Правила информационной безопасности

Дата: 03.06.2022. Автор: Артем П. Категории: Прочее
Правила информационной безопасности
Изображение: Domenico Loia (unsplash)

Организации, осознающие ценность информации как актива в современных условиях, обязаны прикладывать все необходимые усилия для обеспечения высочайшего уровня информационной безопасности и защиты информации. Основным звеном всех процессов обеспечения кибербезопасности предприятия становятся люди, которые участвуют в них – сотрудники организации.

Деятельность работников организации по защите информации и обеспечения кибербезопасности должна обеспечиваться в соответствии с установленными предварительно правилами информационной безопасности. Соответствующие правила ИБ рекомендуется вводить организациям и в тех случаях, когда сотрудники уходят на удаленную работу.

Потребность во внедрении правил информационной безопасности

Современные организации, вне зависимости от сферы деятельности, размеров, штата и других факторов, подвержены множеству киберугроз, которые уже давно стали неотъемлемой частью жизни общества.

Уровень реальной опасности угроз информационной безопасности сотрудники многих предприятий не осознают вплоть до того момента, пока не утекут персональные данные клиентов, конфиденциальная корпоративная информация, а киберпреступники с помощью DDoS-атак, атак программ-вымогателей не парализуют деятельность организации.

Основные правила информационной безопасности

Детальная разработка правил информационной безопасности для офиса, производственного предприятия, государственного учреждения способна существенно снизить уровень риска реализации угроз кибербезопасности. Обучение персонала основами и азам информационной безопасности должно проводиться в компаниях и фирмах любого размера, вне зависимости от отрасли профессиональной деятельности.

Можно выделить несколько следующих основных правил информационной безопасности для предприятий разного размера:

  1. Информирование. В современных условиях крайне важно своевременное информирование персонала об актуальных киберугрозах, базовых способах противодействия им. Инсайдерские утечки конфиденциальной информации представляют не меньшую опасность, чем внешние кибератаки. Сотрудники предприятий разных отраслей деятельности должны принимать во внимание следующие базовые правила информационной безопасности:
    • использование и систематическая смена сложных паролей, запрет на передачу кому-либо личных средств идентификации;
    • запрет на хранение конфиденциальных данных в облачных сервисах;
    • необходимость уничтожения ненужной документации в шредере;
    • запрет на передачу информации без официального запроса;
    • запрет на смешение личной и корпоративной электронной почты;
    • архивация всей важной цифровой документации;
    • блокировка компьютерных устройств перед покиданием рабочего места;
    • наличие базовых навыков по распознаванию фишинговых электронных писем;
    • ознакомление с актуальными вредоносными практиками социальной инженерии.
  2. Контроль доступа. Обязательное правило для сисадминов и разработчиков ИБ-структур. Нельзя устранять уязвимости и ошибки частичными решениями. Требуется с нуля встраивать систему информационной безопасности в качестве единой системы, учитывая возможности её последующего масштабирования и прогнозирование её дальнейшего развития. Система должна включать в себя общий комплекс организационно-технических, программных средств. А контроль должен осуществляться как единым целым.

Правила информационной безопасности при удаленной работе

В качестве одной из наиболее актуальных проблем сейчас можно рассматривать регламентацию деятельности работников компании на дистанционке. Современный бизнес направлен на минимизацию затрат, поэтому на одну организацию могут работать сотни сотрудников из разных городов, регионов, стран мира. Подобное размывание периметра кибербезопасности является крайне опасным явлением, потому что конкуренты и злоумышленники могут быть заинтересованы в получении несанкционированного доступа к конфиденциальной корпоративной информации организации.

Есть перечень общепринятых правил информационной безопасности, которые позволяют сделать удаленную работу и дистанционные отношения между сотрудниками и организациями предельно безопасными:

  • исключение возможности использования удаленными работниками для присоединения к корпоративной сети через открытые Wi-Fi и иные сети, в которых есть вероятность перехвата трафика;
  • защита домашних сетей работников паролями и шифрованием на уровне минимум WPA2;
  • разработка внутри организации базовых правил кибербезопасности для сотрудников на удаленке для обеспечения защиты их домашних сетей;
  • обеспечение подключения к внутренней сети организации для мобильных устройств сотрудников только через VPN (организация в лице ИБ-специалистов должна самостоятельно выбрать подходящего поставщика VPN-услуг и обеспечить удаленным работникам доступ к этому сервису);
  • использование для работы отдельного устройства (смартфона, планшета или другого гаджета), запрет на смешение корпоративных и частных данных;
  • информация о работе на «удаленке» не должна публиковаться сотрудниками в социальных сетях;
  • недопустимость устного или письменного разглашения конфиденциальной корпоративной информации;
  • систематическая смена учетных данных на ресурсах, которые связаны с ведением профессиональной деятельности в удаленном режиме;
  • постоянное обновление программного обеспечения для устранения актуальных уязвимостей.

Правила информационной безопасности должны быть оговорены отдельно с каждым сотрудником на дистанционке. От организации требуется организация собственной системы мер, которая позволит обеспечить безопасность деятельности каждого удаленного сотрудника, штатного или нештатного.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.