`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Что должно быть в полититке безопасности?

0 
 

Политикой информационной безопасности называется сборник правил, описывающий возможные информационные угрозы для предприятия и способы защиты от каждой из них. Нужно сказать, что несмотря на то, что большинство современных угроз достаточно хорошо изучены, и средства защиты от них, во многом, достаточно очевидны, всё равно, все они весьма подробно расписаны в корпоративной политике информационной безопасности.

Что еще должна включать в себя такая политика? Необходимо обозначить возможные роли пользователей корпоративной информационной системы и их допуски к различным видам данных, определить ответственность персонала за нарушения положений политики безопасности, права и обязанности сотрудников, обеспечивающих информационную безопасность компании.

Чем более подробной будет политика безопасности, чем меньше в ней будет неточностей и недосказанностей, тем лучше она будет работать. Не стоит бояться делать политику информационной безопасности чересчур громоздкой из-за её подробности – она нужна не для использования конкретными сотрудниками, а для специалистов. Как и любой юридический документ, политика информационной безопасности пишется для того, чтобы у соответствующих специалистов была правовая основа для действий, необходимых для защиты компании от информационных угроз. Для рядовых пользователей сотрудники отдела ИБ затем разработают должностные инструкции, дополнительные соглашения к рабочим контрактам и прочие документы, которые будут понятны тем, кто не является специалистом по информационной безопасности. Но все эти документы будут разрабатываться уже на основе существующей в компании политики ИБ.

Политика должна включать в себя не только общие правила, но и конкретные технические решения, которые применяются для защиты от тех или иных угроз. Конечно, нет необходимости прописывать в ней, например, производителя используемого предприятием антивируса, но написать о требованиях, которые предъявляются к антивирусному ПО на серверах и рабочих станциях, необходимо. То же самое можно сказать и обо всех остальных используемых системах безопасности.

Не стоит забывать и о том, что информацию в компании защищают не только от чужих глаз и кражи, но и от потери, и от подделки. Поэтому резервное копирование – тоже необходимая часть корпоративной политики информационной безопасности. Однако делегировать его выполнение имеет смысл, конечно же, не отделу ИБ, а ИТ-отделу. Что же касается защиты документы от подделок, то здесь, если говорить об электронных документах, не обойтись без проверенного временем механизма – цифровой подписи.

Если в вашей компании еще нет отдела ИБ, то его создание можно также приурочить к разработке политики информационной безопасности. При этом нужно помнить, что политику информационной безопасности должен разрабатывать опытный специалист, хорошо разбирающийся как в информационной безопасности, так и в реалиях отрасли, в которой работает ваша компания. Найти такого специалиста на постоянную работу, мягко говоря, непросто, и кроме того, он обойдется вашей компании весьма недешево. Поэтому на этапе разработки политики может оказаться целесообразным обращение в консалтинговую компанию, которая уже разрабатывала подобную политику для одного из предприятий вашей отрасли.

К выбору консалтинговой компании нужно подойти ответственно и помнить, что, к сожалению, даже высокая стоимость услуг консалтеров не гарантирует их столь же высокого качества. Идеальным вариантом будет, просмотрев портфолио компании, связаться с кем-то из её клиентов и поговорить с ними. Отсутствие портфолио, фактически равнозначное и отсутствию клиентов, говорит о том, что от услуг подобной компании лучше отказаться.

Впрочем, всё это ни в коем случае не означает, что самостоятельная разработка политики информационной безопасности приведет вашу компанию к провалу в этой сфере. Просто нужно помнить, что ваши специалисты, занятые политикой, тоже не обходятся вам бесплатно, поэтому зачастую экономия по сравнению со стоимостью заказа подобной услуги у консалтинговой компании, будет не такой уж значительной.

Написанию политики информационной безопасности предприятия должна обязательно предшествовать тщательная работа по выявлению информационных угроз, с которыми предприятие сталкивается. Они могут быть очень неодинаковыми для разных индустрий, и иметь очень разные последствия случившихся инцидентов. Поэтому необходимым этапом разработки политики безопасности является построение модели угроз и расчет рисков. Только с учетом этих данных можно выбрать оптимальную защиту, которая позволит охватить наиболее актуальные для компании угрозы, и при этом не будет чересчур обременительной по своей стоимости.

Большая часть работы – это и классификация документов, без которой необходимо определить различные уровни допуска к ним для разных групп пользователей. При этом как консалтинговой компании, так и вашим собственным специалистам по ИБ будет необходима помощь руководителей всех отделов компании, которые помогут понять, насколько важным и конфиденциальным является тот или иной документ, и, соответственно, насколько необходимо тратиться на его защиту.

Впрочем, разработка политики информационной безопасности – это только половина дела, если не треть. Потому что разработанную политику ещё необходимо воплотить в жизнь. В этом, как говорилось выше, должны помочь разработанные с её помощью документы. Однако обеспечение информационной безопасности предприятия одними организационными мерами невозможно, поэтому следующим необходимым этапом является внедрение различных технических средств обеспечения информационной безопасности компании. Эти внедрения могут быть достаточно дорогостоящими, но они все окупятся: например, если говорить об утечках информации, то средняя цена каждой из них в 2013 году составила уже 5,5 млн. долларов.

Таким образом, подводя итог сказанному выше, можно порекомендовать обратиться при разработке политики безопасности к профессионалам, имеющим опыт решения подобных задач. Идеально будет нанять такого профессионала в свой отдел ИБ, но при невозможности этого можно довольствоваться услугами консалтинговой компании.

Что должно быть в полититке безопасности: 1, 2.

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT