Варавка Антон Витальевич

Факультет компьютерных наук и технологий

Кафедра компьютерной инженерии

Специальность: «Компьютерные системы и сети»

Тема магистерской работы: «Разработка и исследование алгоритма

контроля передачи данных от внешних устройств по протоколу USB»

Научный руководитель: к.т.н., доцент Цололо Сергей Алексеевич

Как разработать корпоративную политику информационной безопасности?

Безопасность корпоративной информации имеет решающее значение для того, чтобы оставаться конкурентоспособным, а также для обеспечения и соответствия установленным правительством правил конфиденциальности. Информация должна быть защищена от конкурентов, от возможных хакерских атак, от сотрудников, которые не имеют доступа к важной корпоративной информации. При разработке корпоративной политики информационной безопасности необходимо учитывать особенности потоков данных компании, особенности информационного доступа различных групп ее сотрудников, а также определить необходимую структуру для обеспечения безопасности корпоративной инфраструктуры.

1. Исследование правовых требований к корпоративной безопасности. Если необходимо обеспечить информационную безопасность частной корпорации, следует обратить внимание на правила конфиденциальности данных о клиентах, информации о сотрудниках и финансовых операций с данными, таких, например, как номера кредитных карт. Если необходимо обеспечить информационную безопасность открытого акционерного общества, следует также получить консультации по проведению операций с ценными бумагами на бирже, придерживаться правил и законов Сарбейнса-Оксли, для того, чтобы установить минимальный уровень безопасности данных, которому должна соответствовать политика информационной безопасности.

2. Установить различные типы доступа к информации для групп сотрудников и основного персонала. Адресовать тех, кто имеет доступ к финансовым данным, файлам сотрудников, данным о клиентах и конфиденциально важным данным. Рассмотрим, почему каждой группе сотрудников необходимо устанавливать отдельный тип доступа к информации, какие обязательства должны быть сопоставлены каждой группе. Рассмотрим служебные требования или страховой варианты уменьшения финансовых рисков при возникновении потенциальных угроз безопасности.

3. Разработка и создание политики информационной безопасности. Схемы ролей и обязанностей сотрудников, общего типа защищенности информации, а также всех безопасных разрешенных операций. Этот документ должен предусматривать методы обеспечения безопасности и физической защиты файлов, документов и корпоративной информации. Политика безопасности также должна устанавливать допустимые типы обработки информации, в том числе безопасные механизмы отчетности и проверки соблюдения допустимых правил, а также определить, кто несет ответственность за поддержание политики безопасности.

4. Подготовить документацию, разработать план информационной безопасности. Расширить основной план обеспечения безопасности информации, добавив в него обнаружение сетевых вторжений, установить безопасные настройки идентификации пользователя на основе пароля, и обеспечить защищенный доступ к базам данных. Создать базовую модель технологической безопасности вашей корпоративной информации и аппаратных средств, программного обеспечения, а также технологическую базу, которые необходимы для достижения безопасного инфраструктуры.

5. Обсуждайте политику безопасности с менеджментом, руководством и посредниками. Вносите изменения в политику безопасности, проводите семинары с сотрудниками для обеспечения соблюдения политики. Регулярно проверяйте политику безопасности, изменяйте ее в результате новых угроз, изменений в законодательстве, а также по мере развития информационных технологий.