8318 подписчиков

Политика информационной безопасности

28 сентября 202028 сен 2020

1290

3 мин

Оглавление

Для чего требуется политика информационной безопасности?
Создание эффективной политики информационной безопасности
Структура политики информационной безопасности

Политика информационной безопасности – совокупность регламентов, требований регуляторов, стандартов, рекомендаций, согласно которым ведется профессиональная деятельность конкретной компании/фирмы, организации, чтобы обеспечить защиту имеющихся у нее информационных ресурсов.

Руководящий состав конкретной организации самостоятельно решает, с помощью каких методов и какая информация должна быть защищена (за исключением случаев, регламентированных действующим федеральными законами РФ).

Для политик информационной безопасности характерна формализация – осуществляется разработка регламента, который обязателен для исполнения всеми работниками организации, под которую политика безопасности разработана.

Для чего требуется политика информационной безопасности?

Российские предприятия чаще всего занимаются разработкой политики информационной безопасности, чтобы исполнить требования государственного регулятора в отрасли. Если в компании нет соответствующего регламента информационной безопасности, то на нее контролирующими органами накладываются ограничения в дальнейшей работе до исправления недочетов.

Политика информационной безопасности – неотъемлемая часть некоторых российских и общемировых стандартов. Каждая организация должна соответствовать определенным требованиям в сфере кибербезопасности, которые выдвигаются внешними аудиторами. При отсутствии политики кибербезопасности страдает имидж организации, ее рейтинг, снижается привлекательность для инвесторов и т. п.

Создание эффективной политики информационной безопасности

Чтобы разработать качественную, соответствующую современным требования политику безопасности предприятия, регламент, требуется сформировать внутри организации:

концепцию кибербезопасности (с ее помощью осуществляется определение политики информационной безопасности в целом, а также ее принципов, целей);
стандарты защиты данных организации по разным направлениям ее деятельности;
процедуру (описание предпринимаемых действий для защиты данных при взаимодействии с ними: персональной информации, порядок доступа к информационным носителям, внутренним корпоративным системам, сетям, сервисам, ресурсам);
инструкции (детальное описание действий, с помощью которых можно сформировать эффективную информационную защиту организации, создать условия соответствия деятельности организации в сфере информационной безопасности российским и международным стандартам).

По каждому приведенному выше пункту должен быть разработан отдельный документ. Все созданные документы должны быть взаимосвязаны и не содержать противоречий. Не лишним будет и создание аварийных планов, которые нужны для восстановления функционирования информационных систем в случае их повреждения, утраты, похищения и иных отрицательных влияний.

Структура политики информационной безопасности

Политика информационной безопасности не является аналогом стратегии информбезопасности, потому что первая отличается статичностью, а вторая – динамичностью. К списку обязательных разделов политики информбезопасности организации можно отнести:

определение информационной безопасности;
структура кибербезопасности компании;
описание процедур контроля над кибербезопасностью компании;
оценка риска;
безопасность данных (действующие стандарты, принципы);
обязанность и ответственность отдельных подразделений и департаментов компании в сфере защиты информации организации, информационных носителей;
ссылки на нормативную документацию по информационной безопасности.

Также рекомендуется добавление раздела, в котором будут описаны главные критерии эффективности в сфере защиты особо важных данных. Для топ-менеджмента требуется разработка индикаторов эффективности защиты информации, что позволяет дать объективную оценку организации кибербезопасности компании без углубления в технические нюансы.

Внедрение политики информационной безопасности

После разработки всех документов, связанных с политикой информационной безопасности компании, требуется провести работу по ее внедрению в деятельность организации. Для этого требуется выполнение следующих пунктов:

ознакомление сотрудников с разработанной политикой кибербезопасности;
ознакомление каждого нового работника с имеющейся политикой кибербезопасности;
полное изучение существующих в организации бизнес-процессов для выявления и сведения к минимуму негативного воздействия рисков;
составление детальных информационных и методических материалов, инструкций, которые призваны дополнить политику информационной безопасности;
пересмотр и корректировка доступа к информации, процедур работы с ней, актуализация принятой в компании по информационной безопасности документации, систематический мониторинг и изучение существующих угроз кибербезопасности.