Обеспечение информационной безопасности активов любой организации является крайне важной задачей для любого предпринимателя, ведь с развитием информатизации и автоматизации, большая часть процессов протекает с использованием информационных систем. Компрометация информационной инфраструктуры несомненно приведет к экономическим потерям, причем зачастую довольно серьезным.
В данной статье мы рассмотрим минимальный набор обязательных мероприятий, для обеспечения информационной безопасности предприятия.
- Проведение инструктажей
Большая часть нарушителей информационной безопасности – это внутренние нарушители, работники организации. Причем часть из них совершает нарушения неумышленно. Чтобы избежать этого, проводите инструктажи для всех вновь устраивающихся работников, кроме того, ежегодно организовывайте обучения, одного-двух часов в год вполне достаточно.
- Контроль съемных носителей.
Без комментариев. Внешние носители - это способ как занести вредоносный код в вашу сеть, так и отличный канал утечки конфиденциальных данных. Для контроля используйте специализированные средства.
- Безопасность на уровне корпоративной сети.
Межсетевое экранирование, защита от сетевых угроз. Безопасное конфигурирование маршрутизаторов и коммутаторов. Система предотвращения вторжений. Тестирование механизмов защиты. Это из обязательного.
- Система мониторинга событий безопасности.
Используйте технические средства или мониторьте журналы безопасности серверов вручную. Без этого попытки несанкционированного доступа не обнаружить, а меж тем это очень важно.
- Анализ рисков
Ежегодно пересматривайте актуальные риски информационной безопасности. Для каждого актива выделяйте уязвимости и соответствующие им угрозы. После пересмотра рисков старайтесь выделить нужную сумму на приобретение средств защиты информации и оказание услуг по информационной безопасности.
- Обработка инцидентов
Каждое нарушение в сфере ИБ должно наказываться не слабее, чем любой дисциплинарный проступок, иначе людей не переучить. Разработайте регламент управления инцидентами и действуйте в соответствии с ним.
- Антивирусная защита.
Организация, не практикующая использование качественных средств антивирусной защиты информации – это что-то на грани фантастики. Пренебрегать данным классом СЗИ строго запрещено.
Более подробно об антивирусной защите малого предприятия читайте здесь.
- Управление правами доступа.
Помните, что в любой информационной системе пользователю можно делать ровно столько, сколько положено ему по должностным обязанностям. Ни на йоту больше. Иначе будет коллапс.
- Инфрастуктура в защищенном исполнении.
Хоть администратор информационной безопасности – это отдельный человек с отдельными обязанностями, все остальные администраторы, участвующие в IT процессах, также должны иметь знания по безопасности. Это касается и инфраструктурщиков, администраторов ПО, и служб поддержки пользователей, и т.д. Вся ИТ инфраструктура должна проектироваться и исполняться этими людьми исключительно исходя из принципов защиты информации и информационной безопасности.
- Единая архитектура каждого ПК
Разработайте типовую схему настройки каждого ПК, перечень разрешенного ПО и настроек прикладных программ. Позволяйте пользователям и ИТ администраторам выходить за рамки данной схемы.
Получите бесплатную консультацию