Политики безопасности компании при работе в Интернет. Сергей Александрович Петренко

основных принципов обеспечения информационной безопасности компании позволяет простым и понятным языком, не вдаваясь в технические детали, сформулировать основные ценности компании и необходимость их защиты.

       классификация и категорирование информационных ресурсов;

      В основе любой политики безопасности лежит определение ценности информационных активов компании. Классификация и категорирование информационных ресурсов компании позволяет быстро и качественно принять решение о необходимой степени защищенности этих ресурсов.

       анализ информационных потоков;

      Цель анализа информационных потоков – определить все критичные точки обработки данных компании. Например, в системе обработки транзакций данные могут перемещаться через Web-браузеры, серверы данных и межсетевые экраны и могут храниться в базах данных, на магнитных носителях и на бумаге. Отслеживая информационные потоки, можно определить состав и структуру соответствующих средств защиты информации.

       определение основных угроз и модели нарушителя;

      Разработка модели угроз и модели нарушителя позволяет решить, какие типы угроз существуют в информационных системах компании, какова вероятность реализации угроз и каковы их последствия, а также стоимость восстановления.

       определение сервисов безопасности;

      Определение сервисов безопасности компании, например журналирования, авторизации, идентификации, аутентификации и пр., позволяет правильно выработать политику безопасности.

       создание шаблона политики безопасности;

      Структура политики безопасности может быть различна. Этот шаг используется для четкого определения разделов политики безопасности компании.

       определение области действия политики безопасности.