Рекомендуемые меры организационного уровня

Рекомендуемые меры организационного уровня включают в себя:

1. Регулярно пересматривать политику безопасности при внесении изменений в систему компании;
2. Назначить ответственность за обеспечение безопасности ценных информационных ресурсов компании;
3. Включить в должностные обязанности руководителей ответственности за обеспечение информационной безопасности;
4. Включить в должностные обязанности всех сотрудников задачу обеспечения информационной безопасности;
5. Проверка IT-службой персонала принимаемого на работу;
6. Напоминать сотрудника компании, что они подписали соглашение о соблюдении режима коммерческой тайны;
7. Производить регулярную рассылку всем сотрудник компании информации об инцидентах и вирусах;
8. Создать форум на котором бы обсуждались различные вопросы связанные с информационной безопасностью;
9. Проводить всем сотрудникам компании раз в полгода тренинг по вопросам информационной безопасности;
10. Сотрудников IT-службы раз в квартал определять на курсы по вопросам информационной безопасности;
11. Создавая систему информационной безопасности компании нужно рассматривать вариант, что сотрудники компании обладают достаточными знаниями для осуществления несанкционированного доступа к информации при имеющейся у них возможности;
12. Не давать повода предполагать сотрудникам, что их нарушения останутся незамеченными, за каждые нарушения производить наказания или дисциплинарные взыскания;
13. Оборудование расположить в тех помещениях, доступ к которым невозможен для лиц, не связанных с обслуживанием этого помещения;
14. В случае поломки жёсткого диска, вызвать представителя поставщика и провести осмотр повреждений в присутствии ответственных представителей компании;
15. Антивирусные базы обновлять каждый день;
16. Как можно чаще отслеживать новые уязвимости в используемом программном обеспечении;
17. Раз в пол год производить тренинг персонала по вопросам защиты от вирусов;
18. Регулярный производить контроль целостности критичных данных и программного обеспечения, обрабатывающего эти данные;
19. Меры организационной и физической защиты для резервных копий должны соответствовать уровню защиты основных носителей информации;
20. На компьютерах с критичной информацией вести журналы системных событий;
21. Как можно чаще обновлять программное обеспечение и устанавливать пакеты обновлений системы безопасности;
22. Документально фиксировать права пользователей, которые соответствуют возложенным на них бизнес-задачам;
23. Регулярно проводить проверку адекватности назначенных пользователю прав;
24. Создать в политике безопасности компании регламент по которому раз-решается и осуществляется удалённый доступ к ресурсам системы;
25. Запретить сотрудникам IT-службы производить администрирование системы через интернет, без применения средства криптографической защиты трафика;
26. Проводить регулярный сторонний аудит безопасности компании, также как и тесты на проникновение выполняемые независимыми экспертами;
27. Регулярно применять сканер уязвимостей для отслеживания изменений в системе безопасности информационной системы компании;
28. Обеспечить соответствие информационной системы компании какому-либо опубликованному стандарту безопасности;
29. Применять в компании, только сертифицированные средства локальной и сетевой защиты;
30. Исключить в офисе компании нахождение обслуживающего персонала без присутствия контролирующих лиц;
31. Разработать перечень документов и рекомендаций о неразглашении конфиденциальной информации сотрудниками.

Организационным мерам характерна низкая надежность без соответствующей поддержки техническими и программными средствами.