Политика безопасности

Политика безопасности также является обязательной составной частью определенного стандарта — местного или международного. Необходимо соблюдать специальные требования, которые обычно выдвигаются внешними ревизорами, проверяющими деятельность организации. Отсутствие политики безопасности создает негативную обратную связь и эти оценки в свою очередь негативно влияют на такие показатели, как рейтинг, доверие и т. д.

Политика безопасности появляется в том случае, когда на самом высоком уровне руководства понимают необходимость структурированного подхода к вопросу о безопасности информации. Такие решения могут быть приняты после внедрения технических средств — когда становится понятно, что эти средства нужно взять под управление, и что они требуют постоянный контроль. Часто информационная безопасность включает в себя также вопросы о взаимоотношениях среди персонала (работник может считаться не только охраняемым лицом, но и объектом, от которого информация должна быть защищена) и других аспектах и факторах помимо защиты работников. Компьютерная сеть и предотвращение несанкционированного к ней доступа.

Наличие соответствующих правил указывает на жизнеспособность организации по вопросам информационной безопасности. Понятная формулировка правил обеспечения информационной безопасности свидетельствует о том, что в этом процессе был достигнут существенный прогресс.

Для создания эффективной системы безопасности информации должны быть разработаны:

• понятие безопасности информации (определяет политику, ее принципы и цели);
• стандарты (правила и принципы безопасности информации);
• процедура (описание конкретных действий для защиты информации при работе с ней: личные данные, доступ к информационным носителям, системам и ресурсам);
• инструкции (подробное описание того, что и как должно быть сделано для организации безопасности информации и обеспечения существующих стандартов).
• Все вышеперечисленные документы должны быть взаимосвязанными и не должны противоречить друг другу.

Также для эффективной организации защиты информации необходимо разработать планы действия в чрезвычайных ситуациях. Они необходимы при восстановлении информационных систем.

Главными разделами концепции безопасности являются:

• определение политики безопасности;
• структура безопасности;
• описание механизма контроля безопасности;
• оценка риска;
• безопасность информации: принципы и стандарты;
• обязанности и ответственность каждого отдела, офиса в осуществлении защиты информационных носителей и других данных;
• ссылки на другие правила безопасности.

Кроме того, не будет лишним раздел, в котором описаны основные критерии деятельности в сфере защиты важной информации. Показатели эффективности защиты необходимы, прежде всего, высшему руководству. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Человек, ответственный за политику безопасности, должен также знать четкие критерии оценки эффективности информационной безопасности, чтобы понимать, как руководство будет оценивать ее деятельность.

Политика безопасности должна быть составлена с учетом двух основных аспектов:

• Целевой аудиторией всей информационной безопасности являются непосредственно руководители и работники, которые не знакомы со специфической технической терминологией, но которые при прочтении инструкций должны понять и освоить предоставленную информацию;
• Руководство должно быть компактным, но содержать в себе только основную и необходимую информацию о политике. Никто не готов изучать объемный материал со множеством деталей, которые крайне трудно запоминаются.

Из вышеупомянутой информации вытекают еще два требования, касаемые инструктажа по безопасности:

• политика безопасности должна быть написана обычным языком без использования специфических технических терминов;
• текст о безопасности должен включать в себя цели, способы их достижения и распределение ответственности за несоблюдение политики безопасности.

Когда политика информационной безопасности готова, нужна плановая организация по ее внедрению в повседневную работу. Для этого необходимо:

• ознакомить коллектив с утвержденной информационной политикой;
• убедиться, чтобы с политикой ознакомились все новые работники (например, организовав информационные семинары или курсы, в которых содержатся полная информация и всевозможные пояснения).
• осуществить тщательную проверку существующих на предприятии процессов для обнаружения и уменьшения рисков;разработать подробные указания и информативные материалы и инструкции, дополняющие политику (например, правила предоставления доступа к Интернету, процедуры, как работать с информационными системами, и др.);
• обновлять принятую политику безопасности, а также отслеживать и изучать существующие угрозы безопасности.

Потенциальные внешние угрозы безопасности:

• Посетители офиса;
• Ранее уволенные работники (особенно те, которые ушли со скандалом, и знающие, как получить доступ к информации);
• Хакеры;
• Структуры третьих сторон, в том числе конкуренты, а также преступные группировки.

Потенциальные внутренние пользователи:

• Пользователи компьютерной техники среди работников;
• Программисты, системные администраторы;
• Технический персонал.

Для организации безопасности информационной защиты от каждой из перечисленных групп необходимы свои правила. В каждом из случаев происходит утечка информации. Прежде всего необходимо разработать правила поведения персонала в офисе, во-вторых, прибегнуть к техническим средствам, которые повышают безопасность информации и предотвращают утечку данных из компьютерных сетей. При разработке информационной безопасности необходимо учитывать специфику рассматриваемых групп и обеспечить эффективные меры по предотвращению утечки информации для каждой из них.

Обеспечение информационной безопасности является предпосылкой для успешной деятельности предприятия. Обеспечение политики безопасности включает в себя любое действие, целью которого является защита информационных ресурсов и поддержка инфраструктуры. Политика распространяется на все автоматизированные и телекоммуникационные системы, которыми располагает и которые используются предприятием. Основной целью, для которой разработаны все правила этой политики, является защита информационных ресурсов от возможных материальных убытков, физического, морального или иного рода повреждения, причиненного в результате случайного или умышленного действия.

Все охраняемые информационные ресурсы должны быть классифицированы по степени их значимости и доступности. Информация классифицируется и утверждается руководством предприятия. Периодически классификация должна быть пересмотрена для обновления в соответствии с категорией ресурсов. Ресурсы, содержащие конфиденциальную или критически важную информацию, должны быть выделены среди остальных.

Предприятие должно установить требования безопасности, используя методические оценки риска. При оценке рисков приоритеты должны выставляться в соответствии с критериями принятия риска и целями деятельности предприятия. Результаты оценки должны сопровождаться соответствующей реакцией управления, приоритетами и механизмами контроля для защиты от этих рисков. Оценка риска объединяет в себе систематический анализ риска и оценивание риска.

Согласно политике безопасности учреждения вышеописанные обязанности по обеспечению безопасности информационных ресурсов должны быть сообщены работнику, когда его принимают на работу и когда в список его официальных обязанностей включаются все правила. Они должны включать в себя как общие обязанности, связанные с внедрением и поддержанием политики безопасности, так и конкретные обязанности в отношении защиты ресурсов и выполнения особых действий, связанных с безопасностью.

Все работники, принятые на работу, должны подтвердить и подписать их трудовые договоры, которые накладывают на них ответственность за безопасность информации. В договор должно быть включено согласие работника на осуществление мер по проверке соблюдения требований политики безопасности, а также обязанности по неразглашению конфиденциальной информации. В договоре должны быть описаны меры, которые необходимо предпринять в случае несоблюдения работником требований политики безопасности.