Detective agency

Безопасность бизнеса

Безопасность бизнеса. Концепция безопасности бизнеса включает три основных составляющих:

Экономическая безопасность – заключаться в оценке, анализе и управлении всеми финансовыми рисками, и как правило включает в себя работу по следующим направлениям (приоритеты направления работы меняются исходя из политической, экономической ситуации в целом и особенности бизнеса) выделяют следящие:

Информационная безопасность бизнеса (заключаться в категорировании информации и созданию комплекса технических и тактико – организационных мероприятий по защите критической информации), организация работы включает в себя следующие этапы:

1. Встреча с руководителем объекта проверки. Общие состояние информационной безопасности на объекте, отношение руководства к ИБ проблемы, инциденты.

2. Проверка и ознакомление с существующими документами ИБ.

3. Наличие критической информации (КИ).
– наличие информации, требующей зашиты конфиденциальности, целостности, доступности;
– проведено ли категорирование КИ
– проводиться ли маркирование КИ
– распределение такой информации на объекте, между пользователями;
– проведена ли инвентаризация критической информации;
– закреплен ли ответственный за каждый информационный актив.

4. Вопросы ИБ в кадровой работе.
– проводиться ли проверка сотрудников до их трудоустройства и по каким критериям;
– существует ли процедура допуска к КИ;
– процедура подписания сотрудником соглашения о неразглашении конфиденциальной информации и коммерческой тайны, ознакомление его с перечнем такой информации;
– процедура получения пользователями корпоративной сети получают начальных реквизитов доступа;
– предусмотрены ли дисциплинарные меры за нарушение ИБ;
– предусмотрена ли процедура увольнения ключевых сотрудников. Владеющих критической информацией компании;
– как происходит изъятие информационных активов и идентификаторов доступа у сотрудников при увольнении.

5. Вопросы обучения персонала мерам ИБ.
6. Физическая безопасность
– создан ли периметр физической безопасности
– проведено ли категорирование помещений по виду обрабатываемой информации, сформулированы ли требования к таким помещениям, как они выполняються, как производиться вскрытие и сдача помещений и т. д.
– как проводиться допуск сотрудников на объект, обращения с системой доступа и ее идентификаторами;
– безопасность серверной и допуск туда.

7. Безопасность оборудования
– размещение оборудования, ответственного за обработку КИ
– электропитание;
– противопожарная безопасность
– безопасность коммуникаций
– порядок ввода оборудования в эксплуатацию и внесение изменений в существующую конфигурацию оборудования и систем.

8. Работа с контрагентами и аутсорсингом.
– обязанности контрагентов по обеспечению ИБ;
– наличие в аутсорсинге систем и оборудования, ответственного за обработку КИ;

9. Антивирусная защита.
10. Резервирование КИ
11. Обращение с материальными носителями КИ.
– требования к бумажным, электронным и др. носителям КИ
– порядок их создания, учета, перемещения, транспортирования, хранения, уничтожения и т.д.
– ведение конфиденциального деловодства.

12. Ведение электронных журналов аудита информационной безопасности.
• Время всех событий;
• Результаты идентификации и аутентификации пользователей в системе;
• Имя терминала, с которого зашел пользователь;
• Доступ к файла, вид доступа, вывод информации на съемные носители или на печать;
• Факты выдачи и изъятия доступу пользователей к ресурсам корпоративной сети.

13. Управление доступом пользователей к информационным ресурсам
– существует ли матрица доступа для каждого должностного лица объекта аудита;
– кто выдает и изымает права доступа, Как это санкционируется, разработана ли документальная процедура
– отвечает ли доступ пользователей к ресурсам требованию: каждый пользователь имеет доступ только к той информации, которая необходима для выполнения его служебных обязанностей и соответствует его уровню доступа.
– как проводиться ограничение доступа пользователей в нестандартных ситуациях (выявление нелояльности пользователя к компании(совершение им грубого нарушения), возможное намерение принести пользователем вред целостности и доступности КИ, возможное копирование в своих целях конфиденциальную информацию и т.д.)

14. Порядок обращения с идентификаторами доступа.
– пароли
– материальные идентификаторы доступа

15. Внешний периметр корпоративной сети
– доступ извне к корпоративным ресурсам (VPN, e-mail, FTP, HTTP, RDP), необходимость такого доступа, его защищенность;
– необходимость наличия у сотрудника права доступа за внешний периметр (Internet, разрешенные порты и протоколы)
– наличие и конфигурация оборудования по защите внешнего периметра

16. Корпоративная электронная почта
17. Настройки безопасности операционной системы.
18. Безопасность web-сайтов.
19. Пользователи мобильных компьютеров и удаленная работа
– необходимость, меры безопасности

20. Требования по существующим системам обработки информации на объекте аудита, например таким как:
– клиент-банк;
– 1с
– CRM
– другие приложения, необходимые для обеспечения бизнес-процессов объекта аудита.

21. Порядок резервирования КИ
22. Лицензирование программного обеспечения.
23. Инциденты ИБ.

Кадровая безопасность заключается в подборе и ведению сотрудников бизнеса, и включат в себя:

– проверка потенциальных кандидатов на получение работы в компании, достоверности заявленных ними в резюме сведений, психологические тестирования, участие в собеседованиях;

– проверка всех возможных рисков в работе рядовых и ключевых сотрудников.

– организация мероприятий по порядку увольнения рядовых и ключевых сотрудников и защите интеллектуальной собственности.

Exit mobile version