Внутренние угрозы. ИБ должна быть составной частью бизнес-процессов организации, охватывая всех сотрудников, независимо от их служебного положения. По статистике, только 20% проблем ИБ можно решить технически, остальные 80% - проблемы, связанные с персоналом компании, который намеренно или случайно совершает ошибки, ведущие к существенным потерям в бизнесе.
Обучение персонала предусматривает решение следующих вопросов: контроль доступа к корпоративным данным при найме и увольнении сотрудников, проведение регулярного обучения сотрудников установленным правилам ИБ и ознакомление с предусмотренными мерами ответственности за их нарушение.
В область эффективного менеджмента входят такие вопросы операционной безопасности, как разграничение полномочий и обеспечение функциональной взаимозаменяемости сотрудников. Операционная безопасность является объектом пристального внимания сотрудников, отвечающих за ИБ, а также внешних и внутренних аудиторов и других регулирующих организаций. Объясняется это тем, что операции, проводимые персоналом компании, должны соответствовать определенным принципам и быть прозрачными для проверок на предмет отсутствия мошенничества, преступного сговора, модификации платежных документов, разграничения функций ввода и подтверждения правильности введенной информации.
Четвертый уровень документов по обеспечению ИБ составляют документы, содержащие записи о результатах реализации деятельности по обеспечению ИБ, регламентированной документами верхних уровней. Свидетельства выполненной деятельности совместно с документами более высоких уровней иерархии могут служить документированным доказательством реализации требований ИБ при проведении внутреннего контроля и внешнего аудита ИБ организации БС РФ.
К этой группе документов относятся, например:
– реестры и описи (например, опись информационных активов организации БС РФ);
– регистрационные журналы, в том числе журналы регистрации инцидентов;
– протоколы (например, протокол проведения испытаний);
– листы ознакомления;
– обязательства (например, обязательства о неразглашении);
– акты;
– договоры;
– отчеты.
Наличие документов организации БС РФ, содержащих свидетельства выполненной деятельности по обеспечению ИБ, определяется требованиями, зафиксированными во внутренних документах по обеспечению ИБ верхних уровней иерархии.
Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, могут быть представлены как в электронной форме, так и на бумажном носителе.
Рекомендуется по возможности дублировать документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, представленные в электронной форме, на бумажный носитель.
Должно обеспечиваться архивное хранение документов, содержащих свидетельства выполненной деятельности по обеспечению ИБ. Время хранения может определяться как требованиями законодательных актов Российской Федерации и требованиями Банка России, так и требованиями самой организации БС РФ.
Итак, мы разработали политику безопасности, воплотили в жизнь ее положения. Как теперь оценить ИБ фирмы? может быть, все усилия потрачены впустую? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги. Известны, по крайней мере, два подхода к оценке.
Первый – оценка безопасности на качественном уровне. Эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. Недостаток такого подхода – его субъективизм. Хотелось бы иметь действительно независимую оценку ИБ. Причем было бы неплохо, чтобы эту количественную, оценку признавали и другие фирмы – ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.
Другое по теме:
Цели деятельности и функции Центрального банка Российской Федерации
Центральный банк РФ (Банк России) является главным банком Российской Федерации. Он создан и действует на основании Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (в ред. от 10. 01. 03)[СЗ РФ. 2002. № 28. Ст. 2790; 2003. № 2. Ст. 157.], в соо ...
Корпоративные долговые ценные бумаги
Корпоративный сектор начал выпускать облигации в 1992 году после принятия закона «о Ценных бумагах и биржах», который ослабил критерии для выпуска корпоративных облигаций. Структура таких облигаций включает: Облигации с твердой процентной ставкой Облигации с плавающей процентной ставкой (
FRN
) Амо ...
Роль агентства по ипотечному жилищному кредитованию и перспективы его развития
В России на сегодняшний день развитие ипотечного кредитования происходит по двум направлениям. Первое – централизованное внедрение схем ипотеки государством. Вторым направлением развития ипотечного кредитования является разработка и внедрение разнообразных моделей в регионах РФ. Формирование госуда ...