Самое важное при составлении политики информационной безопасности

Если вы собираетесь гарантировать информбезопасность компании, для начала потребуется решить, что именно нужно обеспечить, и только затем ответить на вопрос – «как обеспечить?». Без ответов на эти вопросы любые системы, которые вы покупаете и внедряете, будут просто пустой тратой денег. Понять, что требуется сделать для обеспечения информационной безопасности, вам поможет своевременно проработанная политика ИБ, к созданию которой потребуется подойти с максимальной серьезностью.

Для начала установим, что именно сегодня подразумевается под термином «политика информационной безопасности компании». Исследования, проведенные компанией SearchInform, подтверждают, что около трети компаний сегодня могут похвалиться профессионально проработанной политикой информационной безопасности. С другой стороны, приблизительно десятая часть компаний не задается вопросом, как и для чего им нужно защищать информацию. Из данной статистики можно сделать вывод, что разработка политики информбезопасности, равно как и ее реализация в практике работы фирмы придаст конкурентное преимущество определенной организации.

Политикой информбезопасности сегодня называют свод правил, которые охватывают потенциальные угрозы в сфере информации, с коими иногда сталкивается компания, и меры для защиты от данных угроз. Необходимо также отметить, что отличную изученность и превосходную известность абсолютного большинства информугроз, также как и методов для защиты от них, требуется очень подробно отобразить в корпоративной политике информационной безопасности.

При проработке политики информбезопасности самым главным являются максимальные подробность и точность. Не стоит бояться составлять данный документ в слишком уж громоздкой форме из-за большого количества подробностей. Дело в том, что политика ИБ используется не для инструктажа отдельных сотрудников, а в качестве своеобразного «свода законов» для различных специалистов. Руководствуясь данным документом, сотрудники отдела информационной безопасности смогут проработать должностные инструкции для других специалистов компании, а также и иные необходимые для воплощения положений политики данные.

При составлении корпоративной политики информационной безопасности очень важно определить пользовательские роли в пределах корпоративной информсети, чтобы потом на основании данных ролей «настроить» классы защиты информации и допуски для разных категорий пользователей. Понятно, что бухгалтерии по работе требуется одна информация, а отделу продаж нужны уже совсем другие данные, а отделу маркетинга – третьи. Всё это непременно должно быть отображено в политике информбезопасности компании.

В любом случае, на разработку политики информационной безопасности не стоит жалеть ни средств, ни сил, потому что все ваши вложения в будущем окупятся сторицей.

Первое, что потребуется сделать, когда создается основная политика безопасности – это установить, какие сотрудники пользуются в работе какими видами информации. Любое применение контента за пределами ролей и доступов, которые прописаны в политике информбезопасности, возможно исключительно с разрешения отдела информационной безопасности. При этом пользователь должен аргументировано обосновать необходимость этого применения.

Зачастую доступы и роли в итоге предстают в виде многоуровневой структуры. Ничего страшного тут нет, однако сильно увлекаться столь тщательной классификацией все же не стоит, ведь большое количество «ролей» и «уровней» запутает политику, сделав ее тяжело применимой в каждодневной практике по защите информации.

В политике информационной безопасности угрозы обычно представлены как риски. Предварительно при помощи сертифицированных методик требуется рассчитать вероятность осуществления на практике определенной угрозы, затем рассчитывается возможный ущерб для организации, рассчитываются вероятности – в итоге устанавливается значение риска. Для угроз, у которых риск меньше порогового (таковой для каждой из организаций определяется индивидуально), меры по защите предпринимать нет смысла, потому что защита в итоге обойдется дороже, чем сами инциденты. С другой стороны, для «режимных» предприятий обычно пороговый уровень риска очень небольшой, благодаря чему защищаться нужно и от совсем незначительных угроз.
Политика информбезопасности должна предусматривать раздел, который описывает, помимо правил, различные технические решения, которые используются для защиты от современных угроз. Безусловно, тут не нужно конкретизировать всё, чтобы не приходилось производить обновление политики информбезопасности слишком уж часто. Однако общие требования к применяемым сегодня средствам обеспечения ИБ и упоминание различных классов систем в политике информбезопасности должны быть.

При организации политики информационной безопасности обязательно следует помнить и о том, что такая политика должна охватить как защиту конфиденциальности информации, так и обеспечение целостности, доступности и подлинности этой информации. В некоторых случаях это даже будет важнее, чем конфиденциальность. Например, в финансовой сфере подлинность информации можно назвать основной ее характеристикой. Для гарантии доступности информации не стоит забывать и о ее резервном копировании, оно также является очень важной частью корпоративной политики защиты данных.

Можно сказать, что составление политики информбезопасности довольно сложный процесс, поэтому возникает вопрос, заниматься ли этим самостоятельно, или стоит выбрать подрядчика, который выполнит большой объем работы по созданию политики в короткие сроки и на хорошем уровне. Вопрос на самом деле довольно сложный, по той причине, что выбрать компанию, обладающую опытом в отрасли, на которой специализируется ваша компания, и понимающую специфику работы вашей компании, довольно сложно. При этом и услуги привлеченной компании будут стоить дорого. Но с другой стороны, профессионалы смогут усмотреть в политике информационной безопасности некоторые важные моменты, упущенные другими. При том и разработка политики информбезопасности с помощью своих сотрудников также будет платной. Так что здесь нужно хорошо взвесить все «за» и «против».

Самое важное при составлении политики информационной безопасности: часть 1, часть 2