ня в тексті політики безпеки повинні бути чіткими, коротко викладеними. Докладного опису структури політики безпеки присвячено наступний параграф.
. Проведення всесторон дослідження архітектури ІВ. Кращий спосіб це зробити - оцінка ризиків, аналіз ризикових ситуацій або всебічний аудит системи. Краще якщо таке дослідження буде проводитися сторонньою організацією. У кожному разі при розробці правил безпеки первісне обстеження об'єкта проводиться розробником політики безпеки ще на першому етапі, з подальшим більш детальним вивченням спільно з співробітником в чиєму веденні знаходиться даний об'єкт з метою можливого коректування правил.
. Критична оцінка політики безпеки та її затвердження. У критиці повинні брати участь керівники департаментів та відділів мають безпосереднє відношення до розроблюваних правилами, а також юристи т.к. в процесі рецензування повинні розглядатися не тільки технічні, але й юридичні аспекти безпеки. Процес затвердження являє собою просте схвалення керівництвом остаточної версії документа. Затвердження має відбутися після рецензування. Однак якщо керівництво не затвердить цей документ, його ефективність буде вкрай обмежена.
Структура політики безпеки
Загальні положення
У даній частині слід описати мети створення політики безпеки, область дії даної політики, коротко описати, про що йде мова в документі.
Опис інформаційної системи
Необхідно визначити завдання, які виконує інформаційна система в компанії, дати визначення, що є її складовими частинами.
Правила
Основна частина політики безпеки, що містить правила які слід дотримуватися співробітникам компанії. Ця частина повинна бути розбита на самостійні розділи, що стосуються окремих аспектів забезпечення інформаційної безпеки. Структурований підхід до написання даного розділу дозволить співробітникам чітко розуміти, що від них вимагається в окремих випадках, а також буде сприяти процесу супроводу політики.
Обробка інцидентів безпеки
У першу чергу в даному розділі слід описати, що є інцидентом безпеки, а також описати порядок дій працівників у разі виникнення інцидентів, і позначити необхідність призначення співробітників відповідальних за реагування на інциденти і їх реєстрацію.
Відповідальність
Будь нормативний документ навряд чи буде мати реальну силу, якщо в ньому не буде передбачено відповідальність за ті чи інші порушення положень, прописаних у ньому. Теж стосується і політики безпеки. Має бути чітко визначено, за що співробітник несе відповідальність, працюючи в компанії, однак, не варто переписувати в даний розділ заходи передбачені законодавством.
.6. Впровадження системи захисту конфіденційної інформації в ВАТ «АйТіПартнер»
Перший етап - Зміна інформаційної мережі Магазину 1, метою якого була модернізація існуючої інформаційної мережі, з одночасним вирішенням питання безпеки підрозділу. У ході реалізації були виконані наступні завдання:
) перекомутацію робочих місць.
) Складання плану комутації робочих місць.
) Зміна налаштувань DHCP-сервера та налаштування DHCP-прив'язок.
) Зміна списків доступу на маршрутизаторі gw-bk - 01 згідно зі змінами.
) Поділ робочих місць на vlan1 і vlan2 і перевірка зв'язку.
Другий етап - Зміна інформаційної мережі Магазину 2, метою якого була модернізація існуючої інформаційної мережі, з одночасним вирішенням питання безпеки підрозділу. У ході реалізації були виконані наступні завдання:
) перекомутацію робочих місць.
) Складання плану комутації робочих місць.
) Зміна налаштувань DHCP-сервера та налаштування DHCP-прив'язок.
) Зміна списків доступу на маршрутизаторі gw-prmr - 01 згідно зі змінами.
) Поділ робочих місць на vlan1 і vlan2 і перевірка зв'язку.
Третім етапом відбувалася зміна інформаційної мережі Центрального офісу, метою якого була модернізація існуючої інформаційної мережі, з одночасним вирішенням питання безпеки підрозділу. У ході роботи було виконано наступне:
) перекомутацію серверів і робочих місць користувачів.
) Складання плану комутації серверів і робочих місць користувачів.
) Перенесення DHCP-прив'язок з 100-й мережі в 120-ю зі збереженням останнього октету адреси (наприклад 192.168.100.99 - gt; 192.168.120.99)
) Зміна списків доступу на маршр...
