Разработка политики информационной безопасности
Система информационной безопасности представляет из себя совокупность корпоративных правил и норм работы, процедур обеспечения ИБ, формируемую на основе аудита состояния информационной системы компании, анализа действующих рисков безопасности в соответствии с требованиями нормативно-руководящих документов РФ и положениями стандартов в области защиты информации ( ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC TR 13335, ГОСТ Р ИСО/МЭК 15408 и т.п.), что особенно важно для организаций и компаний активно взаимодействующих с отечественными и иностранными партнерами.
Достаточная надёжность системы информационной безопасности предприятия может быть реализована только в случае наличия на предприятии политики информационной безопасности. В противном случае разрозненные попытки различных служб по противодействию современным угрозам только создают иллюзию безопасности.
Современная система информационной безопасности представляет из себя синтез организационных и программно-технических мер, реализованных на основе единого подхода. При этом организационные меры не менее важны, чем технические – без внедрения безопасных приемов работы и осознания необходимости принимаемых мер, немыслимо создать действительно защищенную инфраструктуру безопасности.
Разработка системы информационной безопасности, как правило, состоит из следующих этапов:
- проведение аудита информационной безопасности предприятия;
- анализ возможных рисков безопасности предприятия и сценариев защиты;
- выработка вариантов требований к системе информационной безопасности;
- выбор основных решений по обеспечению режима информационной безопасности;
- разработка нормативных документов, включая политику информационной безопасности предприятия;
- разработка нормативных документов по обеспечению бесперебойной работы компании;
- разработка нормативной документации по системе управления информационной безопасностью;
- принятие выработанных нормативных документов
- создание системы информационной безопасности и системы обеспечения бесперебойной работы компании;
- сопровождение созданных систем, включая доработку принятых нормативных документов.
Выработанная политика информационной безопасности состоит из организационно-распорядительных и нормативно-методических руководящих документов и включает:
- общую характеристику объектов защиты и описание функций и принятых технологий обработки данных;
- описание целей создания системы защиты и путей достижения принятых целей;
- перечень действующих угроз информационной безопасности, оценку риска их реализации, модель вероятных нарушителей;
- описание принятых принципов и подходов к построению системы обеспечения информационной безопасности. Принятые меры обеспечения информационной безопасности разбиваются на два уровня:
- административно-организационные меры – действия сотрудников организации по обеспечению норм безопасности;
- программно-технические меры.
- описание системы управления доступом к информационным ресурсам компании, включая доступ к данным, программам и аппаратным средствам;
- описание политики антивирусной защиты;
- описание системы резервного копирования;
- описание порядка проведения восстановительных и регламентных работ;
- описание системы расследования инцидентов;
- порядок тестирования, приемки, аттестации и сертификации созданной системы на соответствие действующим стандартам. Данный этап создания системы необходим, так как аттестация созданных систем информационной безопасности по требованиям защищенности информации в соответствии с Российским законодательством является обязательным условием, позволяющим обрабатывать информацию ограниченного доступа. Сертификация же по действующим стандартам позволяет не только убедиться в качестве созданной системы, но и наладить полноценное взаимодействие с различными компаниями, что автоматически делает ее более привлекательной для зарубежных компаний при выборе деловых партнеров в России;
- план мероприятий по обеспечению безопасности, включая план развития системы информационной безопасности.
При формировании политики безопасности необходимо максимально учесть принятые нормы работы предприятия, с тем, чтобы выработанная политика, обеспечивая высокий уровень безопасности, оказывала минимальное влияние на производительность труда сотрудников и не требовала высоких затрат на свое создание.