Последнее обновление: 12.09.2022 08:20

Политика безопасности

Политика безопасности — совокупность мер, правил и принципов, которые работники предприятия ежедневно соблюдают во время работы для защиты информационных ресурсов. Руководство каждого предприятия самостоятельно принимает решение о том, какая информация подлежит защите и как она должна быть защищена.

Почему такая политика необходима?

Политика безопасностиПравила политики безопасности информации чаще всего разрабатываются как отдельный документ, отвечающий требованиям регулятора, который устанавливает правила для предприятий конкретной отрасли. При отсутствии политики безопасности по отношению к нарушителям могут быть применены определенные меры, в том числе и приостановление деятельности. Управление информацией и конфиденциальность имеют очень важное значение для предприятия.

Политика безопасности также является обязательной составной частью определенного стандарта — местного или международного. Необходимо соблюдать специальные требования, которые обычно выдвигаются внешними ревизорами, проверяющими деятельность организации. Отсутствие политики безопасности создает негативную обратную связь и эти оценки в свою очередь негативно влияют на такие показатели, как рейтинг, доверие и т. д.

Политика безопасности появляется в том случае, когда на самом высоком уровне руководства понимают необходимость структурированного подхода к вопросу о безопасности информации. Такие решения могут быть приняты после внедрения технических средств — когда становится понятно, что эти средства нужно взять под управление, и что они требуют постоянный контроль. Часто информационная безопасность включает в себя также вопросы о взаимоотношениях среди персонала (работник может считаться не только охраняемым лицом, но и объектом, от которого информация должна быть защищена) и других аспектах и факторах помимо защиты работников. Компьютерная сеть и предотвращение несанкционированного к ней доступа.

Наличие соответствующих правил указывает на жизнеспособность организации по вопросам информационной безопасности. Понятная формулировка правил обеспечения информационной безопасности свидетельствует о том, что в этом процессе был достигнут существенный прогресс.

Создание эффективной системы безопасности для информации

Для создания эффективной системы безопасности информации должны быть разработаны:

  • понятие безопасности информации (определяет политику, ее принципы и цели);
  • стандарты (правила и принципы безопасности информации);
  • процедура (описание конкретных действий для защиты информации при работе с ней: личные данные, доступ к
  • информационным носителям, системам и ресурсам);
  • инструкции (подробное описание того, что и как должно быть сделано для организации безопасности информации и обеспечения существующих стандартов).
  • Все вышеперечисленные документы должны быть взаимосвязанными и не должны противоречить друг другу.

Также для эффективной организации защиты информации необходимо разработать планы действия в чрезвычайных ситуациях. Они необходимы при восстановлении информационных систем.

Структура концепции защиты

Главными разделами концепции безопасности являются:

  • определение политики безопасности;
  • структура безопасности;
  • описание механизма контроля безопасности;
  • оценка риска;безопасность информации: принципы и стандарты;
  • обязанности и ответственность каждого отдела, офиса в осуществлении защиты информационных носителей и других данных;
  • ссылки на другие правила безопасности.
  • кроме того, не будет лишним раздел, в котором описаны основные критерии деятельности в сфере защиты важной информации. Показатели эффективности защиты необходимы, прежде всего, высшему руководству. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Человек, ответственный за политику безопасности, должен также знать четкие критерии оценки эффективности информационной безопасности, чтобы понимать, как руководство будет оценивать ее деятельность.

Основные требования к документации безопасности

Политика безопасности должна быть составлена с учетом двух основных аспектов:

  • Целевой аудиторией всей информационной безопасности являются непосредственно руководители и работники, которые не знакомы со специфической технической терминологией, но которые при прочтении инструкций должны понять и освоить предоставленную информацию;
  • Руководство должно быть компактным, но содержать в себе только основную и необходимую информацию о политике. Никто не готов изучать объемный материал со множеством деталей, которые крайне трудно запоминаются.

Из вышеупомянутой информации вытекают еще два требования, касаемые инструктажа по безопасности:

  • политика безопасности должна быть написана обычным языком без использования специфических технических терминов;
  • текст о безопасности должен включать в себя цели, способы их достижения и распределение ответственности за несоблюдение политики безопасности.

Организация и внедрение политики безопасности

Когда политика информационной безопасности готова, нужна плановая организация по ее внедрению в повседневную работу. Для этого необходимо:

  • Ознакомить коллектив с утвержденной информационной политикой;
  • убедиться, чтобы с политикой ознакомились все новые работники (например, организовав информационные семинары или курсы, в которых содержатся полная информация и всевозможные пояснения).
  • осуществить тщательную проверку существующих на предприятии процессов для обнаружения и уменьшения рисков;
    разработать подробные указания и информативные материалы и инструкции, дополняющие политику (например, правила предоставления доступа к Интернету, процедуры, как работать с информационными системами, и др.);
  • обновлять принятую политику безопасности, а также отслеживать и изучать существующие угрозы безопасности.

Пользователи, пытающиеся получить несанкционированный доступ к информации

Потенциальные внешние угрозы безопасности:

  • Посетители офиса;
  • Ранее уволенные работники (особенно те, которые ушли со скандалом, и знающие, как получить доступ к информации);
  • Хакеры;
  • Структуры третьих сторон, в том числе конкуренты, а также преступные группировки.

Потенциальные внутренние пользователи:

  • Пользователи компьютерной техники среди работников;
  • Программисты, системные администраторы;
  • Технический персонал.

Для организации безопасности информационной защиты от каждой из перечисленных групп необходимы свои правила. В каждом из случаев происходит утечка информации. Прежде всего необходимо разработать правила поведения персонала в офисе, во-вторых, прибегнуть к техническим средствам, которые повышают безопасность информации и предотвращают утечку данных из компьютерных сетей. При разработке информационной безопасности необходимо учитывать специфику рассматриваемых групп и обеспечить эффективные меры по предотвращению утечки информации для каждой из них.

Обобщение

Обеспечение информационной безопасности является предпосылкой для успешной деятельности предприятия. Обеспечение политики безопасности включает в себя любое действие, целью которого является защита информационных ресурсов и поддержка инфраструктуры. Политика распространяется на все автоматизированные и телекоммуникационные системы, которыми располагает и которые используются предприятием. Основной целью, для которой разработаны все правила этой политики, является защита информационных ресурсов от возможных материальных убытков, физического, морального или иного рода повреждения, причиненного в результате случайного или умышленного действия.

Все охраняемые информационные ресурсы должны быть классифицированы по степени их значимости и доступности. Информация классифицируется и утверждается руководством предприятия. Периодически классификация должна быть пересмотрена для обновления в соответствии с категорией ресурсов. Ресурсы, содержащие конфиденциальную или критически важную информацию, должны быть выделены среди остальных.

Предприятие должно установить требования безопасности, используя методические оценки риска. При оценке рисков приоритеты должны выставляться в соответствии с критериями принятия риска и целями деятельности предприятия. Результаты оценки должны сопровождаться соответствующей реакцией управления, приоритетами и механизмами контроля для защиты от этих рисков. Оценка риска объединяет в себе систематический анализ риска и оценивание риска.

Согласно политике безопасности учреждения вышеописанные обязанности по обеспечению безопасности информационных ресурсов должны быть сообщены работнику, когда его принимают на работу и когда в список его официальных обязанностей включаются все правила. Они должны включать в себя как общие обязанности, связанные с внедрением и поддержанием политики безопасности, так и конкретные обязанности в отношении защиты ресурсов и выполнения особых действий, связанных с безопасностью.

Все работники, принятые на работу, должны подтвердить и подписать их трудовые договоры, которые накладывают на них ответственность за безопасность информации. В договор должно быть включено согласие работника на осуществление мер по проверке соблюдения требований политики безопасности, а также обязанности по неразглашению конфиденциальной информации. В договоре должны быть описаны меры, которые необходимо предпринять в случае несоблюдения работником требований политики безопасности.

Подпишитесь на нашу рассылку
Ваш адрес электронной почты будет храниться в надежном месте и использоваться только для уведомления о новых бонусах и новостях.