Правила политики безопасности информации чаще всего разрабатываются как отдельный документ, отвечающий требованиям регулятора, который устанавливает правила для предприятий конкретной отрасли. При отсутствии политики безопасности по отношению к нарушителям могут быть применены определенные меры, в том числе и приостановление деятельности. Управление информацией и конфиденциальность имеют очень важное значение для предприятия.
Политика безопасности также является обязательной составной частью определенного стандарта — местного или международного. Необходимо соблюдать специальные требования, которые обычно выдвигаются внешними ревизорами, проверяющими деятельность организации. Отсутствие политики безопасности создает негативную обратную связь и эти оценки в свою очередь негативно влияют на такие показатели, как рейтинг, доверие и т. д.
Политика безопасности появляется в том случае, когда на самом высоком уровне руководства понимают необходимость структурированного подхода к вопросу о безопасности информации. Такие решения могут быть приняты после внедрения технических средств — когда становится понятно, что эти средства нужно взять под управление, и что они требуют постоянный контроль. Часто информационная безопасность включает в себя также вопросы о взаимоотношениях среди персонала (работник может считаться не только охраняемым лицом, но и объектом, от которого информация должна быть защищена) и других аспектах и факторах помимо защиты работников. Компьютерная сеть и предотвращение несанкционированного к ней доступа.
Наличие соответствующих правил указывает на жизнеспособность организации по вопросам информационной безопасности. Понятная формулировка правил обеспечения информационной безопасности свидетельствует о том, что в этом процессе был достигнут существенный прогресс.
Для создания эффективной системы безопасности информации должны быть разработаны:
Также для эффективной организации защиты информации необходимо разработать планы действия в чрезвычайных ситуациях. Они необходимы при восстановлении информационных систем.
Главными разделами концепции безопасности являются:
Политика безопасности должна быть составлена с учетом двух основных аспектов:
Из вышеупомянутой информации вытекают еще два требования, касаемые инструктажа по безопасности:
Когда политика информационной безопасности готова, нужна плановая организация по ее внедрению в повседневную работу. Для этого необходимо:
Потенциальные внешние угрозы безопасности:
Потенциальные внутренние пользователи:
Для организации безопасности информационной защиты от каждой из перечисленных групп необходимы свои правила. В каждом из случаев происходит утечка информации. Прежде всего необходимо разработать правила поведения персонала в офисе, во-вторых, прибегнуть к техническим средствам, которые повышают безопасность информации и предотвращают утечку данных из компьютерных сетей. При разработке информационной безопасности необходимо учитывать специфику рассматриваемых групп и обеспечить эффективные меры по предотвращению утечки информации для каждой из них.
Обеспечение информационной безопасности является предпосылкой для успешной деятельности предприятия. Обеспечение политики безопасности включает в себя любое действие, целью которого является защита информационных ресурсов и поддержка инфраструктуры. Политика распространяется на все автоматизированные и телекоммуникационные системы, которыми располагает и которые используются предприятием. Основной целью, для которой разработаны все правила этой политики, является защита информационных ресурсов от возможных материальных убытков, физического, морального или иного рода повреждения, причиненного в результате случайного или умышленного действия.
Все охраняемые информационные ресурсы должны быть классифицированы по степени их значимости и доступности. Информация классифицируется и утверждается руководством предприятия. Периодически классификация должна быть пересмотрена для обновления в соответствии с категорией ресурсов. Ресурсы, содержащие конфиденциальную или критически важную информацию, должны быть выделены среди остальных.
Предприятие должно установить требования безопасности, используя методические оценки риска. При оценке рисков приоритеты должны выставляться в соответствии с критериями принятия риска и целями деятельности предприятия. Результаты оценки должны сопровождаться соответствующей реакцией управления, приоритетами и механизмами контроля для защиты от этих рисков. Оценка риска объединяет в себе систематический анализ риска и оценивание риска.
Согласно политике безопасности учреждения вышеописанные обязанности по обеспечению безопасности информационных ресурсов должны быть сообщены работнику, когда его принимают на работу и когда в список его официальных обязанностей включаются все правила. Они должны включать в себя как общие обязанности, связанные с внедрением и поддержанием политики безопасности, так и конкретные обязанности в отношении защиты ресурсов и выполнения особых действий, связанных с безопасностью.
Все работники, принятые на работу, должны подтвердить и подписать их трудовые договоры, которые накладывают на них ответственность за безопасность информации. В договор должно быть включено согласие работника на осуществление мер по проверке соблюдения требований политики безопасности, а также обязанности по неразглашению конфиденциальной информации. В договоре должны быть описаны меры, которые необходимо предпринять в случае несоблюдения работником требований политики безопасности.