Политика информационной безопасности предприятия

Политика информационной безопасности организации – совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности. В свою очередь, политика строится на анализе рисков, и чем полнее будет произведен анализ, тем эффективнее будет документ. Анализу подвергаются все основные ресурсы, включая материальную базу и человеческие ресурсы. Политика безопасности строится в соответствии со спецификой предприятия и законодательной базой государства.

Наиболее детально этот аспект проработан в Общих критериях оценки безопасности информационных технологий, версия 2.0 от 22 мая 1998 г. Британского стандарта BS7799:1995. В нем рекомендуется включать в документ следующие пункты:

- вводный, подтверждающий заинтересованность высшего руководства проблемами информационной безопасности;

- организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

- классификационный, описывающий имеющиеся на предприятии материальные и информационные ресурсы и необходимый уровень их защиты;

- штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения, порядок реагирования на нарушение режима и т.д.);

- раздел, освещающий вопросы физической защиты информации;

- раздел управления, описывающий подход к управлению компьютерами и сетями передачи данных;

- раздел, описывающий правила разграничения доступа к производственной информации;

- раздел, описывающий порядок разработки и внедрения систем, указывается порядок защиты предприятия от вредоносного программного обеспечения;

- раздел, описывающий меры, направленные на обеспечение непрерывной работы организации (доступности информации);

- юридический раздел, подтверждающий соответствие политики информационной безопасности текущему законодательству.

Анализ рисков состоит из двух основных этапов: инвентаризация и классификация информационных ресурсов. Инвентаризация информационных ресурсов поможет в определении степени необходимой защиты, контроле защищенности, а также будет полезна в других областях, как-то охрана труда и техника безопасности, страхование, финансы. В качестве ресурсов, связанных с информационных технологий, могут выступать:

- информационные ресурсы: файловые хранилища, базы данных, документация, учебные пособия, документы процедурного уровня (инструкции и т.д.);

- программные ресурсы: прикладное и системное программное обеспечение, утилиты и т.д.;

- физические ресурсы: вычислительное и коммуникационное оборудование, носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения;

- сервисы: отопление, освещение, энергоснабжение, кондиционирование воздуха;

- человеческие ресурсы.

Для каждого из информационных ресурсов определяется его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения её применимости к данному ресурсу, вероятности возникновения и возможного ущерба. На основе результатов этого анализа составляется классификационный раздел политики информационной безопасности.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.