Axborot xavfsizligi sohasida ishlarni yo'lga qo'yish rejasi
Agar siz global miqyosda qarasangiz, axborot xavfsizligi sohasida ma'lum bir naqsh kuzatilishi mumkinligini ko'rishingiz mumkin: axborot xavfsizligiga e'tibor ko'p jihatdan kompaniya faoliyatiga bog'liq. Masalan, davlat yoki bank sektorida yanada qattiqroq talablar qo'yiladi, shuning uchun xodimlarni o'qitishga ko'proq e'tibor qaratiladi, ya'ni ma'lumotlar bilan ishlash madaniyati yanada rivojlangan. Biroq, bugungi kunda hamma bu muammoga e'tibor qaratishi kerak.
Shunday qilib, axborot xavfsizligi sohasida ishingizni yo'lga qo'yishga yordam beradigan bir necha amaliy qadamlar:
1-qadam... Kompaniyaning asosiy tamoyillari, axborot xavfsizligini boshqarish sohasidagi maqsad va vazifalarni o'z ichiga olgan umumiy axborot xavfsizligi siyosatini ishlab chiqish va amalga oshirish.
2-qadam... Tasniflash siyosati va maxfiylik darajalarini kiriting.
Bunday holda, nafaqat xodim 24 dan 7 gacha kirish huquqiga ega bo'lgan hujjatni yozish, balki turli xil o'quv tadbirlarini o'tkazish, kiritilgan o'zgarishlar haqida gapirish kerak. Qoidaga rioya qiling: oldindan ogohlantirilgan - qurollangan. Kompaniya doimiy ravishda ushbu yo'nalishda ishlasin.
3-qadam... Proaktiv yondashuvni ishlab chiqing.
Bu tibbiyotda profilaktika kabi. Qabul qiling, beparvo qilingan kasallikni davolashdan ko'ra profilaktik tekshiruvdan o'tish ancha arzon va osonroq. Masalan, bizning kompaniyamizda proaktiv yondashuv quyidagicha ishlaydi: tijorat loyihalarida ma'lumotlar bilan ishlash uchun biz loyihalarda axborot xavfsizligini boshqarish standartini ishlab chiqdik, unda ma'lum darajadagi etuklikni ta'minlash uchun zarur bo'lgan minimal axborot xavfsizligi talablari mavjud. tijorat loyihasida axborot xavfsizligi jarayonlari. U xavfsizlikni boshqarish jarayonida ma'lum darajadagi etuklikni saqlab qolish uchun nima qilish kerakligini tavsiflaydi. Biz ushbu standartni loyihalarga tatbiq etdik va endi biz har yili ichki auditlarni o'tkazamiz: biz loyihalarning ushbu talablarga qanday javob berishini tekshiramiz, axborot xavfsizligi xavflarini va boshqa loyiha menejerlariga yordam berishi mumkin bo'lgan eng yaxshi amaliyotlarni aniqlaymiz.
Auditlardan tashqari, bilim almashish yaxshi ishlaydi. Agar loyihalardan birida "momaqaldiroq" bo'lsa, qolganlari bu haqda bilib olishlari va kerakli choralarni ko'rishlari uchun vaqt topishlari yaxshi.
4-qadam... Qoidalarni tushuntiruvchi barcha hujjatlarni tuzing: tuzilgan, tushunarli va qisqa.
Amaliyot shuni ko'rsatadiki, hech kim ko'p sahifali uzun matnlarni o'qimaydi. Hujjat tushunarli tilda yozilishi kerak. Bundan tashqari, u biznes maqsadlariga muvofiq bo'lishi va yuqori rahbariyat tomonidan tasdiqlangan bo'lishi kerak - bu xodimlar uchun nima uchun ushbu qoidalarga rioya qilish kerakligi haqida kuchliroq dalil bo'ladi.
5-qadam... Treninglar, suhbatlar, biznes o'yinlari va boshqalarni o'tkazing.
Ko'pincha odamlar ba'zi qoidalar ularning o'ziga xos ishi bilan qanday bog'liqligini tushunishmaydi, shuning uchun siz misollar keltirishingiz, tushuntirishingiz, buni qanday qo'llash mumkinligini ko'rsatishingiz kerak. Bu erda biznesni yo'qotishgacha bo'lgan oqibatlarni va xodimni jinoiy javobgarlikka qadar qanday aniq oqibatlar kutayotganini ko'rsatish muhimdir.
Yuqoridagilarning barchasini kompaniyada amalga oshirish uchun moddiy va insoniy resurslar kerak. Shu sababli, hozirda ko'plab kompaniyalarda Axborot xavfsizligi direktori (CISO) lavozimi paydo bo'la boshladi. Ushbu pozitsiya tufayli biznes rahbarlariga har qanday qarorlarni ilgari surish, mablag'larni taqsimlash va boshqalar muhimligini etkazish mumkin. CISO barcha darajadagi kompaniyada axborot xavfsizligini ta'minlashga qodir.
U o'z zimmasiga olgan vazifalar juda keng: yuqori boshqaruv bilan aloqa qilish, muayyan qarorlarni asoslash, barcha yo'nalishlarda xavfsizlikni amalga oshirish uchun jarayon egalari bilan aloqa qilish. Kibertahdidlar nuqtai nazaridan u aloqa nuqtasi bo'lib, ayni paytda u nazorat qiladi, kibertahdidlarga javob berish strategiyalarini belgilaydi, hujumlarga javob berish bo'yicha ishlarni muvofiqlashtiradi.
Integratsiyalashgan yondashuv axborot xavfsizligi uchun mukammal retseptdir
Menimcha, xavfsizlik bilan ishlashda kompleks yondashuv eng samarali hisoblanadi, chunki axborot xavfsizligi insonning xabardorligi, xatti-harakati va xavfsizlik talablarini hisobga olgan holda biznes jarayonlarini to'g'ri tashkil etish masalasidir. Hodisalar ko'pincha xodimlar tufayli sodir bo'ladi: odamlar xato qiladilar, charchashadi, noto'g'ri tugmani bosishlari mumkin, shuning uchun bu erda muvaffaqiyatning yarmi texnik cheklovlar, tasodifiy tasodifiy hodisalardan, ikkinchi yarmi har bir xodimning xavfsizlik madaniyati.
Shuning uchun profilaktik suhbatlar va treninglar o'tkazish muhim ahamiyatga ega. Zamonaviy dunyoda kiber tahdidlar odamlar uchun mo'ljallangan: agar siz fishing elektron pochta xabarini olsangiz, havolaga etib borguningizcha va uni bosmaguningizcha u zararsizdir. Kompaniyamiz xodimlarning vijdonliligiga, odamlar bilan ishlashga, ogohlikka qaratilgan. Xo'sh, uchinchi nuqta - bu tashkiliy, odamlar qoidalarni bilishlari kerak, qoidalar aniq yozilishi kerak, har bir kishi amal qilishi kerak bo'lgan muayyan siyosat bo'lishi kerak.
Esingizda bo'lsin: kiber tahdidlar dunyoda juda keng tarqalgan va shu bilan birga hujumlarning oqibatlari juda jiddiy - biznesni to'liq yo'qotish, bankrotlikgacha. Tabiiyki, bu masala kun tartibida. Bizning zamonamizda xavfsizlik allaqachon korporativ madaniyatning bir qismi bo'lishga majburdir va yuqori menejment bu masalada birinchi manfaatdor tomon hisoblanadi, chunki u biznesni boshqaradi va xavf-xatarlar yuzaga kelganda birinchi navbatda javobgarlikni o'z zimmasiga oladi.
Xodimlaringizga axborot xavfsizligi hodisalarining oldini olishga yordam beradigan ba'zi maslahatlar:
Siz tasdiqlanmagan havolalarga amal qila olmaysiz;
Siz maxfiy ma'lumotlarni tarqata olmaysiz;
Parolni qog'ozga yozib, stiker yopishtirolmaysiz;
Siz ishonchingiz komil bo'lmagan USB drayverlardan foydalana olmaysiz (tajovuzkor zararlangan jismoniy qurilmani jabrlanuvchi uni topadigan joyda qoldirishi mumkin);
Saytlarda ro'yxatdan o'tishda telefon raqami va pochta manzilini ko'rsatgan holda, ushbu ma'lumot nima uchun kerakligini diqqat bilan ko'rib chiqing, ehtimol siz pullik pochta ro'yxatiga obuna bo'lasiz.
Umid qilamanki, vaqt o'tishi bilan xavfsizlik har bir kompaniyada korporativ madaniyatning asosiy elementiga aylanadi.
Axborot xavfsizligi modellarining keyingi evolyutsiyasi mulkdorning (egasining) rolini kuchaytirish bilan bog'liq bo'lib, u o'zi tavsiya etilgan himoya choralarining standart to'plamidan (o'z xavfi va xavf-xatariga qarab) o'zi tanlaganiga bog'liq edi. zarur, ya'ni, uning fikricha, ular maqbul darajadagi xavfsizlikni ta'minlay oladiganlar. Bu oldinga muhim qadam bo'ldi, chunki u axborot xavfsizligini ma'lum bir ob'ekt bilan uning mavjudligining o'ziga xos shartlari bilan bog'lashni ta'minladi, axborot xavfsizligi muammosining o'zini o'zi ta'minlash bilan bog'liq qarama-qarshiliklarni qisman hal qildi. Biroq, tanlangan standart himoya choralari (himoya profillari) bilan ob'ektlar katalogini yaratish bundan mustasno, egasi uchun konstruktiv mexanizmni taklif qilish mumkin emas edi. Profillarning o'zi ekspert-evristik usul yordamida yaratilgan. Shu bilan birga, egasi qanday xavf-xatarni o'z zimmasiga olgani noma'lum bo'lib qoldi va amalda aniqlandi.
Keyingi evolyutsiya axborot xavfsizligi faoliyat maqsadlari uchun zarar keltirishi (hosil qilishi) mumkinligi haqidagi tezisga asoslanadi va shuning uchun axborot xavfsizligi xavflari (o'zini o'zi etarli bo'lib qolgan) tashkilotning xavflari bilan muvofiqlashtirilgan (bog'langan) bo'lishi kerak. Faqat ularni qanday bog'lashni ko'rsatish va AT boshqaruv tizimini (AXBT) korporativ boshqaruvga yakka va mustaqil jarayonlar tizimi sifatida emas, balki boshqaruvning ajralmas, kuchli bog'liq komponenti sifatida integratsiyalash qoldi. Bu qilinmadi. Biroq, bu yondashuv ISni baholashning bir qator toifalarini, jumladan, IS risklarini ham yaxshilagan.
Mulkchilikning umumiy qiymatini (axborot xavfsizligiga nisbatan) va axborot xavfsizligiga investitsiyalarning “qaytishi”ni baholashga asoslangan axborot xavfsizligining pragmatik modellari ham ma’lum. Ushbu yondashuvning bir qismi sifatida maqsadlari va faoliyat shartlari bo'yicha bir xil bo'lgan tashkilotlar guruhi vaqti-vaqti bilan ATni amalga oshirish sohalarini baholaydi va guruh uchun eng yaxshi tajribalardan iborat modelni shakllantiradi. Bundan tashqari, har bir tashkilot o'zining ilg'or tajribalaridan ortda qolayotgani va shartlariga (hodisalar) muvofiq investitsiyalar yo'nalishi va hajmini belgilaydi. Investitsiyalar samaradorligi keyingi davrda amalga oshirilgan investitsiyalar sohasida sodir bo'lgan va shuning uchun katta yo'qotishlarga olib kelmagan hodisalardan yo'qotishlarni kamaytirish uchun baholanadi.
Biroq, bu yondashuv o‘zining ko‘pgina afzalliklari bilan muhim ma’lumotlarning keng almashinuvini talab qiladi va birja ishtirokchilarining manfaatlari to‘qnashuvi har qanday yuqori sifatli ishonch choralarini yaratishni istisno qiladi, shuning uchun u keng tarqalmagan.
Rossiya Federatsiyasi Markaziy banki standartida taklif qilingan IS modeli muammoni o'zining integratsiyasi (faoliyat maqsadlari bilan bog'liq) nuqtai nazaridan ham, "hujumchi" mohiyatini talqin qilishni kengaytirish nuqtai nazaridan ham yanada rivojlantirdi. Hujumchi deganda egasi bilan qarama-qarshilik ko'rsatishga qodir va o'z maqsadiga ega bo'lgan shaxs tushuniladi, u tashkilotning aktivlari ustidan nazoratni qo'lga kiritish orqali amalga oshiradi.
Ushbu yondashuv IS ko'rib chiqiladigan sohaga kiruvchi tashkilotga zarar etkazish turlari va manbalarini sezilarli darajada kengaytiradi, bu erda ularni hal qilish eng oqilona hisoblanadi. Biroq, bu ko'p jihatdan murosali yondashuv edi va shoshilinch ravishda axborot xavfsizligi muammolarini faoliyatning yakuniy natijasiga (ishlab chiqarilgan mahsulot) yaqinlashtirishni talab qiladi. Bizga biznesga chinakam yordam beradigan, xavfsiz va ishonchli axborot sohasini yaratish va qoʻllab-quvvatlash, shu jumladan hujumchiga qarshi kurash orqali uning samaradorligi va zaruriy yaxshilanishiga bevosita hissa qoʻshadigan model kerak. Faqatgina bunday model biznes tomonidan idrok etilishi mumkin. Boshqa har qanday narsa ular tomonidan rad etiladi.
Do'stlaringiz bilan baham: |