Как организовать информационную безопасность организации?

Здравствуйте!

Уважаемые, поделитесь пожалуйста информацией об информационной безопасности компании, работающей в сфере услуг (примерно 10-20 компьютеров). Интересуют цели, задачи и всё, что связано с отделом информационной безопастности.

Буду рад любой информации о защите сети и организации хранения данных на собственном сервере, защита данных от утечки и доступа извне.

P.S. Единственное, что я знаю от знакомых, это примитивное «выдрать из системников дисководы, USB-порты, отключить интернет, поставить антивирус»

P.P.S. Ознакомился с этим документом, но хотелось бы получить более доступную информацию от тех, кто с этим связан.

Заранее спасибо!
  • Вопрос задан
  • 4733 просмотра
Решения вопроса 4
loader777
@loader777
Python/django разработчик
Предлагаю пойти шире:
- для начала надо понять что защищать: информацию - персональные данные, коммерческая тайна, инфраструктуру. Тут начать лучше с базовых федеральных законов - о ПДн, о КТ, об информации.
- далее можно обратиться к ГОСТам и требованиям регуляторов (ФСТЭК, Роскомнадзор) - составите общее представление о ИБ и того что от Вас хотят гос органы. Из стандартов почерпнете лучшие практики (серия 27001, NIST SP 800), документы ФСТЭК (в отношении ПДн) - приказ 21, модель угроз, Постановление правительства 1119.
- ну а дальше смотрите что для Вас актуально и начинаете закрывать техническими средствами и организационными мерами.
Сумбурно получилось - но общее представление думаю донес.
Ответ написан
bugaga0112358
@bugaga0112358
Я бы еще посоветовал вам смотреть не только на то, что от вас требуют, но и на то, что вам нужно самим.
Без понимания задач бизнеса вы вряд ли удачно примените рекомендации стандартов.
Следует помнить, что ИБ это не только обеспечение конфиденциальности. ИБ обеспечивает конфиденциальность, целостность и доступность информации.
Прежде всего необходимо идентифицировать информационные системы, которые у вас есть. Например: Active Directory, корпоративная почта, 1С, файлопомойка и т.п.
Затем необходимо сформировать требования конфиденциальности, целостности и доступности для данных систем. То есть:
1) конфиденциальность - что вы готовы отдать конкурентам сразу, что можете отдать но не хочется, и что вы ну никак не можете отдать; сюда же входят требования законодательства (за что на вас не наедут, за что вас по головке не погладят, за что вас засудят);
2) целостность - для каких данных точность и актуальность не важны/желательны/крайне важны;
3) доступность - что вам сделают по каждой системе за простои минута/день/месяц (соответственно, жизненно необходимо/необходимо/неважно); сюда входят не только файловеры, но и планы восстановления.

И от этого плясать. Желательно все проведенные процессы документировать, правила их проведения оформлять в виде внутренних документов компании.

В результате вы поймете, что вам нужно защищать и как. Для кого-то более важна доступность, для кого-то целостность, для кого-то конфиденциальность. Для закрытия требований выбираете меры (антивирус, пароли, резервные сервера и т.п.) и смотрите, насколько они закрывают требования, и насколько минимизируют убытки/простои.
Ответ написан
@ash_kgd
Обеспечение failover кластеров, стэк из коммутаторов, VPN, VipNet HW, запрет загрузки с внешних носителей путем установки ПАК и не только, еще пару десятков НПА, сертифицированные специалисты в штате, обеспечение политики безопасности предприятия в виде документа.. Чтобы ответить Вам, предлагаю более конкретно сформулировать вопросы..
Какие лицензии имеются в наличии в Вашей организации?
Ответ написан
dintsec
@dintsec
Маркетолог, копирайтер
Это конечно здорово, но стоит больших денег. У вас предприятие 10-20 компов.
Что необходимо:
1) либо сисадмин, либо приглашенный специалист проводит аудит информационной безопасности на предмет "утечек" информации. Дает четкие указания по устранению "брешей", либо устраняет их. Помним об инструктаже сотрудников о защите против социальных инженеров. Достаточно рассказать кто такие, как действуют. В помощь книга Кевина Митника "Искусство Обмана"
2) установка mydlp (почитать), либо ideco ics (обзор)
Аргументация:
1) если у вас не крупный бизнес, то приведение всего оборудования к соответствию закона о "персональных данных" иногда можно не делать ибо накладно.
2) 100%-ная защита от утечки информации НЕ МОЖЕТ БЫТЬ ГАРАНТИРОВАНА.
3) если против вас работают профессионалы "под заказ"-ни какие меры защиты не спасут
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы