Почему такая политика необходима?
Правила политики безопасности информации чаще всего разрабатываются как отдельный документ, отвечающий требованиям регулятора, который устанавливает правила для предприятий конкретной отрасли. При отсутствии политики безопасности по отношению к нарушителям могут быть применены определенные меры, в том числе и приостановление деятельности. Управление информацией и конфиденциальность имеют очень важное значение для предприятия.
Политика безопасности также является обязательной составной частью определенного стандарта — местного или международного. Необходимо соблюдать специальные требования, которые обычно выдвигаются внешними ревизорами, проверяющими деятельность организации. Отсутствие политики безопасности создает негативную обратную связь и эти оценки в свою очередь негативно влияют на такие показатели, как рейтинг, доверие и т. д.
Политика безопасности появляется в том случае, когда на самом высоком уровне руководства понимают необходимость структурированного подхода к вопросу о безопасности информации. Такие решения могут быть приняты после внедрения технических средств — когда становится понятно, что эти средства нужно взять под управление, и что они требуют постоянный контроль. Часто информационная безопасность включает в себя также вопросы о взаимоотношениях среди персонала (работник может считаться не только охраняемым лицом, но и объектом, от которого информация должна быть защищена) и других аспектах и факторах помимо защиты работников. Компьютерная сеть и предотвращение несанкционированного к ней доступа.
Наличие соответствующих правил указывает на жизнеспособность организации по вопросам информационной безопасности. Понятная формулировка правил обеспечения информационной безопасности свидетельствует о том, что в этом процессе был достигнут существенный прогресс.
Создание эффективной системы безопасности для информации
Для создания эффективной системы безопасности информации должны быть разработаны:
- понятие безопасности информации (определяет политику, ее принципы и цели);
- стандарты (правила и принципы безопасности информации);
- процедура (описание конкретных действий для защиты информации при работе с ней: личные данные, доступ к информационным носителям, системам и ресурсам);
- инструкции (подробное описание того, что и как должно быть сделано для организации безопасности информации и обеспечения существующих стандартов).
- Все вышеперечисленные документы должны быть взаимосвязанными и не должны противоречить друг другу.
Также для эффективной организации защиты информации необходимо разработать планы действия в чрезвычайных ситуациях. Они необходимы при восстановлении информационных систем.
Структура концепции защиты
Главными разделами концепции безопасности являются:
- определение политики безопасности;
- структура безопасности;
- описание механизма контроля безопасности;
- оценка риска;
- безопасность информации: принципы и стандарты;
- обязанности и ответственность каждого отдела, офиса в осуществлении защиты информационных носителей и других данных;
- ссылки на другие правила безопасности.
Кроме того, не будет лишним раздел, в котором описаны основные критерии деятельности в сфере защиты важной информации. Показатели эффективности защиты необходимы, прежде всего, высшему руководству. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Человек, ответственный за политику безопасности, должен также знать четкие критерии оценки эффективности информационной безопасности, чтобы понимать, как руководство будет оценивать ее деятельность.
Основные требования к документации безопасности
Политика безопасности должна быть составлена с учетом двух основных аспектов:
- Целевой аудиторией всей информационной безопасности являются непосредственно руководители и работники, которые не знакомы со специфической технической терминологией, но которые при прочтении инструкций должны понять и освоить предоставленную информацию;
- Руководство должно быть компактным, но содержать в себе только основную и необходимую информацию о политике. Никто не готов изучать объемный материал со множеством деталей, которые крайне трудно запоминаются.
Из вышеупомянутой информации вытекают еще два требования, касаемые инструктажа по безопасности:
- политика безопасности должна быть написана обычным языком без использования специфических технических терминов;
- текст о безопасности должен включать в себя цели, способы их достижения и распределение ответственности за несоблюдение политики безопасности.
Организация и внедрение политики безопасности
Когда политика информационной безопасности готова, нужна плановая организация по ее внедрению в повседневную работу. Для этого необходимо:
- ознакомить коллектив с утвержденной информационной политикой;
- убедиться, чтобы с политикой ознакомились все новые работники (например, организовав информационные семинары или курсы, в которых содержатся полная информация и всевозможные пояснения).
- осуществить тщательную проверку существующих на предприятии процессов для обнаружения и уменьшения рисков;разработать подробные указания и информативные материалы и инструкции, дополняющие политику (например, правила предоставления доступа к Интернету, процедуры, как работать с информационными системами, и др.);
- обновлять принятую политику безопасности, а также отслеживать и изучать существующие угрозы безопасности.
Пользователи, пытающиеся получить несанкционированный доступ к информации
Потенциальные внешние угрозы безопасности:
- Посетители офиса;
- Ранее уволенные работники (особенно те, которые ушли со скандалом, и знающие, как получить доступ к информации);
- Хакеры;
- Структуры третьих сторон, в том числе конкуренты, а также преступные группировки.
Потенциальные внутренние пользователи:
- Пользователи компьютерной техники среди работников;
- Программисты, системные администраторы;
- Технический персонал.
Для организации безопасности информационной защиты от каждой из перечисленных групп необходимы свои правила. В каждом из случаев происходит утечка информации. Прежде всего необходимо разработать правила поведения персонала в офисе, во-вторых, прибегнуть к техническим средствам, которые повышают безопасность информации и предотвращают утечку данных из компьютерных сетей. При разработке информационной безопасности необходимо учитывать специфику рассматриваемых групп и обеспечить эффективные меры по предотвращению утечки информации для каждой из них.
Обобщение
Обеспечение информационной безопасности является предпосылкой для успешной деятельности предприятия. Обеспечение политики безопасности включает в себя любое действие, целью которого является защита информационных ресурсов и поддержка инфраструктуры. Политика распространяется на все автоматизированные и телекоммуникационные системы, которыми располагает и которые используются предприятием. Основной целью, для которой разработаны все правила этой политики, является защита информационных ресурсов от возможных материальных убытков, физического, морального или иного рода повреждения, причиненного в результате случайного или умышленного действия.
Все охраняемые информационные ресурсы должны быть классифицированы по степени их значимости и доступности. Информация классифицируется и утверждается руководством предприятия. Периодически классификация должна быть пересмотрена для обновления в соответствии с категорией ресурсов. Ресурсы, содержащие конфиденциальную или критически важную информацию, должны быть выделены среди остальных.
Предприятие должно установить требования безопасности, используя методические оценки риска. При оценке рисков приоритеты должны выставляться в соответствии с критериями принятия риска и целями деятельности предприятия. Результаты оценки должны сопровождаться соответствующей реакцией управления, приоритетами и механизмами контроля для защиты от этих рисков. Оценка риска объединяет в себе систематический анализ риска и оценивание риска.
Согласно политике безопасности учреждения вышеописанные обязанности по обеспечению безопасности информационных ресурсов должны быть сообщены работнику, когда его принимают на работу и когда в список его официальных обязанностей включаются все правила. Они должны включать в себя как общие обязанности, связанные с внедрением и поддержанием политики безопасности, так и конкретные обязанности в отношении защиты ресурсов и выполнения особых действий, связанных с безопасностью.
Все работники, принятые на работу, должны подтвердить и подписать их трудовые договоры, которые накладывают на них ответственность за безопасность информации. В договор должно быть включено согласие работника на осуществление мер по проверке соблюдения требований политики безопасности, а также обязанности по неразглашению конфиденциальной информации. В договоре должны быть описаны меры, которые необходимо предпринять в случае несоблюдения работником требований политики безопасности.
Была ли эта страница полезной?
Эта страница еще не оценена — помогите другим, поделившись своим мнением