное и обоснованное отсеивание источников внешних и внутренних угроз о стороны сотрудников.

Только в совокупности всех мероприятий описанные методы могут дать не только положительный эффект по обеспечению кадровой безопасности, но и в какой-то степени предотвратить возможность распространения в интересах третьих лиц конфиденциальной информации предприятия.

Таким образом, для оптимизации данной составляющей экономической безопасности необходимо принимать соответствующие меры, так как непосредственно за всеми процессами стоят конкретные люди и именно от них зависит эффективность деятельности.

11 Ключевые элементы политики информационной безопасности

Поделитесь этой страницей

Политика информационной безопасности — это набор правил и указаний, определяющих, как активы и ресурсы информационных технологий (ИТ) должны использоваться, управляться и защищаться. Он применяется ко всем пользователям в организации или ее сетях, а также ко всей хранящейся в цифровом виде информации, находящейся под ее контролем. Политика информационной безопасности направлена ​​на устранение угроз и определяет стратегии и процедуры для снижения рисков ИТ-безопасности.

Инвестирование в разработку и внедрение политики информационной безопасности того стоит.

Существует много компонентов политики информационной безопасности. Основные элементы включают:

  • Роли и обязанности в области информационной безопасности
  • Минимальные меры безопасности
  • Последствия нарушения правил политики информационной безопасности

организация управляет, защищает и распространяет информацию.

Национальный институт науки и технологий (NIST)

Давайте приступим к изучению:

  • Что такое политика информационной безопасности?
  • Важность политики информационной безопасности
  • 11 Элементы политики информационной безопасности
  • Передовой опыт политики информационной безопасности
  • Серьезно отнеситесь к разработке политики информационной безопасности политика безопасности, оптимальная для операционных групп и пользователей. Политика также должна содержать руководство, необходимое для соблюдения нормативных требований — корпоративных, отраслевых и государственных.

    Политика информационной безопасности должна четко определять цели, объем и задачи общей программы кибербезопасности организации. Это создает прочную основу для политики и обеспечивает контекст для конкретных правил, которым должны следовать сотрудники.

    Несмотря на то, что в политиках информационной безопасности есть общие элементы, каждая политика должна отражать учет уникальных операционных аспектов и конкретных угроз, связанных с отраслью, регионом или организационной моделью, которые могут подвергать риску ИТ-ресурсы и данные. Например:

    • Отрасль:
      • Организации, связанные со здравоохранением, должны соответствовать строгим стандартам защиты данных защищенной медицинской информации (PHI), установленным HIPAA.
      • Производственные компании должны защищать и контролировать удаленные устройства Интернета вещей (IoT).
      • Медико-биологические организации должны соответствовать строгим требованиям в отношении электронных документов и подписей (раздел 21 CFR, часть 11).
    • Регион:
      • Местные нормативные акты
      • Неблагоприятные погодные условия — например, ураганы, торнадо
      • Физические угрозы, связанные с конфликтом
    • Организационная модель:
      • Удаленные офисы
      • Полевой персонал
      • Персонал, работающий по контракту

    угрозы, процессы и правила. Это имеет несколько преимуществ:

    • Демонстрирует, что организация считает информационную безопасность высоким приоритетом
    • Поддерживает протоколы безопасности в актуальном состоянии и готов к эффективному противодействию угрозам и выполнению требований соответствия
    • Обеспечивает точное руководство по устранению проблем, аварийному восстановлению и общему управлению безопасностью
    • Снижает риск снижения производительности, финансовых потерь и ущерба для репутации в случае инцидента безопасности

    Политика информационной безопасности помогает всем в организации понять ценность мер безопасности, которые вводит ИТ, а также направление, необходимое для соблюдения правил. В нем также излагаются существующие стратегии и шаги, которые необходимо предпринять для снижения уязвимости, отслеживания инцидентов и устранения угроз безопасности.

    Политика информационной безопасности содержит четкие инструкции по действиям в случае нарушения безопасности или аварии.

    Важные результаты политики информационной безопасности включают:

    Способствует обеспечению конфиденциальности, целостности и доступности данных
    Надежная политика стандартизирует процессы и правила, помогающие организациям защищать от угроз конфиденциальность, целостность и доступность данных.

    Снижает риск инцидентов безопасности
    Политика информационной безопасности описывает процедуры выявления, оценки и устранения уязвимостей и рисков безопасности. В нем также объясняется, как быстро реагировать, чтобы свести к минимуму ущерб в случае инцидента безопасности.

    Выполняет программы безопасности в организации
    Для обеспечения успешного выполнения программе безопасности необходима политика информационной безопасности, обеспечивающая основу для операционных процедур

    Предоставляет четкое изложение политики безопасности третьим сторонам
    Политика обобщает состояние безопасности организации и подробно описывает, как она защищает ИТ-активы и ресурсы. Это позволяет организациям быстро реагировать на запросы третьих лиц (например, клиентов, партнеров, аудиторов) о предоставлении этой информации.

    Помогает выполнять требования соответствия нормативным требованиям
    Процесс разработки политики информационной безопасности помогает организациям выявлять пробелы в протоколах безопасности относительно нормативных требований.

    Политика информационной безопасности должна быть достаточно всеобъемлющей, чтобы учитывать все аспекты безопасности. Он также должен быть доступен; все в организации должны быть в состоянии понять это.

    Стандартные политики информационной безопасности не рекомендуются, поскольку они неизбежно содержат пробелы, связанные с уникальными аспектами вашей организации. Структура информационной безопасности должна быть создана ИТ-отделом и одобрена высшим руководством.

    Надежная политика информационной безопасности включает следующие ключевые элементы:

    1. 1. Цель
    2. 2. Область применения
    3. 3. Сроки
    4. 4. Полномочия
    5. 5. Цели информационной безопасности
    6. 6. Требования соответствия
    7. 7. Основная часть — подробные процедуры безопасности, процессы и элементы управления в следующих областях:
      • Допустимая политика использования
      • Антивирусное управление
      • Резервное копирование и аварийное восстановление
      • Управление изменениями
      • Использование криптографии
      • Данные и классификация активов
      • Хранение данных
      • Поддержка данных и операции
      • Использование данных
      • Политики защиты электронной почты
      • Управление идентификацией и доступом
      • Ответ инцидента
      • Инсайдерская защита угроз
      • Ограничения в Интернете
      • Политика мобильных устройств
      • Безопасность сети
      • Протоколы пароля и учетных данных
      • Управление патчами
      • Безопасность персонала
      • Физическая и экологическая безопасность
      • Ransomaware Detection
      • Физическая и экологическая безопасность
      • Ransomaware Detection
      • Физическая и экологическая безопасность
      • Ransomware Detection
      • . расписание обновлений
      • Политика беспроводной сети и гостевого доступа
    8. 8. Принудительное применение
    9. 9. Обучение пользователей
    10. 10. Контакты
    11. 11. История версий

    Установлены лучшие практики для руководства политикой информационной безопасности с получением одобрения руководства. Внедрение и обеспечение соблюдения намного проще и эффективнее, когда политика пользуется поддержкой высшего руководства.

    Другие передовые методы разработки политики информационной безопасности включают:

    • Установить цели.
    • Определить все соответствующие правила безопасности — корпоративные, отраслевые и правительственные.
    • Настроить политика информационной безопасности.
    • Выровнять политику с потребностями организации.
    • Инвентарь все системы, процессы и данные.
    • Выявление рисков.
    • Оценка безопасности связанных с системами, данными и рабочими процессами.
    • Документ процедуры тщательно и четко.
    • Обзор процедуры тщательно, чтобы убедиться, что они точны и полны.
    • Обучить всех кто имеет доступ к данным или системам организации по правилам, которые изложены в политике информационной безопасности.
    • Обзор и регулярно обновлять политику.

    Хорошо разработанная политика информационной безопасности помогает повысить уровень безопасности организации за счет повышения осведомленности. В нем также содержатся рекомендации, необходимые для включения всех пользователей в базовую готовность к обеспечению безопасности, что в конечном итоге защитит данные и системы вашей организации. Инвестирование в разработку и внедрение политики информационной безопасности стоит затраченных усилий.

    Специалисты Egnyte готовы ответить на ваши вопросы. Уже более десяти лет Egnyte помогла более чем 16 000 клиентов с миллионами клиентов по всему миру.

    Последнее обновление: 12 июля 2021 г.

    Поделитесь этой страницей

    Начните работу с Egnyte.

    Запросить демонстрацию

    10 обязательных политик ИТ-безопасности для каждой организации

    Политика Let’s Talk

    Политики ИТ-безопасности играют ключевую роль в успехе любой организации. Они являются основой всех процедур и должны соответствовать основной миссии бизнеса и приверженности безопасности. Они определяют, какой персонал несет ответственность за какую информацию внутри компании. Политики ИТ-безопасности формируют готовность организаций и реагирование на инциденты безопасности. Информационная безопасность опирается на хорошо документированные политики, которые признаны и соблюдаются всеми членами организации.

    По данным Института SANS, политика безопасности организации устанавливает стандарт того, как критически важная бизнес-информация и системы будут защищены как от внутренних, так и от внешних угроз. Важно, чтобы эти политики и процедуры обновлялись в связи с их ежегодной оценкой рисков безопасности.

    Наличие комплексных политик безопасности дает компании ряд преимуществ. Политики могут помочь улучшить общее состояние безопасности организации. В компании происходит меньше инцидентов безопасности, и сотрудники могут ссылаться на политики реагирования на эти инциденты. Наличие комплексной политики ИТ-безопасности также помогает подготовить компании к аудиту, который обеспечивает надлежащее соблюдение нормативных требований. Кроме того, это повышает ответственность как пользователей, так и заинтересованных сторон внутри организации, что может быть полезно как для компании в отношении юридических, так и деловых аспектов.


    Что входит в полис?

    Политики ИТ-безопасности всегда должны включать цель, область действия, политику и процедуры, если они не указаны в отдельном документе. Они должны излагать правила поведения пользователей и ИТ-персонала, а также определять последствия их несоблюдения. Политики ИТ-безопасности должны определять основные риски в организации и давать рекомендации по снижению этих рисков. Политики должны быть настроены на основе ценных активов организации и самых больших рисков.

    Наиболее важные политики применяются ко всем пользователям информационных систем организации. Эти политики защищают конфиденциальность, целостность и доступность систем и данных. Хотя политики могут быть изменены, сокращены или объединены с другими, следующие политики должны быть реализованы во всех организациях.

     

    Итак, какие политики мне нужны?
    Политика допустимого использования

    Политика допустимого использования (AUP) описывает допустимое использование компьютерного оборудования. Он используется в деловых целях для обслуживания интересов компании, клиентов и заказчиков в ходе обычной деятельности. AUP определяет ненадлежащее использование информационных систем и риск, который это может вызвать. Ненадлежащее поведение может поставить под угрозу сетевую систему и привести к юридическим последствиям. Примером ненадлежащего использования является случай, когда сотрудник получает доступ к данным через компьютер компании по причинам, отличным от выполнения своей работы. AUP включает в себя общее использование, надлежащее поведение при работе с частной или конфиденциальной информацией и недопустимое использование.

    Политика осведомленности и обучения безопасности

    Обучение по вопросам безопасности должно быть проведено для всех сотрудников, чтобы они могли должным образом выполнять свои функции, обеспечивая при этом надлежащую защиту информации компании. По окончании обучения сотрудники должны подписать соглашение о конфиденциальности и предоставить подтверждение о прохождении обучения. Руководству следует разработать программу обучения для ознакомления пользователей с политикой безопасности организации.

    Цели политики информирования о безопасности и обучения должны включать обучение политике безопасности и помочь понять, как политика защищает бизнес, сотрудников и клиентов. Политика также должна выделять персонал, ответственный за создание и поддержание обучения. Этот персонал должен научиться распознавать изменения в технологии, влияющие на безопасность и организацию.

    Политика, относящаяся ко всем пользователям, должна включать пункты по обслуживанию рабочих станций, политике доступа к электронной почте и Интернету, а также ответственности сотрудников за компьютерную безопасность. Ключевые части обучения по вопросам безопасности включают определение тактики социальной инженерии, ограничение времени простоя системы и защиту критически важной бизнес-информации.

    Политика управления изменениями

    Политика управления изменениями организации обеспечивает управление, утверждение и отслеживание изменений в информационной системе. Организация должна убедиться, что все изменения вносятся продуманно, что сводит к минимуму негативное влияние на услуги и клиентов. Политика управления изменениями включает методы планирования, оценки, проверки, утверждения, коммуникации, внедрения, документирования и проверки после изменения. Управление изменениями опирается на точную и своевременную документацию, постоянный надзор и формальный и определенный процесс утверждения. Политика управления изменениями распространяется на SDLC, оборудование, программное обеспечение, базу данных и изменения приложений в конфигурациях системы, включая перемещение, добавление и удаление.

    Политика реагирования на инциденты

    Политика реагирования на инциденты является частью Плана обеспечения непрерывности бизнеса организации. В нем описывается реакция организации на инцидент информационной безопасности. Политика реагирования на инциденты должна быть задокументирована отдельно от плана аварийного восстановления, так как она сосредоточена на процедурах после утечки данных или другого инцидента безопасности.

    Политика должна включать информацию о группе реагирования на инциденты, персонале, ответственном за тестирование политики, роли каждого члена команды, а также действиях, средствах и ресурсах, используемых для выявления и восстановления скомпрометированных данных. Этапы реагирования на инцидент включают:

    • Подготовка
    • Идентификация
    • Сдерживание
    • Искоренение
    • Восстановление
    • После инцидента

    Политика реагирования на инциденты также должна определять группу реагирования на инциденты и информацию о системе, такую ​​как схемы сети и потоков данных, инвентаризация оборудования и данные журналов. Процедуры обработки инцидентов должны быть подробно описаны в политике. Одним из наиболее важных аспектов этой политики является информирование пользователей о том, кому следует сообщать в случае утечки данных или другого инцидента безопасности. Руководство должно всегда оценивать и контролировать производительность, обеспечивать сотрудничество между персоналом и регулярно тестировать план реагирования на инциденты.

    Политика удаленного доступа

    Удаленный доступ предполагает подключение к сети компании с любого хоста. Политика удаленного доступа разработана таким образом, чтобы свести к минимуму потенциальное воздействие ущерба, который может возникнуть в результате несанкционированного использования ресурсов. Эта политика должна быть адресована всем сотрудникам и должна включать положения об отправке и получении электронных писем и ресурсов интрасети. Политика также должна включать требования к доступу к VPN и шифрованию дисков.

    Требования к удаленному доступу должны быть аналогичны требованиям к доступу на месте. Например, сотрудники не должны заниматься незаконными действиями при удаленном доступе, а также не должны позволять неавторизованным пользователям использовать свое рабочее устройство. Политика также должна обеспечивать использование надежных паролей, выход из системы, когда они оставляют свое устройство в покое, и воздержание от подключения к другим сетям, когда они подключены к внутренней сети. Они также должны требовать от пользователей убедиться, что они используют самое последнее программное обеспечение для защиты от вредоносных программ и операционные системы.

    Политика управления поставщиками

    Политика управления поставщиками проверяет способность поставщика соответствовать требованиям и обеспечивать информационную безопасность. Политика должна касаться процесса приобретения поставщиков и того, как управлять всеми поставщиками компании. Организация должна оценить способность делового партнера создавать, получать, поддерживать или передавать конфиденциальные данные от имени компании. Компания должна быть уверена, что сторонний поставщик надлежащим образом защитит предоставленную ей информацию. Крайне важно, чтобы организация хранила список своих поставщиков, разделенный по уровням на основе рисков, контактов поставщиков и правовых последствий в случае утечки данных. Еще одним необходимым шагом является создание внутренних планов реагирования для каждого поставщика в случае сбоя.

    При выборе поставщика учитывайте следующие моменты:

    • Соответствуют ли они SOC 2? Какие еще рамки они соблюдают?
    • Как выглядит их SLA?
    • Проходят ли они ежегодную оценку рисков безопасности?
    • Какие действия они предпримут, если их продукт выйдет из строя?
    • Какой доступ к нашей сети им понадобится?

    Политика должна охватывать процедуры выбора поставщика, управления рисками, должной осмотрительности, договорных стандартов, отчетности и постоянного мониторинга. Кроме того, политика должна учитывать взаимосвязь с другими областями практики управления рисками и управления соблюдением требований.

    Политика создания и управления паролями

    Политика создания и управления паролями содержит рекомендации по разработке, внедрению и пересмотру документированного процесса надлежащего создания, изменения и защиты надежных и безопасных паролей, используемых для проверки личности пользователей и получения доступа к системам компании. или информация. Политика должна касаться обучения и понимания того, почему так важно выбирать надежный пароль. Он должен включать правила смены временных паролей и риски повторного использования старых паролей.

    Политика также должна включать особые требования к сложности и длине пароля. Он должен информировать пользователей о рисках, используя простое слово или включая личную информацию в пароль. Политика также должна определять любые исключения, такие как приложения или другие информационные системы, которые используют другие требования к паролю. В нем должны быть упомянуты выходы из системы с паролем и максимальное количество повторных попыток, а также описаны процедуры регистрации всех неудачных попыток входа в систему.

    Политика сетевой безопасности

    Полная политика сетевой безопасности обеспечивает конфиденциальность, целостность и доступность данных в системах компании, следуя определенной процедуре периодической проверки информационной системы и сетевой активности. Политика гарантирует наличие в системах соответствующего оборудования, программного обеспечения или процедурных механизмов аудита. События аудита включают неудачные попытки входа в систему, запуск или закрытие информации, а также использование привилегированных учетных записей. Другие элементы журнала включают аномалии в брандмауэрах, активность маршрутизаторов и коммутаторов, а также устройства, добавленные или удаленные из сети. Организации должны регистрировать сведения об активности, такие как дата, время и происхождение активности.

    В политике должны быть указаны применимые действия, предпринятые во время проверяемого события, и кто за что отвечает. Например, ИТ-отдел устранит проблему, а затем сообщит об этом ISO. Этот процесс должен быть четко определен в политике.

    Политика сетевой безопасности может разветвляться на другие политики в зависимости от инфраструктуры компании. Дополнительные политики могут включать политику базовых требований Bluetooth, политику безопасности маршрутизатора и коммутатора, а также политику и стандарт беспроводной связи. Все эти политики должны включать правила и поведение при доступе к сети.

    Авторизация доступа, изменение и управление доступом к удостоверениям

    Использование авторизации доступа требует от организаций реализации принципа наименьших привилегий (PoLP). Это идея о том, что пользователям и системам следует предоставлять доступ только к той информации, которая необходима для выполнения их работы. Организации следует разработать и задокументировать процесс установления, документирования, проверки и изменения доступа к системам и конфиденциальной информации. В этом процессе обычно участвуют HR и ИТ, которые предоставляют доступ при приеме на работу и увольнении. Доступ должен предоставляться на основе действительной авторизации доступа, предполагаемого использования системы и других атрибутов, требуемых организациями. Карта авторизации и модификации доступа должна быть создана в соответствии с политикой авторизации доступа и политикой управления паролями. Отдел кадров и ИТ должны учитывать членство в группах, особые привилегии, временные или гостевые учетные записи и общих пользователей. Эти политики и процедуры необходимо регулярно обновлять, поскольку они имеют решающее значение для конфиденциальности данных.

    Политика хранения данных

    Политика хранения данных определяет типы данных, которые компания должна хранить, и как долго. В политике также указано, как данные будут храниться и уничтожаться. Эта политика поможет удалить устаревшие и дублированные данные и создать больше места для хранения. Политика хранения данных также поможет организовать данные, чтобы их можно было использовать позже. Типы данных включают документы, записи клиентов, информацию о транзакциях, сообщения электронной почты и контракты. Эта политика важна для компаний, которые хранят конфиденциальную информацию. Организации должны ссылаться на нормативные стандарты для своих требований к хранению данных.

    Другие важные политики для рассмотрения

    Итак, вы внедрили 10 наиболее важных политик, но мы настоятельно рекомендуем вам просмотреть еще несколько важных политик и добавить их в свой набор политик.

    • Политика и процедуры управления мобильными устройствами (MDM)
    • Использование собственного устройства (BYOD)
    • Политика шифрования и дешифрования
    • Политики защиты от спама
    • Набор кадровых политик
    • Политика обслуживания системы
    • Политика управления уязвимостями

     

    Советы по составлению эффективных политик
    Написание политик может оказаться непростой задачей. Вот несколько советов, которые помогут вам начать работу:
    1. Проведите оценку рисков безопасности, чтобы определить все критически важные активы, уязвимости и элементы управления в вашей компании.
Оставить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *